Exclusif : Hadopi.fr ouvrira ses portes vendredi (ou lundi)

La riposte expliquée sera-t-elle comprise ? 292
Marc Rees
Alors que l’Hadopi vient d’envoyer ses premières demandes d’identification d’adresse IP, la Haute autorité ne pouvait lancer ses premiers avertissements sans un site épaulant cette première vague.

hadopi procédure snep
Résumé de la procédure Hadopi (document SNEP)

Hadopi.fr, une version 0.9, plutôt qu'une version bêta

Selon nos informations Hadopi.fr devrait bien ouvrir ses portes en fin de semaine, normalement vendredi, sinon lundi. L’information vient de nous être confirmée par la Haute autorité. Le site ne sera pas tout à fait finalisé : « On a cherché à faire assez complet, avec une première version ». Les abonnés devraient cependant trouver les principales informations autour de la réponse graduée et donc de la sécurisation de l’accès. « Le site va évoluer, dans un an il aura une tête un peu différente » nous confie-t-on. « Ce n’est pas une version bêta, plutôt une version 0.9. »

Plusieurs rubriques devraient enrichir ce site : les activités institutionnelles (structure d’Hadopi, rapports, etc.), la description de la réponse graduée, et évidemment le délicat thème de la sécurisation du poste informatique de l’abonné.

Hébergement d'Extelia ?

Parmi les prestataires, on sait déjà qu’Extelia, du Groupe La Poste avait remporté le marché de la gestion des avertissements, et de tout le système d’information de la Hadopi.

Pour l'hébergment proprement dit, la Haute avait récupéré l’appel d’offres qui fut lancé par le ministère de la Culture.  La Haute autorité ne nous a cependant pas fourni le nom de l’hébergeur d'Hadopi.fr mais il ne serait pas étonnant de retrouver Extelia dans les coulisses.

Des attaques informatiques redoutées

Dans l’appel d’offres initial pour « la conception, la réalisation et l’hébergement du site internet », le prestataire doit assurer « la maintenance corrective, curative et évolutive ». Spécialement, le cahier des clauses techniques particulières (document) pose que l'un des critères d’achèvement du marché est le fait qu’aucune anomalie bloquante ou qu’aucune faille de sécurité ne soit détectée.

Le soumissionnaire devra prévoir d'ailleurs l’armada lourde contre les attaques en déni de service réseau (DoS)  Il « mettra en oeuvre des mécanismes de sécurité visant à assurer la résilience de l'infrastructure réseau et des serveurs hébergés, des services connexes à la plate-forme, dont le titulaire a la responsabilité et dont la disponibilité serait un pré requis à celle de la plate-forme (DNS, principalement). [Il] détaillera les solutions qu'il propose afin de lutter contre les attaques en déni de service (distribuées ou non, par épuisement de bande passante, de ressources système, etc.), notamment en termes de :
- procédure de bascule, vers un site secondaire localisé en France
- procédure de filtrage,
- possibilité de fonctionnement dégradé en mode France.
Le soumissionnaire décrira les solutions qu'il met en œuvre pour éviter ou détecter, le cas échéant, les attaques et intrusions sur ses systèmes d'information. »

Toujours dans l’appel d’offres, il est prévu qu’« en cas d'incident rendant indisponible, momentanément ou non, tout ou partie du service dû à l'Hadopi, le titulaire devra s'interdire toute communication vis-à-vis de l'extérieur et en particulier de la presse tant qu'un communiqué commun n'aura pas été rédigé. En l'absence d'un communiqué commun, l'Hadopi ou le MCC seront seuls habilités à communiquer sur cet incident ».

On se souvient ici de la bourde d'un des conseillers de Christine Albanel, alors ministre de la Culture qui nous avait assuré que son site Jaimelesartistes.fr était « super blindé » après une première série d’attaques par déni de service. Quelques instants plus tard, le site coulait à nouveau.