Hadopi : le verrou labellisé sera condamné à l’efficacité optimale

Productivisme du filtrage 167
Marc Rees
Le contenu du projet de décret Hadopi sur la labellisation des moyens de sécurisation révélé dans nos colonnes est riche d’enseignements. Il montre que le  moyen labellisé devra coller aux conclusions de la mission confiée au Pr Riguidel, un spécialiste du filtrage par DPI. Il fait par ailleurs une totale impasse sur les fameux "labs" annoncés en mai 2010, présentés la semaine dernière.

Rappelons que les abonnés français seront incités fortement à utiliser des moyens de sécurisation labellisés par l’Hadopi pour prévenir les usages illicites. Sinon ? Ils risqueront la réponse graduée, avec au bout 1500 euros d'amende et 1 mois de suspension.

Le projet de décret qui a été notifié à Bruxelles montre une procédure simple qu'on résume en trois temps :

1) des éditeurs qui font examiner leur verrou...
2) auprès d'un centre agréé par l'ANSSI, qui délivre un feu vert
3) un label attribué par l'Hadopi.

Le processus d’évaluation des moyens de sécurisation se fera à la seule demande de l’éditeur de logiciel, lequel choisira lui-même « un ou plusieurs centres d’évaluation agréés ».

eric walter jacques toubon

Des centres agréés pour évaluer les verrous Hadopi

Ce n’est donc pas l’Hadopi qui évaluera le dispositif (et encore moins les fameux labs) mais un ou plusieurs centres externes, agréés. Dans son dossier, l’éditeur devra décrire le moyen de sécurisation à évaluer et « les dispositions prévues pour conférer sa pleine efficacité à ce moyen de sécurisation » dit le projet de texte.

Prévenir une utilisation illicite, laisser passer le licite

Rappelons que l’outil de sécurisation servira à prévenir les usages illicites. Le moyen, dit l’intitulé même du décret, « prévient une utilisation illicite ». Le  moyen dont on parle ici, celui qui sera labellisé, est celui qui opère un tri : il laisse passer le licite, il filtre l’illicite. En conséquence, il filtre.

Conformité aux travaux de la mission Riguidel 

Le décret exige que ce moyen soit d’une « pleine efficacité ». Le moyen de sécurisation devra à cette fin être conforme « aux spécifications fonctionnelles rendues publiques par la Haute Autorité ». Ces spécifications sont le fruit de la mission attribuée au Pr. Riguidel, un mordu de Deep Packet Inspection qui a justement déposé un brevet en ce secteur.

L’éditeur logiciel devra aussi décrire « les conditions de protection de la confidentialité des informations », « le coût et les modalités de paiement de l'évaluation » et « le programme de travail et les délais prévus pour l'évaluation ».

Confidentialité de ces travaux d'évaluation

Après instruction de son dossier, le centre agréé « remet un rapport d'évaluation à l’auteur de la demande. Ce rapport atteste que l'évaluation a été conduite conformément aux règles et normes en vigueur, avec la compétence et l'impartialité requises ». Pour faire bonne mesure, « ce rapport est un document confidentiel dont les informations sont couvertes par le secret industriel et commercial ». Là encore, on est loin de la jolie transparence affichée par les Labs.

Le moyen labellisé sera celui conforme aux conclusions de la mission Riguidel

Une fois ce rapport en poche, l’éditeur ira réclamer le fameux label à l’Hadopi qui vérifiera les pièces. « La Haute Autorité délivre le label à l’éditeur du moyen de sécurisation dont le rapport d’évaluation établit qu’il est efficace et conforme aux spécifications fonctionnelles rendues publiques par la Haute Autorité » Et voilà comme le système est verrouillé, huilé, cadré.

Des moyens de plus en plus blindés

Un détail d’importance : la Hadopi pourra retirer le label quand le logiciel de sécurisation ne respectera plus « tout ou partie des critères exigés pour l'obtention du label et ayant trait à l’efficacité du moyen de sécurisation ou à sa conformité aux spécifications fonctionnelles ». En clair : plus des bidouilleurs sauront contourner le verrou Hadopi, plus ce verrou sera condamné à se muscler de plus en plus fortement.

Dernier détail : les centres chargés de qualifier les outils Hadopi comme répondant au niveau d’efficacité en termes de contrôle d’usage seront agréés après une demande auprès de l'Agence nationale de la sécurité des systèmes d'information.