Moyen de sécurisation : la Hadopi, reine du patinage artistique

Et de convoitise 48
Marc Rees
« Cette semaine ou au plus tard, la semaine prochaine ». Voilà ce que nous promettait la Hadopi quand nous lui demandions quand les conclusions de la mission Riguidel seraient publiées. C’était en avril 2011. Cette mission avait été confiée en mai 2010 à ce chercheur télécom avec pour impérieuse tâche de définir les caractéristiques essentielles des moyens de sécurisation labellisables par la Hadopi. Près de deux ans plus tard, ce 21 février 2012, les laboratoires de la Hadopi en sont à s'interroger sur la faisabilité du dispositif.

marie françoise marais HADOPI sylvie forbin

Dans l’esprit des rédacteurs du texte, ces labels attribués à telle ou telle solution de sécurisation devaient permettre au bon père de famille cher au Code Civil, de cadenasser son accès contre le risque « Hadopi ». Un verrouillage vertueux avec une vertu définie par la seule loi Hadopi, écrivait-on l’an passé.

Un verrouillage délicat puisque l’abonné ainsi sécurisé pourra malgré tout être sanctionné par le dispositif Hadopi. En effet, depuis Hadopi 2, il n’y a plus de liaison juridique entre l’installation et l’usage d’un moyen de sécurisation et l’éventuelle sanction de négligence caractérisée (1 mois de suspension et/ou 1500 euros d’amende).

Délicat casse-tête où les problématiques se succèdent : comment inciter l’abonné à sécuriser ainsi son accès, alors que 1) le risque juridique est toujours là, 2) plus l’accès sera sécurisé plus il sera surveillé, 3) le déploiement d’une couche logicielle – quand bien même dédiée à la sécurisation – peut elle-même ouvrir des brèches de sécurité. Nous avions retracé dans le passé la « timeline » de cette mission. Puisque les laboratoires de la Hadopi viennent de publier un nouveau document, nous remettons ce long historique à jour. Accrochez vous, cela va stagner !

4 mai 2009 Christine Albanel, pressée à l’Assemble nationale, sur les futurs moyens de sécurisation se veut rassurante. « Il n’y a aucune espèce de surveillance générale de la toile ; il s’agit simplement d’expérimentations menées par des acteurs de la culture, d’une part, et des acteurs d’Internet, d’autre part, pour la reconnaissance des contenus ». La ministre précise : « Nous entendons agir à la source en créant une sorte de tatouage des œuvres destiné à empêcher les actes de piratage. Il n’y a là rien de choquant. » Elle modulera son affirmation, évoquant cette possibilité « d’installer des dispositifs de reconnaissance des œuvres interdisant de les pirater. Ce n’est pas l’HADOPI qui surveille, ni l’État : il s’agit, je le répète, d’expérimentations conduites par les acteurs culturels et Internet. »

3 mai 2010 : La Hadopi annonce dans une conférence de presse qu’elle confie au professeur Michel Riguidel le soin de définir les spécifications fonctionnelles qui permettront de labelliser les futurs moyens de sécurisations de la Hadopi. 

4 mai 2010 : On découvre que l’intéressé est titulaire d’un brevet axé filtrage par deep packet inspection. Dedans, quelques petites phrases bien senties : « La protection des libertés individuelles peut ainsi favoriser incidemment le piratage, puisqu'elle protège aussi les pirates. » 

26 mai 2010 la Hadopi officialise sa mission confiée à Michel Riguidel sur le filtrage et la labellisation des moyens de sécurisation

26 juillet 2010 En plein été, la Hadopi lance une consultation sur la première version du document de travail, ouverte jusqu’à septembre 2010. Le document y décrit un logiciel de sécurisation hors de contrôle de l’utilisateur. L’historique, qui retrace ses activités, est chiffré et placé dans un coffre-fort numérique. Avantage : cette mise au vert de ces « preuves numériques » permet à l’Hadopi de confondre l’abonné qui affirmerait avoir bien sécurisé son accès, alors que ce fourbe a déconnecté ou contourné son verrou.

2 septembre 2010 Nous dévoilons un document présenté à Bruxelles où la SCPP décrit les conclusions d’un test de Deep Packect Inspection mené en Allemagne avec l’entreprise Vedicis. « Dans le cas de la technologie VEDICIS, 99,91% du trafic P2P a été détecté et 99,98% des contenus illégaux ont été bloqués sans incidence sur les performances du réseau » résumait le document de synthèse, selon qui « il n’y a pas eu d’incidence sur le contenu légal ».

6 septembre 2010 La Hadopi freine des quatre fers : « La question de la protection et de la sécurisation des accès à internet est cruciale à l’heure où le numérique revêt une dimension toujours plus importante et soulève de plus en plus d’intérêt. L’Hadopi a donc choisi d’étendre sa consultation jusqu’au 30 octobre 2010. » Riguidel et sa consultation gagnent un répit.

10 septembre 2010 Marc Guez nous confirme dans une interview que la technologie à laquelle participe la SCPP, dont il est le représentant, est du DPI : « C’est du Deep Packet Inspection, tout à fait, sauf que c’est un robot qui le fait, donc il ne regarde pas réellement ce qu’il y a. C’est un robot qui vérifie : est-ce qu’il y a un fichier protégé dedans ou pas, si oui, le fichier protégé ne suit pas ». La Hadopi ne réagit nullement à cette information.

30 octobre 2010 : Aucune nouvelle de la consultation de la Hadopi. 

10 décembre : Nous interrogeons Éric Walter, secrétaire général de la Hadopi qui nous indique que la Hadopi travaille « sur une deuxième version qui devrait être sur la table du Collège de l’Hadopi dès la semaine prochaine » nous confie Éric Walter, secrétaire général de la Hadopi. ON apprend qu’il y aura une nouvelle « boucle de relecture publique », la Hadopi «tenant compte de beaucoup de choses [on veut] avancer avec beaucoup de prudence. »

décret labellisation hadopi verrous logiciels

23 décembre 2010 publication du décret sur la labellisation des moyens de sécurisation. Il est dit que l’éditeur qui voudra faire labelliser son outil devra le faire auditer par un centre d’évaluation, confidentiellement. La Hadopi délivrera le label et pourra le retirer quand le moyen de sécurisation ne répondra plus aux spécifications. Ce moyen est donc astreint à une pleine efficacité, d’autant plus que la Hadopi est libre de redéfinir comme elle le veut les spécifications fonctionnelles. Elle peut ainsi exiger de l’éditeur qu’il remette à niveau son logiciel s‘il veut conserver la labellisation. Un vrai cliquet antiretour. (art 1 du décret, codifié aux art. R311-93 et 93 du CPI)

12 janvier 2011 : la fameuse deuxième version est visiblement prête : lors de sa conférence de presse, Hadopi annonce que les nouvelles orientations ont été données au document de travail du Pr. Riguidel. L’idée ? Remettre l’outil dans les mains de l’utilisateur. Walter indique qu’un « nouveau document sera mis en consultation d’ici la fin du mois pour une durée d’un mois ».

31 janvier 2011 : Pas de nouvelle consultation

28 février 2011 : Pas de nouvelle consultation

24 mars 2011 : interrogé sur ce nouveau surplace, Éric Walter nous dit que « le document sera rendu public avant fin mars ou tout début avril. Je viens de faire une dernière batterie de relectures ce week-end pour ne rien vous cacher. Ce qu’on a indiqué sera respecté : le document sera resoumis à consultation. Le calendrier a glissé, mais cela ne change rien : il y aura un appel à commentaires sur l’ensemble du document pour une durée d’un mois à 40 jours à peu près.».

hadopi eric walter marie-françoise marais label pu

31 mars 2011 Sept jours plus tard, dans un colloque à l’UNIFAB dédiée à la propriété intellectuelle, Sylvie Forbin (Vivendi) indique à la salle que le moyen de sécurisation sera finalement dans la box : « Il y a une autre mission de l’Hadopi, dont nous attendons beaucoup. C’est de publier très rapidement les fameuses spécifications techniques qui vont permettre aux fournisseurs d’accès d’intégrer dans leurs nouvelles offres de prochaines générations, une sécurisation ». Cette sécurisation « va permettre aux usagers de bonne foi d’introduire ou d’activer dans les nouvelles box qu’ils achèteront, des dispositifs qui permettront de les aider à faire ce cheminement et à paramétrer l’usage de leurs enfants, l’usage de leur famille vers des offres légales et à pouvoir eux-mêmes aussi organiser leur propre espace. »

12 avril 2011 : Éric Walter nous promet la publication du document « cette semaine ou au plus tard la semaine prochaine ».

20 avril 2011 : publication de la nouvelle version des spécifications fonctionnelles des moyens de sécurisation.

26 avril 2011 : analyse collégiale de ces spécifications. Bluetouff analyse en ces termes le document « Il s’agit pour faire simple du Deep Packet Inspection du pauvre : on décentralise le traitement des flux, mais au final on a bien le même caractère intrusif ». Le document repart en consultation publique, comme prévu, jusqu’au 24 mai 2011.

9 mai 2011 : la Hadopi consacre l’ouverture de ses 5 laboratoires (« labs ») 

24 mai 2011 : Date butoir de la consultation. Rien ne se passe si ce n’est une réunion de travail sur le livre numérique (seul le cinéma et la musique ont saisi la Hadopi…) 

30 juin 2011 Marc Guez (SCPP, producteurs de musique, Universal & CO) indique dans une interview à 01Net avoir préparé une base de 30 000 oeuvres, qui pourra être exploitée par les futurs logiciels de filtrage installés dans les entreprises ou les foyers. C’est la simple confirmation de ce que nous savions depuis plusieurs mois.

1er juillet 2011 La Hadopi fait mine de découvrir ces travaux alors que nous les connaissions depuis septembre 2010. Dans un communiqué, elle déconseille le logiciel de filtragee non labellisé de la SCPP. Une belle affaire pour la Hadopi qui se présente comme la garante de la vie privée, de la transparence et de la neutralité... Un "bruit" médiatique qui tombe à merveille alors que dans le même temps TMG était mis en demeure par la CNIL pour défaut de sécurisation...

7 juillet 2011 Dans nos colonnes, Marc Guez répond d’ailleurs que ce communiqué de la Hadopi « n’est pas [le] problème [de la SCPP]. On ne peut fournir nos bases qu’à ceux qui respectent la loi et les missions de l’Hadopi ». Le filtrage version SCPP respectera donc les missions de la Hadopi et sera donc respectueux de la vie privée, de la transparence et de la neutralité...

21 février 2012 Au sein de la Hadopi, le Laboratoire « Réseaux et Techniques » a récupéré la question des moyens de sécurisations labélisés.  Il lance un appel à expérimentations ouvert à tous visant à l’élaboration à la rédaction des spécifications fonctionnelles. La Hadopi plaide une nouvelle fois l’ouverture pour inciter à la fermeture. Le document qui veut définir des standards autour de la question de ces moyens, croit savoir que ces moyens seront malmenés : « de par la nature de leur fonctionnement, seront une cible de choix pour d’éventuels attaquants. Leur sécurisation est donc une priorité fondamentale de cet appel public et devra faire l'objet d'une liste détaillée d'attaques potentielles sur les dispositifs proposés, de ripostes envisagées ou de risques clairement décrits en l'absence de réponses satisfaisantes ». Le verrou de sécurisation devra donc être sécurisé sauf à créer un nouveau trou dans la sécurisation de l’accès.

Il est spécifié qu’il sera installé au sein du réseau local, sous l’autorité du titulaire d’abonnement qui peut l’enlever, le désactiver ou le supprimer de son LAN. Ensuite ? « Toutes les connexions et flux Internet provenant et à destination du LAN DOIVENT passer par le moyen de sécurisation » exige le document de travail. Dans ce dispositif, un plug in définissant une cible de filtrage pourra, « à la discrétion du titulaire, analyser les flux entrant et sortant du LAN »

Le document précise que « le MS (moyen de sécurisation, NDLR) ne doit pas être obligatoire ou imposé au titulaire d’accès. Le MS ne doit pas être sous le contrôle de quelqu’un d’autre que le titulaire. Le MS ne doit pas contenir de fonctionnalités cachées. Le MS ne doit pas envoyer de données à une tierce partie à l’insu du titulaire de l’accès Internet. Le MS ne doit pas se situer en dehors du LAN du titulaire »

Cet appel à expérimentation sera suivi de plusieurs échanges en avril et juin. Le laboratoire R&T espère maintenant présenter les travaux finaux le 29 juin 2012. Enfin, précisons que ceux qui plancheront sur ces expérimentations devront avant tout « confirmer la faisabilité du concept de moyen de sécurisation et définir les prérequis (matériel, réseau, etc.) minimums à satisfaire ».