12 mars

(April) Hadopi : sécurisation ou contrôle d’usage ?

Publié le 12/03/2009

En France, les débats à l’Assemblée Nationale sur le projet de loi "Création et Internet" ont débuté. Selon l’APRIL, "de la même manière que la loi DADVSI dont l’April avait très tôt dénoncé la nocivité pour le logiciel libre, le projet de loi « Création et Internet » repose sur l’instauration de dispositifs de contrôle d’usage obligatoires et pénalise injustement les utilisateurs de logiciels libres." L’association publie un document intitulé "Hadopi : sécurisation ou contrôle d’usage ?", que nous reproduisons.

Le projet de loi Création et Internet / HADOPI crée une nouvelle responsabilité pour les titulaires d’un accès à Internet : l’obligation de « sécuriser » sa connexion afin qu’elle ne soit pas utilisée pour commettre des atteintes au droit d’auteur. Déjà présente sous une forme imprécise dans la loi DADVSI,1 cette responsabilité s’assortit désormais d’une exposition à des sanctions pouvant aller jusqu’à la coupure d’accès à Internet, et d’une obligation de mettre en œuvre un « moyen de sécurisation » labellisé par l’HADOPI.2 Il est désormais clairement établi que ces « moyens de sécurisation » seront en réalité de véritables mouchards filtrants.3 Examinons de plus près cette responsabilité et ses implications, et considérons plus en détail les mouchards filtrants que l’HADOPI imposera.

Une responsabilité disproportionnée - questions de sécurité informatique

On peut tout d’abord s’interroger sur l’opportunité et la légitimité de cette nouvelle responsabilité.

En effet, on ne songe pas à demander aux fournisseurs de technologies et de services (éditeurs de logiciels, fabricants de routeurs, FAI...) de garantir la sécurité des technologies ou des services qu’ils fournissent. On ne leur impose pas plus d’obligation de moyens. En conséquence, les utilisateurs n’ont qu’à se débrouiller pour assurer leur propre sécurité informatique. Il apparaît donc saugrenu de demander aux citoyens, aux simples utilisateurs qui n’ont pour l’immense majorité aucune compétence technique, de « sécuriser » leur accès à Internet.

Cela est d’autant plus saugrenu que les services de sécurité informatique des administrations de l’État ne sont pas eux-mêmes capables d’assurer une sécurité informatique sans faille. Récemment, le cas d’Intramar - le réseau intranet de la Marine Nationale - dont les machines ont été infectées par le ver Conficker, nous en fournit un bon exemple. Comment en effet sécuriser un accès à Internet si le PC lui-même est infecté et utilisé frauduleusement à distance ? Peut-on demander aux particuliers de réussir là où les services informatiques de l’armée française échouent ?

De même, on demande aux abonnés utilisant une borne wifi à leur domicile de sécuriser leur accès. Pourtant, des ministères comme celui de l’Intérieur ou Matignon, qui disposent pourtant d’équipes très compétentes en matière de sécurité informatique, ont renoncé au wifi car alors ils ne pourraient pas sécuriser convenablement leur réseau...

Enfin, on peut se demander si la ministre de la Culture ne souhaite tout simplement pas interdire le wifi, quand elle propose de faire peser sur les collectivités locales la responsabilité de l’utilisation de leurs « hotspots » (points d’accès à Internet par wifi ouvert, typiquement dans les jardins publics) par les utilisateurs nomades.4 Une telle approche risque tout simplement de conduire à la fermeture de ces hotspots, avec les effets associés en terme de développement de l’économie numérique, les collectivités ne souhaitant pas se voir responsabiliser pour une sécurité impossible à mettre en œuvre en pratique.

Risques de détournement et de contournement de la loi

Au-delà des critiques générales (voir la note de François Pellegrini) et d’ordre juridique qu’on peut émettre sur le projet de loi (voir à ce sujet le dossier de la Quadrature du Net (PDF)), sa pertinence face à l’état de la technique est à remettre en cause profondément ; l’April l’avait d’ailleurs signalé à la mission Olivennes dès son audition le 12 octobre 2007.5

Tout d’abord, le dispositif prévu par HADOPI sera inefficace parce qu’il sera rapidement, facilement et massivement contourné. En effet, le dispositif prévoit que des agents assermentés agissant pour le compte d’organismes de défense des auteurs, éditeurs et producteurs de musique et de films procèdent à une recherche pro-active d’infractions. Lorsque des internautes seront repérés en train d’échanger des œuvres sans autorisation par ces agents, leur adresse IP sera relevée avec la date, l’heure et les œuvres concernées. Ce constat sera ensuite transmis à l’HADOPI, qui identifiera les internautes via les fournisseurs d’accès à Internet grâce aux adresses IP relevées, et pourra dès lors engager le processus d’avertissement et de sanction prévu par le projet de loi.

Or l’adresse IP n’est pas à la base une donnée d’identification fiable des internautes. Elle peut de plus être usurpée, empruntée ou modifiée par les utilisateurs. Ainsi, le fameux tracker de torrents The Pirate Bay a d’ores et déjà annoncé que des adresses IP fictives (notamment françaises) seraient injectées afin de tromper les agents assermentés.6 Des chercheurs de l’Université de Washington ont par ailleurs démontré qu’il était possible de faire croire qu’une imprimante avait téléchargé des fichiers sur internet !7 Prétendre accuser et sanctionner sur la base d’une telle donnée n’est donc pas sérieux.

Il faut également songer au recours aux procédés d’anonymisation et de chiffrement. Un logiciel d’échange de pair à pair (ou peer-to-peer) comme OneSwarm rend totalement impossible l’identification des émetteurs et des récepteurs, chaque ordinateur anonymisant les transmissions qu’il relaie. Par ailleurs, déjà plus de 20% du trafic de pair à pair est chiffré et le chiffrement est de plus en plus proposé en standard dans les logiciels de pair à pair. On peut aussi citer le service TorrentPrivacy qui permet aux utilisateurs moyennant quelques euros par mois de télécharger en affichant une adresse IP américaine ou canadienne tout en chiffrant leurs données.

Avec des solutions aussi simples et disponibles que le chiffrement et l’anonymisation, le dispositif HADOPI aura bien du mal à repérer les internautes français qui échangent des œuvres sans autorisation. Quant aux "contre-logiciels" que la ministre Albanel imagine pour éviter le contournement,8 soyons certains que les services de police du monde entier rêveraient de pouvoir en disposer. La puissance de calcul requise pour casser un chiffrement comme celui utilisé par ces logiciels fait que seuls des services de renseignement s’y essaient et uniquement de façon ciblée. Les "contre-logiciels" de Mme Albanel utilisables pour lutter massivement contre le chiffrement relèvent donc simplement de la science-fiction.

Ajoutons que la généralisation des échanges chiffrés causerait un dommage collatéral fâcheux, en rendant « aveugles » les services de police : les échanges chiffrés des criminels qu’ils observent se retrouveraient alors noyés dans la masse immense des échanges d’œuvres entre particuliers. Les utilisateurs développeraient par ailleurs un sentiment d’impunité et on peut s’interroger sur la pertinence d’inciter toute une génération à basculer dans la clandestinité.

Mais ce n’est pas tout. Il existe également un réel risque de détournement de la loi au profit de la cybercriminalité.

Avec les volumes gigantesques de courriels que l’HADOPI va envoyer chaque jour (10 000 courriels d’avertissement par jour9), il est évident que des délinquants vont envoyer de faux courriels estampillés HADOPI et contenant une pièce jointe que l’utilisateur sera invité à ouvrir pour connaître les faits qu’on lui reproche. En réalité, la pièce jointe pourra bien être un cheval de Troie qui transformera son ordinateur en machine zombie, les expéditeurs de tels leurres misant sur le fait qu’un courriel de menaces d’apparence officielle à plus de chances de tromper l’utilisateur.

C’est sans doute pourquoi aucune autorité ne devrait menacer massivement par courriels les citoyens et l’État devrait le faire savoir au lieu de se risquer à cette grande première.10

Ensuite, le dispositif HADOPI va créer un appel d’air pour des services commerciaux d’anonymisation ou offrant tout moyen d’échapper à la recherche pro-active d’infraction et à la répression de masse autorisées par le projet de loi. Le service russe Torrent Privacy déjà évoqué en est un bon exemple : il cible explicitement les utilisateurs français dans la vidéo de démonstration disponible sur son site.

En plus de contribuer à développer une économie off-shore, le développement d’une telle offre s’adressant à un public qui cherche à échapper à l’autorité publique sera également un moyen aisé pour récupérer des identifiants bancaires et/ou infecter des milliers de machines pour agrandir un parc de "machines zombies".11 Tout comme la peur de l’autorité, le désir de continuer à partager sera en effet sans nul doute exploité par les émetteurs de pourriels : des courriels malveillants avec une pièce jointe contenant soi-disant un logiciel d’anonymisation, en fait un virus, apparaîtront ainsi à peine la loi adoptée, les véritables cyberdélinquants étant particulièrement réactifs, comme l’actualité le démontre chaque jour.

Pour ces raisons, la loi risque de s’avérer totalement inefficace dans la lutte contre les échanges d’œuvres non autorisés entre particuliers, et contre-productive pour la sécurité informatique de chacun et la lutte contre la cybercriminalité. Alors que jusqu’à présent ces échanges ne bénéficient pas aux organisations criminelles - puisqu’étant réalisés sans intermédiaire, ni but lucratif, directement par les utilisateurs - la loi créera en fait un marché pour le crime organisé.

Sécurisation de la connexion ou dispositif de contrôle d’usage ?

La nature des « moyens de sécurisation » - qui sont censés exonérer les titulaires d’un accès à Internet de la responsabilité démesurée qu’on veut leur faire porter - est désormais claire : il s’agit de dispositifs visant à faire obstacle à certains usages et certains protocoles, et qui font en outre un renvoi d’information à un serveur distant pour vérifier s’ils sont activés. En clair : des mouchards filtrants.

Si le projet de loi était adopté en l’état, consacrant des dispositifs de filtrage avec (ou sans) mouchards comme « moyens de sécurisation exonérant valablement le titulaire de l’accès à un service de communication au public en ligne de la responsabilité visée à l’article L.336-3 », alors chaque abonné à Internet se trouvera très fortement incité à installer ces dispositifs réduisant arbitrairement leur droit à l’information, à la communication et à la vie privée. On peut toutefois douter que ces dispositifs soient effectivement installés par les particuliers mais on peut en revanche parier sur un tollé généralisé conduisant in fine à l’inapplicabilité de la loi, exactement comme ce qui a pu être constaté avec les DRM et la loi DADVSI.

Rappelons cependant une nouvelle fois que l’accès à des contenus ou applications sur Internet ne peut être limité que suite à une décision de l’autorité judiciaire.12 De plus il est reconnu que les techniques de filtrage quelles qu’elles soient présentent deux défauts intrinsèques majeurs : elles empêchent des usages légaux et il est toujours possible de les contourner. Cela fait d’ailleurs l’objet de 4 pages d’annexe dans le rapport Olivennes, reprises à titre informatif par Franck Riester dans son rapport pour la commission des lois de l’Assemblée nationale.

La solution la plus raisonnable d’un point de vue du respect des droits fondamentaux des utilisateurs consisterait donc, comme le préconise Bruno Retailleau dans son amendement adopté par le Sénat, en un dispositif de sécurisation de la connexion de type chiffrement WPA2 pour le wifi. En revanche, le principal inconvénient de cette solution est qu’elle ne suffit pas en elle-même à sécuriser une connexion (nécessité d’un mot de passe fort régulièrement changé) et la discrimination qui pourrait en résulter, notamment pour toutes les personnes disposant d’un matériel ne supportant pas ces technologies de chiffrement, et tous les professionnels qui les commercialisent. La Commission européenne ne manquerait pas alors de sanctionner la France pour atteinte à la libre concurrence. Elle a d’ailleurs d’ores et déjà annoncé qu’elle sera particulièrement attentive sur cet aspect prévisible de la loi HADOPI.13

Notons par ailleurs qu’en pratique l’obligation d’utiliser WPA2, si tant est qu’elle soit envisageable, n’empêchera pas le développement de pratiques de contournement pendant de longues années au regard de l’état du parc existant. Une récente étude parue dans la revue de sécurité MISC soulignait que dans le 5ème et le 13ème arrondissements de Paris, sur 31 000 points d’accès étudiés, plus de 2 000 étaient totalement ouverts et plus de 40% utilisait le protocole WEP, notoirement inefficace en terme de sécurité (cassables en moins de 4 minutes). Rompus au partage d’information, les téléchargeurs les moins responsables ne manqueront donc pas de s’échanger des listes de points d’accès utilisables dans leurs quartiers, multipliant d’autant les accusations envers des innocents.

Le projet de loi HADOPI s’appuie donc sur un dispositif non pertinent qui s’annonce aussi inefficace pour lutter contre les échanges d’œuvres entre particuliers, que dangereux par les dérives dont il est intrinsèquement porteur. Les multiples moyens de contourner et détourner la loi auraient dû depuis longtemps inspirer à ses rédacteurs l’humilité de revoir leur copie.

Place du logiciel libre

La consécration de ces mouchards filtrants par le projet de loi sera lourde de conséquences pour les auteurs et utilisateurs de logiciels libres, qui seront de nouveau les victimes d’une discrimination totalement inacceptable.

Qu’il s’agisse de dispositifs de contrôle d’usage ou de mécanismes de filtrage, le fonctionnement de l’ensemble de ce genre de dispositifs est en effet par définition basé sur le principe qu’une partie de l’ordinateur devient une terre d’ambassade appartenant aux fournisseurs de contenus. Cette approche s’oppose frontalement aux principes du logiciel libre, dans la mesure où les logiciels libres sont conçus pour laisser un contrôle de son ordinateur à l’utilisateur. Reviennent donc ici les mêmes interrogations que celles qui ont conduit à la débâcle du projet de loi DADVSI.

L’HADOPI souhaitant promouvoir le filtrage et le contrôle d’usage, comme l’exigent les producteurs, les spécifications fonctionnelles seront forcément basées sur une interdiction de permettre leur modification et donc sur une interdiction de faire connaître leur fonctionnement. Cela exclura de facto les auteurs et éditeurs de logiciels libres, laissant leurs utilisateurs incapables de garantir leur sécurité juridique, de la même façon que la loi DADVSI les rendait coupables en cas de lecture d’un DVD par un logiciel libre (du moins jusqu’à ce que le Conseil d’État y mette le hola, annihilant les effets attendus de la loi par les éditeurs et producteurs de musique et de films).14

In fine, des pratiques anti-concurrentielles de type vente liée seront cependant encouragées par l’intermédiaire de l’insécurité juridique créée : pour être en sécurité juridique, il faudra acheter un logiciel compatible Microsoft Windows Vista ou Seven et donc disposer de ce système d’exploitation.

Il est déplorable que le gouvernement et le Sénat n’aient pas retenu la leçon de la loi DADVSI, où il a été constaté que les vrais bénéficiaires de telles lois sont en fait des éditeurs extra-européens de logiciels qui y voient un moyen de renforcer des positions dominantes utilisées par ailleurs abusivement. L’insécurité juridique est une arme de guerre économique, et contribuer à son développement sur un marché stratégique comme celui du logiciel est irresponsable. Les propos du rapporteur Riester au sujet de l’interopérabilité démontrent au mieux une ignorance parfaite de ces enjeux, au pire une volonté d’instaurer une nouvelle discrimination à l’encontre des auteurs et utilisateurs de logiciels libres.15 C’est dans les deux cas un nouveau cadeau fait aux experts de la vente liée et de la captation de clientèle que sont Microsoft et Apple. Il est incompréhensible que de tels enjeux stratégiques puissent échapper au législateur, trois ans à peine après l’intervention du secrétaire d’État au commerce extérieur américain sur la loi DADVSI, pour protéger les intérêts de ces deux entreprises américaines.16



Enjeux liés au Logiciel Libre et à l’interopérabilité

Rappelons de nouveau, s’il est encore besoin, que le Logiciel Libre est un enjeu majeur pour la France.

Il est tout d’abord une opportunité économique sans précédent pour la France et l’Europe dans la société de l’information.

D’après le rapport "Economic impact of Free/Libre/Open Source Software on innovation and competitiveness of the European Union", La somme des logiciels libres de qualité raisonnable représente un investissement minimum de 12 milliards d’euros. Ceci représente au minimum 131 000 personnes/an, ou une contribution annuelle de 800 millions d’euros, dont la moitié provenant de développeurs basés en Europe. En terme de service, la part du libre pourrait représenter 32% du marché des services dans l’informatique en 2010.

C’est également un enjeu stratégique pour l’indépendance technologique de la France et un outil de politique publique. Le Logiciel Libre est de plus en plus perçu par les pouvoirs publics et les décideurs politiques comme :

  • un outil de souveraineté et de politique industrielle ;
  • un moyen de maîtrise des finances publiques ;
  • un facteur de développement durable.

Quelques projets illustrant cette tendance :

  • le développement de systèmes d’exploitation sécurisés pour l’armée ;
  • la volonté politique de développer une industrie nationale du Logiciel Libre (consortium sino-européen Orient Ware, projet de pôle de compétitivité Logiciel Libre en Île de France...) ;
  • les développements autour de l’administration électronique (priorité au Logiciel Libre dans les marchés publics notamment aux Pays-Bas, en France système de télédéclaration de l’impôt sur le revenu...) et la migration des postes des députés français sur un système libre ;
  • l’utilisation croissante par des pays en voie de développement (comme les actions menées par l’Agence Universitaire de la Francophonie).

Quant à l’interopérabilité, elle est la seule garantie pour la concurrence et la liberté des utilisateurs. 

L’interopérabilité est la capacité des logiciels à s’échanger mutuellement des informations et à utiliser les informations ainsi échangées. Pour cela, les interfaces des logiciels (liste des fonctions d’un programme utilisables par un autre programme) doivent être intégralement connues, de la même manière que pour parler une langue il en faut connaître le vocabulaire et la grammaire.

Elle est la condition pour que les utilisateurs ne soient pas captifs de leur système, et que leurs données ne dépendent pas uniquement du logiciel avec lesquelles elles ont été produites ou stockées. Elle est également la condition sine qua non d’une concurrence libre et non faussée, et donc de l’innovation sur le marché des logiciels.

Des parlementaires des majorités successives ont su identifier ces enjeux depuis plusieurs années. Outre les parlementaires de tous bords qui se sont élevés pendant l’examen de la loi DADVSI pour défendre l’interopérabilité et les droits des auteurs et utilisateurs de logiciels libres, on peut citer deux exemples notables :

  • Extrait du rapport « À armes égales » du député UMP du Tarn Bernard Carayon :

    « Des principes d’actions favorisant les libertés

    L’interopérabilité et les standards ouverts, condition du développement économique européen en matière de technologies de l’information

    Pour corriger les effets pervers de l’internationalisation des échanges, le développement de la mondialisation qui mettaient en péril les cultures minoritaires, l’Organisation des Nations Unies pour l’Education, la Science et la Culture (Unesco) adoptait en décembre 2005 une convention sur la « protection et la promotion de la diversité des expressions culturelles ».

    Pour contrer le risque d’appauvrissement qui existe en matière de technologies de l’information en raison des pratiques de quelques grands acteurs mondiaux, il importe d’abord de proposer à nos partenaires européens d’adopter le principe d’interopérabilité en matière de développement informatique comme garantie du développement - voire, dans certains secteurs, de la survie - de l’industrie européenne des technologies de l’information. Ainsi, l’adoption, en mai 2006, par l’ISO du standard ouvert de document bureautique, « Open Document Format », (odf) en garantit sa pérennité, autorise son utilisation sans risque par les acteurs économiques et publics et favorise le développement de logiciels concurrents reprenant ce format, qui devient ainsi pour l’utilisateur source d’une liberté de choix et d’une meilleure qualité de produit.

    Proposition 3.7 Compléter le mémorandum pour une « Europe numérique », en proposant à nos partenaires européens d’établir l’interopérabilité comme règle de droit commun fondamental en matière de développement informatique.

    Proposition 3.8. Proposer à nos partenaires européens de favoriser systématiquement les standards ouverts et, comme premier exemple, d’imposer le format international ISO « odf » pour la création et la diffusion de tout document officiel échangé dans le cadre européen.

    Le logiciel libre, une efficacité adaptée à l’économie numérique

    (...) »


  • Extrait des motifs d’une proposition de loi de députés PS de 2000, reprise en 2002 par des sénateurs UMP :

    « Les services de l’État utilisent souvent des logiciels dont le code source n’est pas disponible, ce qui leur interdit de faire corriger les erreurs que les fournisseurs refusent de corriger eux-mêmes ou de vérifier l’absence de défauts de sécurité dans des applications sensibles. Les services de l’État utilisent parfois sans le savoir des logiciels qui transmettent en secret des informations a priori confidentielles, à des sociétés ou organismes étrangers. Or, les modèles économiques de l’industrie du logiciel et des télécommunications développés par le marché sont fondés en grande partie sur l’appropriation d’une clientèle et la valorisation exponentielle des profils d’utilisateurs. Ces modèles économiques favorisent des stratégies d’incompatibilité, de secret industriel, d’obsolescence programmée et de violation des libertés individuelles. Si l’État français ne peut prétendre éliminer par la loi ces tendances de fond en raison du caractère transnational des réseaux de communication, il peut néanmoins favoriser le développement sur le sol français d’une société de l’information respectueuse des libertés publiques, de la sécurité du consommateur et de la concurrence, et espérer jouer un rôle précurseur en Europe et dans le monde. »

Partager cet article :

Vous souhaitez reproduire cet article ?