Professeur émérite à l'école d'ingénieurs Télécom ParisTech, Michel Riguidel est un retraité comblé. L'enseignant-chercheur, une grosse pointure internationale en matière de sécurité informatique, qui a défini les protocoles de sécurité de plusieurs projets classés secret-défense parmi les plus sensibles, vient de se voir confié ce qu'il qualifie lui-même de "l'une des missions les plus difficiles" sur lesquelles il a travaillé pendant toute sa longue carrière. Il a été chargé par l'Hadopi d'établir la liste des fonctionnalités pertinentes que devront présenter les "moyens de sécurisation" imposés aux abonnés à Internet. Il s'agit des logiciels que les abonnés devront installer pour éviter toute condamnation pour négligence caractérisée par la Haute Autorité, lorsque leur adresse IP apparaîtra sur les relevés d'infractions.

Mais aujourd'hui, Michel Riguidel se dit "surpris" d'être placé au centre des accusations sur Internet. C'est une vidéo de l'ARCEP puis la découverte d'un brevet dont il fut le principal inventeur qui ont mis le feu aux poudres.

Comme l'expliquait Lawrence Lessig dans son fameux livre "Code and Other Laws of Cyberspace", en matière d'informatique tout est politique. "Le code c'est de la loi", résumait-il. Les choix techniques ont une incidence politique, et réciproquement. Par ricochet, le choix des techniciens chargés de résoudre un problème technique a une incidence politique. Dès lors, le choix de Michel Riguidel pour l'Hadopi est entaché de l'ombre du suspect.

Il faut dire que l'homme s'est fait récemment une réputation d'adversaire résolu de la neutralité du net, dans cette interview préparatoire au récent colloque de l'Arcep sur la neutralité des réseaux :

Michel Riguidel y dit que la neutralité est une "écume politico-médiatique qui a été inventée par les économistes américains", que c'est "presque même la mort de l'internet" et que l'avenir est au filtrage par Deep Packet Inspection (DPI). "Lorsque je regarde les travaux de recherche, les miens en particulier, mais ceux de Sandford, de Shanghai, et même les travaux de Cisco, ils travaillent sur le DPI, le Deep Packet Inspection, et justement on inspecte, on analyse les paquets IP pour les différencier", expliquait le Pr. Riguidel.

Contacté cet après-midi, il nous assure que ses propos ont été très mal interprétés, qu'il parlait uniquement sous l'angle du chercheur inquiet de voir ses collègues prendre du retard sur la recherche américaine. Selon lui, les chercheurs en France ne pensent pas suffisamment à "l'internet du futur" et à son infrastructure technique qui devra nécessairement évoluer.

Coïncidence supplémentaire qui jette le trouble, un certain Jean Berbineau avait lui-même sollicité les bénéfices du DPI pour le filtrage du piratage lors d'une conférence à Montreal en 2008. Or Jean Berbineau n'est autre que l'ancien secrétaire général de l'Autorité de régulation des mesures techniques (ARMT), devenue l'Hadopi dont il est resté membre.

Mais il y a plus gênant. PC Inpact détaille aujourd'hui de manière très approfondie le contenu d'un brevet déposé en 2009 dont Michel Riguidel est co-inventeur. Il en est même le "principal auteur", nous confie-t-il. Dans ce brevet, il décrit un "procédé de traçabilité et de résurgence de flux pseudomysés sur des réseaux de communication, et [un] procédé d'émission de flux informatif apte à sécuriser le trafic de données et ses destinataires". Or derrière ces termes barbares et la très grande complexité apparente du brevet, c'est un véritable arsenal de flicage des abonnés et de ce qu'ils font transporter sur le réseau qui semble se dessiner.

L'idée est de signer en amont les oeuvres ou les données à protéger par différents moyens (étiquetage dans le header d'un protocole, watermarking, stéganographie, ...), de croiser en aval la conformité des signatures des contenus avec la signature "anonymisée" de l'abonné (un cryptonyme), et de signaler les "comportements atypiques" à une "instance apte à vérifier la licéité des flux correspondants". En apparence, l'Hadopi. Cette instance pourra "communiquer, de manière automatique ou non, des informations concernant un flux a priori illicite à une autorité dotée d'un pouvoir judiciaire apte à engager une procédure officielle d'investigation". Inquiétant, le brevet propose même d'inspecter en priorité le contenu des paquets de ceux qui ne signent pas leurs communications par leur cryptonyme.

"Les pro-Hadopi et les anti-Hadopi peuvent me faire confiance"

Avec ce brevet, Michel Riguidel semble avoir un intérêt économique potentiel à la mise en oeuvre de l'Hadopi. Il pourrait en effet recevoir des redevances des mises en application de son brevet, qu'il partage par ailleurs avec deux autre co-inventeurs. Parmi eux figure Laurent Adouari, qui était conseiller NTIC de Christine Albanel au moment de l'élaboration de la première loi Hadopi. S'il faut encore en rajouter, le demandeur du brevet est le "groupe des écoles des télécommunications", dont PC Inpact nous rappelle qu'il était présidé par Pascal Faure... membre de la mission Olivennes qui a accouché des accords de l'Elysée sur la riposte graduée. Et qui préside le groupe des écoles télécoms, devenu "Institut Télécom" ? Jean-Bernard Lévy, le président de Vivendi (maison mère d'Universal Music France, Activision/Blizzard, SFR...), qui préside entre autres choses le BASCAP, qui publiait récemment son étude affligeante de bêtise sur l'impact du piratage sur l'économie européenne. Pas de doute, nous sommes entre gens qui s'entendent bien.

On retrouve d'ailleurs encore Vivendi dans le CV du professeur Riguidel. Parmi ses nombreuses activités, Michel Riguidel est en effet titulaire d'une "chaire sur l'économie industrielle des médias" à l'école des Mines et Télécom de Paris. Une chaire dont le Pr. Riguidel lui-même dit qu'elle est "soutenue par Vivendi, et d'autres partenaires", non désignés. Mais "étant professeur dans une école d'ingénieurs des télécommunications, j'ai évidemment beaucoup de rapports avec les industriels", souligne-t-il.

"Je me sens franchement très libre, je pense être quelqu'un d'intègre et de complètement indépendant".

En fait, son brevet n'aurait pas de rapport immédiat avec l'Hadopi. "Quand j'ai écris le brevet l'Hadopi n'existait pas. Je sentais qu'il y avait des gens qui faisaient du DPI, et qui se lançaient là dedans à corps perdu. J'ai souhaité travailler à une solution qui respecte les exigences de la CNIL, qui prenne en compte le respect de la vie privée", nous explique-t-il. Son brevet ne serait pas destiné principalement à lutter contre le piratage, mais à lutter contre toutes formes d'attaques "contre les infrastructures critiques", y compris l'envoi de spams. On avoue tout de même notre scepticisme. Même si le brevet est écrit dans un langage abscons ("pour éviter qu'il soit trop facilement compris au niveau international, notamment par les Chinois"), il suffit d'en lire l'introduction pour constater l'obsession du téléchargement illégal. Il est certes précisé au deuxième paragraphe que l'invention "s'applique également pour analyser et protéger les interdépendances dans les infrastructures critiques d'information et de communication", et "aussi pour instaurer de la confiance dans des relations entre communicants". Mais c'est bien le seul endroit.

Lorsqu'on lui demande si le brevet pourrait décrire ce que deviendra à terme l'Hadopi, il rit sans mesquinerie. "Je ne crois pas, non", avance-t-il avec une évidente conviction.

Troublé que l'on puisse le soupçonner de conflit d'intérêts, Michel Riguidel rappelle que c'est l'Hadopi qui a été le chercher, sans doute pense-t-il en raison de son expérience et de sa réputation internationale. Il a accepté le défi, parce que "ce qui me passionne, c'est la difficulté scientifique". "C'est peut-être présomptueux" nous raconte-t-il d'une voix réservée, presque timide, "mais je me suis dit 'c'est à toi de résoudre ça'".

D'ici fin septembre, avec un premier rapport d'étape fin juin, il va devoir "définir une politique de sécurité" qui satisfasse "le maximum de monde". "Les contraintes sont énormes", se réjouit-t-il en scientifique chevronné. "Il faut prendre en prendre beaucoup de plate-formes différentes, d'antivirus, de logiciels de contrôle parental, de protections Wi-Fi de type WPA, WEP, etc., trouver une plate-forme commune qui puisse être déployée sous Windows, sous Mac OS, sous Linux....", et "sans que ça soit une usine à gaz". Il insiste, aussi, sur la nécessité de respecter "la souveraineté de l'abonné" qui doit rester maître de son ordinateur, et réfute l'idée que le logiciel de sécurisation puisse se transformer en mouchard.

"Autant les pro-Hadopi que les anti-Hadopi peuvent me faire confiance pour trouver une solution technique qui soit déployable et respectueuse des lois".

Pourrait-il jeter l'éponge d'ici septembre s'il ne réussit pas à trouver la recette magique ? "Si je n'y arrive pas bien sûr je le dirai... mais je pense y arriver". Dès septembre ? Il hésite... "je pense".

Quant au délai entre l'établissement du cahier des charges et la labellisation effective des premiers moyens de sécurisation, Michel Riguidel ne s'avance sur aucun calendrier.

Mais après tout qu'importe, puisque l'Hadopi a décidé d'envoyer ses premiers messages sans l'attendre. Contactée ce mercredi matin pour répondre aux soupçons de conflits d'intérêts qui pèsent sur la désignation du Pr. Riguidel, l'Hadopi nous a dit examiner la question. Nous attendions toujours son retour au moment de la publication de cet article, en début de soirée.



Lire la suite