Hasard de calendrier... Ce lundi, Numerama pointait du doigt certaines failles juridiques de la procédure pénale de l'Hadopi, en notant en premier point que le procédé de collecte des adresses IP mis en oeuvre par la société privée TMG n'a fait l'objet d'aucune homologation ou certification, ce qui semble bien fragile alors qu'il s'agit des seuls éléments de preuve à disposition du parquet. Nous rappelions alors que les radars de contrôle routiers font eux l'objet d'une homologation stricte, et que seuls les radars homologués peuvent servir à l'établissement de procès verbaux.

Quelques heures plus tard, pour étayer les dossiers qu'elle transmet au parquet pour négligence caractérisée, l'Hadopi a voulu montrer patte blanche. Elle a publié sur son site internet un rapport d'expertise de 29 pages (voir ci-dessous) rédigé par David Znaty, expert judiciaire diplômé du MIT et de l'Ecole Nationale d'Informatique et d'Automatisation.

"Les processus automatiques et/ou semi automatiques et/ou manuels entre les différents acteurs qui entrent dans le mode opératoire d'identification d'une oeuvre et de l'adresse IP ayant mis à disposition cette oeuvre est fiable", conclut l'expert. Il juge "robustes" les algorithmes de calcul et de comparaison d'empreintes utilisés pour identifier les fichiers musicaux et vidéo, qui "garantissent la non existence de faux positifs", censés éviter qu'un internaute soit averti pour avoir téléchargé un fichier qui ne serait pas l'oeuvre qu'on lui reproche d'avoir piratée (on notera cependant que le problème vient plutôt du fait qu'un internaute peut télécharger un fichier piraté en pensant télécharger un autre fichier totalement légitime, puisque le nom du fichier peut varier sans que l'empreinte unique ne varie, ce qui est une faille qu'a longtemps exploité l'industrie culturelle pour inonder les réseaux P2P de leurres).

Par ailleurs, le rapport assure que "l'analyse de l'architecture et de la méthodologie de collecte des adresses IP me permettent de dire que le système est cohérent et fiable", et donc que "en l'état, le processus actuel autour du système TMG est fiable".

Une telle expertise, commandée par l'Hadopi elle-même, peut-elle se substituer à un processus d'homologation ? La Haute Autorité espère en tout cas qu'elle saura convaincre le juge face aux avocats qui seraient tentés de contester la fiabilité des preuves. "Les conclusions de l'expertise doivent permettre aux autorités judiciaires d'analyser les modalités de traitement et de répondre aux questions relatives à la fiabilité de celui-ci", assure en effet l'Hadopi.

Nous aurons probablement l'occasion de revenir plus en détails sur le contenu du rapport (.pdf) :

Rapport Znaty



Lire la suite

Hasard du calendrier, tu parles...

Bon, donc faut préparer un petit pot commun pour financer une contre-expertise. L'idée ne sera pas de trouver les failles du dispotif TMG, mais uniquement de montrer en quoi il n'est pas suffisamment fiable. Reste à savoir comment le justiciable pourra faire contre-expertiser ledit dispositif, mais peut-être tombera-t-on sur un juge qui estimera, à juste titre, qu'une expertise unilatérale ne remplace pas une certification officielle, et permet donc la contre-expertise.

"procédure de collecte des IP" non testée par Znaty ?????

Ce "rapport" est une farce !

Un rapport d'expertise est certe un rapport d'dxper mais n'est pas une homologation/étalonnage certifier comme conforme par la loi.


L'homologation d'un radar routier doit être écrite et décrite dans la loi, la procédure d'homologation du dit radar est définie dans des formes que la loi dit, ce qui n'est pas le cas ici pire cet étalonnage me semble impossible a dé&finir dans les fait comme dans la loi.

U., le 13/02/2012 - 17:42

"procédure de collecte des IP" non testée par Znaty ?????

Ce "rapport" est une farce !

C'est dingue de voir la mise à jour quand meme "non testé" mais uniquement basé sur la base d'explication techniques fournies par TMG ?

euh, y a que moi que ca choque ? Si je dis que mon réseau wifi est protégé, basé sur les détails technique que m'apportera ma hotline le jour où j'aurais un mail d'hadopi, je pourrais utiliser cette farce aussi ?

Mon dieu mon dieu !
J'ai tellement envie de dire qu'ils ont tout pris à l'envers à la HADOPI !
Soyons honnête, je suis un des premiers à cracher dessus, mais j'aurais été contraint de la fermer (sur un plan technique uniquement) si tout process d'homologation/régulation aurait été mis en place avant de choper une toute première IP vous ne pensez pas ?

L'homologation d'un radar routier doit être écrite et décrite dans la loi

Tu es sûr ? Parce que je ne suis même pas sûr que le terme "radar" soit utilisé dans le code de la route.
Non, la certification des radars n'a rien à voir avec la loi, mais avec des arrêtés ministériels . En gros, c'est le ministre des transports qui indique quel taux d'erreur est admissible sur un radar.

Si c'est du penal, l'expertise etant obligatoirement contradictoire pour etre valable, c'est du pipot alors.

zig, le 13/02/2012 - 17:52

L'homologation d'un radar routier doit être écrite et décrite dans la loi

Tu es sûr ? Parce que je ne suis même pas sûr que le terme "radar" soit utilisé dans le code de la route.
Non, la certification des radars n'a rien à voir avec la loi, mais avec des arrêtés ministériels . En gros, c'est le ministre des transports qui indique quel taux d'erreur est admissible sur un radar.

Alors quel est le taux admissible selon notre amis fredo a la rue de valois?

nous pouvons déjà constaté que l'expertise est très avare en explications techniques, et que par exemple le processus de collecte des adresses IP n'a pas été testé. Il est validé sur la foi des explications techniques apportées par TMG.

Forcément, tu n'as pas joint l'annexe 2.2...
Un peu facile du couper un rapport et de lui reprocher ensuite l'absence de ce qu'on a coupé !

En tout cas, on a la confirmation que le téléchargement est initié.

Page 16 l'histoire du faux positif est une petite merveille qui ne démontre en aucun cas qu'un fichier licite présent sur le P2P ne pourrait pas avoir la même signature qu'une ?uvre dans le catalogue de ce qu'il faut fliquer (je passe sur l'utilisation de SHA1...).

Et page 17 une nouvelle couche, c'est vachement scientifique : s'il n'y pas de doublon dans la base c'est qu'il ne peut pas y avoir de faux positifs... Euh, la principe de la bijection c'est pas enseigné au niveau du collège ?

fbattail, le 13/02/2012 - 18:13

Page 16 l'histoire du faux positif est une petite merveille qui ne démontre en aucun cas qu'un fichier licite présent sur le P2P ne pourrait pas avoir la même signature qu'une ?uvre dans le catalogue de ce qu'il faut fliquer (je passe sur l'utilisation de SHA1...).

Pour info, avant la page 16, il y a la page 15, qui est nettement plus explicite.
Sinon, je rappelle que c'est un rapport, pas une thèse de recherche.
Par ailleurs, nous n'avons pas les annexes, qui sont justement l'endroit où on liste les données techniques...

C'est beau de les voir gesticuler dans tous les sens, c'est pourtant pas cela qui va les sauver de la noyade.
Et puis après les élections il y aura surement moins de volonté de la part du gouvernement pour tout faire dans la précipitation.

Les infos les plus intéressantes sont dans les annexes...

Bon ok le rapport n'est pas parfait mais il dit quand même beaucoup de choses. Je salue la Hadopi pour l'effort de transparence (forcé !!).
Plusieurs premiers éléments à chaud :
- Les fichiers dont le nom ne contient pas de mot clé sensible ne sont pas surveillés
- Les fichiers compressés avec mot de passe ne sont pas surveillés
Par contre les fichiers altérés ou réencodés sont protégés
- TMG initie le téléchargement et ne dresse un PV que si un chunk complet est récupéré (d'après les dires de TMG eux-même). Le chunk est joint au PV.

La collecte semble quand même plutôt solide, à creuser

thb, le 13/02/2012 - 18:24

Bon ok le rapport n'est pas parfait mais il dit quand même beaucoup de choses. Je salue la Hadopi pour l'effort de transparence (forcé !!).
Plusieurs premiers éléments à chaud :
- Les fichiers dont le nom ne contient pas de mot clé sensible ne sont pas surveillés
- Les fichiers compressés avec mot de passe ne sont pas surveillés
Par contre les fichiers altérés ou réencodés sont protégés
- TMG initie le téléchargement et ne dresse un PV que si un chunk complet est récupéré (d'après les dires de TMG eux-même). Le chunk est joint au PV.

La collecte semble quand même plutôt solide, à creuser

Conclusion, il ne faut échanger que des fichiers compressés chiffrés par mot de passe pour être tranquille.

bourgpat, le 13/02/2012 - 17:55

Si c'est du penal, l'expertise etant obligatoirement contradictoire pour etre valable, c'est du pipot alors.

Où tu vois qu'une expertise doit être contradictoire ?
Justement, aux assistes, tu as les experts présentés par l'une des parties qui contredisent les experts présentés par l'autre des parties. Et si l'une des parties ne présente pas d'expertise, tant pis pour elle...

Conclusion, il ne faut échanger que des fichiers compressés chiffrés par mot de passe pour être tranquille.

Ce qui du coup interdit la diffusion de masse. Parce que je ne vois pas comment tu peux dire à un milliard d'internautes (sans le dire à TMG) que le mot de passe de avatar.zip est camEr0n.

Mais la diffusion entre un petit nombre de personnes qui se connaissent, je te rassure, tout le monde s'en fout. Donc oui, tu peux crypter tes fichiers si tu veux et communiquer les mots de passe à tes potes par email : ça fait quoi ? 50 copies ? Cela n'a aucune importance. Hadopi ne s'intéresse qu'à la diffusion illégale massive.

WickedFaith, le 13/02/2012 - 18:00

En tout cas, on a la confirmation que le téléchargement est initié.

Confirmation par qui ? HADOPI ? Quelle fiabilité, une autorité qui juge du travail de son seul fournisseur d'IP...

Il y aurait confirmation s'il y avait eu étude indépendante... Mais ça on va pouvoir attendre longtemps je pense.