C'est donc ce lundi que la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) a mis en ligne le rapport d'expertise de David Znaty, expert judiciaire, sur Trident Media Guard (TMG), la société chargée par les ayants droit de collecter les adresses IP des internautes suspectés d'enfreindre le droit d'auteur sur les réseaux peer to peer.

Des imprécisions qui jettent un voile

Le document doit permettre de fournir des éléments tangibles aux magistrats quant à la fiabilité du processus de collecte des adresses IP et de l'établissement des procès-verbaux. En effet, ces deux points constituent les piliers de la contravention de négligence caractérisée que les tribunaux commenceront à sanctionner d'une peine pouvant aller à un mois de suspension de l'accès à Internet 1500 euros d'amende.

Alors que les premiers dossiers ont été transmis au parquet, la publication du rapport d'expertise de David Znaty a attiré l'attention d'un autre informaticien expert judiciaire. Connu sous le pseudonyme MEM Zythom, il a livré ses premières remarques de spécialiste sur le document sur son blog personnel. Et en l'absence des annexes, qui n'ont pas été publiées avec le rapport, ce dernier est accueilli avec une certaine réserve.

Trois points en particulier ont retenu l'attention de MEM Zythom. Il s'agit du secret des algorithmes de calcul et de comparaison d'empreintes utilisés pour identifier les fichiers protégés par le droit d'auteur, des faux positifs qui peuvent apparaître dans le cadre d'une collecte automatisée et des faux fichiers ("fakes") qui peuplent certains réseaux peer to peer très fréquentés par les internautes.

Les algorithmes

Dans son rapport, David Znaty déclare que "les processus automatiques et / ou semi automatiques et / ou manuels entre les différents acteurs qui entrent dans le mode opératoire d'identification d'une oeuvre et de l'adresse IP ayant mis à disposition cette oeuvre sont fiables", jugeant "robustes" les algorithmes de calcul ce qui permet, selon l'expert, de garantir la "non existence de faux positifs".

Pour MEM Zythom, ces différentes assertions doivent être nuancées. Sur la qualité des algorithmes, l'informaticien expert judiciaire s'interroge sur la pertinence et la justesse "d'un avis indépendant quand celui-ci n'est basé que sur les affirmations des entreprises" alors que celles-ci se retranchent derrière le sceau du secret ? Car en effet, les deux sociétés en charge de ces algorithmes "ont refusé de dévoiler leur savoir faire".

Le rapport de David Znaty doit donc simplement "vérifier la robustesse de leurs méthodes par les exposés qui m'ont été faits et par un complément de test". Il a fallu jongler avec des informations limitées et donc le détail n'est pour l'heure pas accessible. Celui-ci est en effet présent dans les annexes, qui n'ont pas été livrées en même temps que le rapport d'expertise.

Les faux positifs et les fakes

En ce qui concerne les faux positifs, la méthode employée dans le cadre de la riposte graduée serait d'une qualité telle qu'elle garantirait l'absence de faux positifs, à en croire le rapport. Cette fonctionnalité a pour but d'éviter qu'un internaute ne se retrouve pris dans le cadre de la riposte graduée pour avoir téléchargé un fichier qui ne serait en réalité pas l'oeuvre qu'on lui reproché d'avoir piratée.

"Il n'est pas possible d'affirmer une règle en ayant simplement effectué quelques essais" rétorque MEM Zythom, déplorant le "côté péremptoire de la conclusion", d'autant que la robustesse d'un logiciel n'exclut pas de potentielles erreurs dans sa conception ou son fonctionnement. "En informatique, on appelle robustesse la capacité d'un programme informatique à fonctionner dans des conditions non nominales, comme les erreurs de saisie...", précise-t-il, citant Wiktionnary.

Comme nous l'expliquions lundi, le problème vient surtout du fait qu'un internaute peut télécharger une oeuvre protégée par le droit d'auteur en pensant récupérer un fichier totalement légitime, le piège se faisant au niveau du nom qui aura été modifié sans que l'empreinte unique ne varie. Cette faille a d'ailleurs été exploitée longtemps par l'industrie du divertissement pour noyer les réseaux P2P de fichiers leurres.

Lire la suite

Ah David Znaty. Je ne pense pas que ça soit un gros intrigant, mais pour l'avoir vu une fois en conférence (sur HADOPI en plus), certaines de ses prises de position font très "Mais c'est très compliqué, en tout cas, croyez moi, on finit par savoir : on est quand même expert". C'est dommage, en droit on est tenu de tout justifier, de démontrer et de sourcer pour que tout soit vérifiable et béton.

De là à dire que le rapport est à jeter, je ne dirais pas ça (et Zythom ne le dit pas), mais la médiatisation de cet expert associée à une ototorité comme la HADOPI mène inévitablement à un questionnement poussé, questionnement qui bouscule le culte de l'opacité des majors.

EDIT : Tout ça pour dire quoi ? Hè bien qu'on n'est plus dans l'indignation contre un procédé et une organisation ridicules, mais plus simplement dans le doute circonspect. Si, cette usine à gaz pouvait être en train de vivre ses dernières semaines...

Parfait, ça rajoute de la matière pour contester hadopi! En plus, c'est vraiment un expert judiciaire indépendant, et pas un mec payé par hadopi ou tmg...!!!

Bref, j'espère que Hadopi va connaitre encore quelques échecs avant de disparaitre dans quelques mois!

si on me demande d'expertiser au tableau le minimum est de pouvoir "le voir" non? pour pouvoir effectuer une véritable expertise sur piece.

Donc ici il y a bien eu une expertise mais pas sur piece simplement sur la base d'informations fourni par l'interssé=TM%G and co.

Dans un environnement entièrement mathématique qu'est l'informatique (un computer et oui) ne pas avoir toutes les données pour vérifier les calculs est faire une expertise de ces derniers est pour ma par un non sens.

Zythom soulève des points intéressants et au centre du processus :
1. Fiabilité non démontrée des algos de fingerprinting
2. Possibilité de partager un fichier protégé par droit d'auteur en toute bonne foi (par le biais d'un nom de fichier trompeur par exemple)

(1) n'est pas un point critique. Si les algos de fingerprinting créent des faux positifs, le rapport nous apprend que tous les fichiers incriminés sont visionnés par un agent assermenté des ayant-droits qui confirme que le fichier contient bien l'oeuvre protégée
(2) est un point critique en revanche. Zythom indique que lui-même utilise eMule pour partager de gros volumes de logiciels libres, et qu'il télécharge souvent des oeuvres protégées parce que leur nom de fichier est complètement faux.

Où j'ai lu que des Anons auraient capté des échanges de mail sur cette affaire ? Il semble que l'hadopipi soit en train d'attraper une diarrhée...

- Hadopi = patacaisse !
Maintenant je vais sortir du sujet pour relayer 1 info qui intéressera Guillaume CHAMPEAU ET LE Forum aussi .... Les FAI réclament des factures impayées à l'Hadopi pour leur travail contributif...
http://www.pcinpact....ications-ip.htm

"au sujet des remboursement des frais de fonctionnement. Les FAI avancent en effet divers frais pour identifier les IP ou encore pour relayer les emails, frais qui augmentent en fonction de l'accélération de la machine Hadopi. Selon l'Express, cette somme a déjà atteint 2,5 millions d'euros rien qu'en 2011. Or l'Hadopi, tenue de rembourser ce montant, n'en a toujours rien fait ..."

Cette faille a d'ailleurs été exploitée longtemps par l'industrie du divertissement pour noyer les réseaux P2P de fichiers leurres.

T'es sûr de toi, Julien ?
Je ne vois pas la Warner remplacer un de ses films par un film de cul alors que celui-ci est également protégé par copyright. Sinon Dorcel doit balancer des films de la Warner pour protéger les siens.

Sinon, c'est certain, un hash, c'est un hash et comme tout les hashs, un télescopage fait parti du mécanisme de non bijectivité (33 millions de bits => 256 bits). Sinon, à partir d'un hash, on pourrait reconstruire le film en entier, ça fait une p.tain de compression. (je constate que TMG utilise SHA1, c'est curieux, SHA1 n'est plus un cryptage reconnu robuste - SHA-256 est devenu le nouveau standard recommandé en matière de hachage cryptographique après les attaques sur MD5 et SHA-1 -).

On constate d'ailleurs d'après le rapport que le gros du travail du rapport concerne le Fingerprint, à savoir la reconnaissance automatique d'un film ou d'une musique par rapport à une empreinte. Or la partie douteuse concerne la partie qui n'est pas réellement développée dans le rapport, à savoir comment être sûr que le fichier reconnu illégal (avec le contrôle de l'empreinte) se trouve bien de façon volontaire chez la personne qui possède l'adresse IP repérée (on récupère le hash de ce fichier sur le réseau, et on recherche les personnes qui distribue ce fichier avec l'adresse IP et on leur demande un bout du fichier - je suppose qu'on vérifie que ce bout de fichier est bien le bon bout du fichier illégal -).
D'abord, ce fonctionnement n'est pas valable par rapport à des logiciels à couches d'oignons comme Oneswarm, puisque l'adresse IP avec le fichier n'est pas l'adresse réelle, l'adresse IP vue est uniquement celle de la sortie de couche, mais cela ne signifie pas que la personne avec cette adresse possède le fichier (le rapport n'en fait pas mention).
Ensuite le décret précise que le PV doit contenir le logiciel utilisé et le nom du fichier sur le poste client, afin que le client ne soit pas soupçonné d'avoir récupéré un film alors qu'il voulait ubuntu.iso. Il n'est pas non plus précisé si la récupération de fichier était réalisée sur des internautes qui ont le fichier en entier, on peut par exemple avoir le cas d'une personne qui s'est trompée de lien (torrent, ed2k, ... ) sur un site et qui met 2 minutes avant de s'en rendre compte et de supprimer le téléchargement en cours (et pour zig, le parkinsonien peut très bien se planter régulièrement de lien, on parle ici de la vérification d'un PV).

Centaurien, le 14/02/2012 - 18:43

Cette faille a d'ailleurs été exploitée longtemps par l'industrie du divertissement pour noyer les réseaux P2P de fichiers leurres.

T'es sûr de toi, Julien ?
Je ne vois pas la Warner remplacer un de ses films par un film de cul alors que celui-ci est également protégé par copyright. Sinon Dorcel doit balancer des films de la Warner pour protéger les siens.

Je confirme. Les ayants-droits et leurs prestataires chargés de lutter contre le "piratage" s'en vantait d'ailleurs (utilisation de fakes, de versions avec des inserts bruyants au milieu, dans le but de nuire au bon fonctionnement des réseaux P2P, bref, dans le but de faire du déni de service). Et en parallèle ils l'exploitaient allègrement en affirmant qu'on tombait très facilement sur du porno en essayant de télécharger Ouinie l'ourson et qu'il fallait donc lutter contre le piratage pour protéger les chtit's n'enfants.

Bizarrement, ils n'ont jamais été inquiétés.

Gorkk, le 14/02/2012 - 20:40

Centaurien, le 14/02/2012 - 18:43

Cette faille a d'ailleurs été exploitée longtemps par l'industrie du divertissement pour noyer les réseaux P2P de fichiers leurres.

T'es sûr de toi, Julien ?
Je ne vois pas la Warner remplacer un de ses films par un film de cul alors que celui-ci est également protégé par copyright. Sinon Dorcel doit balancer des films de la Warner pour protéger les siens.

Je confirme. Les ayants-droits et leurs prestataires chargés de lutter contre le "piratage" s'en vantait d'ailleurs (utilisation de fakes, de versions avec des inserts bruyants au milieu, dans le but de nuire au bon fonctionnement des réseaux P2P, bref, dans le but de faire du déni de service). Et en parallèle ils l'exploitaient allègrement en affirmant qu'on tombait très facilement sur du porno en essayant de télécharger Ouinie l'ourson et qu'il fallait donc lutter contre le piratage pour protéger les chtit's n'enfants.

Bizarrement, ils n'ont jamais été inquiétés.

Ou plus simplement de balancer la bande annonce en boucle.

Je t échange tes ouinie, contre mes oui-oui

Imaginons la situation suivante:

M. Dupond compose un morceau de musique, qu'il fait copyrighter, sous le nom par exemple de "I'm laughting ".
Puis, M. Dupond, depuis son IP 12 34 56 78 le met à disposition par exemple sur les reseaux ed2k/kad, 24h/24, à l'aide d'une mule "un peu modifiée" (voir plus loin), en mode "powershare" sous le nom "Wihtney Houston- The Preacher's Life" (par exemple). Il peut être aidé en cela par une vingtaine de copains qui font semblant d'aider au partage et diffusent plein de commentaires élogieux sur le fichier, mais en utilisant un mod strictement leecher, le but étant seulement de flargement
ed2k/kad/SourceExchange que l'IP 12 34 56 78 diffuse "Whitney Houston - The Preacher's Life" et qu'on ne puisse DL le morceau qu'à partir de cette IP..

Et M. Dupond ou plutôt son mod emule, attend, comme un pêcheur à la ligne.

Dès qu'une IP connu avec certitude comme appartenant à TMG se connecte pour DL 16 ko du soit disant "Wihtney Houston- The Preachher's Life", le client modifié de M. Dupond met en action ses fonctionnalités spécifiques:

-> Il change le nom du fichier, et le renomme en "I'm laughting - Dupond's Song - only for Dupond's friends - don't download without rightholder's explicit written permission"

-> Il fait une copy d'écran de TMG téléchargeant un bout de ce fichier, avec bien visible le nom du fichier, son hash, l'IP de TMG et la quantité téléchargée, la vitesse de téléchargement, le jour, l'heure....


M. Dupond prend ensuite tous ces documents, y adjoint toute la paperasse prouvant qu'il est l'unique et exclusif détenteur des droits de Dupond's song, et porte plainte contre X pour contrefaçon avec constitution de partie civile.


Que se passe-t-il ensuite ?

David Znaty est un expert judiciaire de grande qualité intellectuelle autant que morale, reconnu pour son indépendance, la pertinence de ses vues et la rigueur de ses conclusions. J'en atteste pour l'avoir souvent rencontré dans des expertises.

Il est intervenu à la demande de HADOPI dans un cadre qui n'est pas une mission judiciaire, ce qui est parfaitement admis. Son rapport doit donc être considéré comme un élément d'argumentation de HADOPI, même si au demeurant, l'expert Znaty s'est efforcé d'établir son avis en toute objectivité comme le commande les règles déontologiques de l'expert intervenant dans un cadre hors judiciaire.
C'est l'excellente réputation de l'expert Znaty et le contenu de son rapport qui donnent du poids à son rapport.

Concernant Zithom, son avis sur son blog, également hors de toute mission judiciaire bien entendu, est précis, intéressant et utile. Mais je déplore que celui-ci utilise son titre d'expert judiciaire tout en signant sous un pseudonyme. D'ailleurs, en toute rigueur, la loi le lui interdit. Toutefois, cela rentre dans une certaine tolérance nécessaire à la liberté des opinions. Une règle de courtoisie entre experts nous oblige toutefois à débattre sous notre identité.

Si les infractions signalées par HADOPI soulève des questions techniques, le juge sera inspiré à ordonner une expertise, cette fois judiciaire.

Pour ma part, je signe toujours mes interventions et opinions sous mon nom :-)

Jean-Pierre Bigot
Expert judiciaire près la Cour d'Appel de Versailles

jpbigot, le 15/02/2012 - 11:03

Jean-Pierre Bigot
Expert judiciaire près la Cour d'Appel de Versailles

Le corporatisme dans toute sa splendeur.

jpbigot, le 15/02/2012 - 11:03

C'est l'excellente réputation de l'expert Znaty et le contenu de son rapport qui donnent du poids à son rapport.

Sans dire qu'il fait de bon travail ou non, sans juger de ton integrité et/ou de sa réputation.
Généralement quand on met (trop ?) en avant la réputation de l'auteur, je me méfie du contenu (paillette dans les yeux, toussa).

tass_, le 15/02/2012 - 11:11

Le corporatisme dans toute sa splendeur.

Tu as oublié de mettre des arguments dans ton post...

>> Cher Tass_ : préjugé dans toute sa splendeur !!
Les experts, comme les juges qui me connaissent, savent bien que ce n'est pas mon genre, mais pas du tout.
Et quand je ne pense pas de bien d'un expert, je le dis sans détour.. et je ne devrais pas.

WickedFaith, le 15/02/2012 - 11:21

tass_, le 15/02/2012 - 11:11

Le corporatisme dans toute sa splendeur.

Tu as oublié de mettre des arguments dans ton post...

J'en ai mis exactement autant que jpbigot dans le sien, zéro.

jpbigot, le 15/02/2012 - 11:23

>> Cher Tass_ : préjugé dans toute sa splendeur !!
Les experts, comme les juges qui me connaissent, savent bien que ce n'est pas mon genre, mais pas du tout.
Et quand je ne pense pas de bien d'un expert, je le dis sans détour.. et je ne devrais pas.

Et bien que dire alors de vos qualités d'expert si vous trouvez normal que par exemple un excellent expert se permette de juger de la robustesse d'algorithmes qu'il n'a pas pu voir implémentés. Et c'est un seul exemple parmi ceux cités dans l'article.
Il n'y a pas besoin d'être expert pour voir que c'est du vent.

Alors désolé de croire plutôt des gens qui mettent en avant des zones d'ombres plutôt qu'une personne qui va m'assurer que l'auteur est fiable.

Désolé j'attend des preuves.

Vous vous emballez, sans avoir compris ce que j'ai écrit.

Je pense qu'il a débat technique. Entre ce qu'affirme le rapport Znaty, et les zones d'ombre que vous ou d'autres relèvent.
Par conséquent, le juge sera inspiré, à mon avis, de faire la lumière en missionnant un expert judiciaire qui examinera le fond des éléments apportés par les uns et les autres, y compris le rapport Znaty.
En l'état, je me refuse d'avoir une opinion sur ce qu'écrit l'expert Znaty ou ses contradicteurs. Sans un travail de fond, examen des pièces et interview des débatteurs, mon avis (comme le vôtre.. et vlan) serait superficiel !

On est bien d'accord quand vous dites "j'attends des preuves".. je le dis aussi, d'une autre manière..

jpbigot, le 15/02/2012 - 11:03

C'est l'excellente réputation de l'expert Znaty et le contenu de son rapport qui donnent du poids à son rapport.

Ce qui donne du poids à un rapport, ça devrait avant tout être son contenu.
Les arguments d'autorité n'ont aucune valeur et ils faussent le jugement.
Or, il y a certains éléments dans son rapport qui semblent indiquer qu'il n'a pas eu accès à tous les éléments qui lui permettraient de tirer des conclusions quant aux méthodes utilisées pour identifier les "fraudeurs". Donc même s'il est objectif, je ne vois pas comment cela pourrait avoir de la valeur.

jpbigot, le 15/02/2012 - 11:48

En l'état, je me refuse d'avoir une opinion sur ce qu'écrit l'expert Znaty ou ses contradicteurs. Sans un travail de fond, examen des pièces et interview des débatteurs, mon avis (comme le vôtre.. et vlan) serait superficiel !

Ahem :

jpbigot, le 15/02/2012 - 11:03

C'est l'excellente réputation de l'expert Znaty et le contenu de son rapport qui donnent du poids à son rapport.

Ca ressemble quand même fortement à un avis (loin d'être objectif) non ?

De plus, sans vous cacher derrière un bagage technique absent, expliquez moi comment on peut juger de la robustesse d'un algorithme sans le voir implémenté ? C'est pourtant ce qu'a fait Znaty... Désolé mais c'est tout sauf sérieux, surtout pour un "expert".

Et finalement le terme "expert" ne veut rien dire, des ingénieurs informaticiens sortant de l'école sont vendus "expert" dans une technologie tous les jours par des boîtes chasseuses de viande...