La BBC s'offre un botnet de 22.000 machines à ses ordres

YannickM> oui, la seule méthode pour les ayant-droits de détecter des internautes entrain de télécharger illégalement c'est d'aller sur des réseaux p2p, et télécharger des oeuvres dont ils possèdent les droits, et simplement regarder quelles ip leur envoie le fichier. Ensuite ils transmettent à l'hadopi toutes les ip françaises, avec le nom de l'oeuvre, et la date, et l'hadopi se débrouille pour le reste.

Toute la partie sur les ayant-droits existe déjà, mais seulement à une échelle moindre probablement (il va leur falloir plus d'agents assermentés pour tenir les 10kmails/jour).


"Mais ils ne sauront jamais quels sont les gros poissons des petits... Peut-être que ça leur est totalement égal en fait." > mais ils s'en foutent, les ayant-droits sont juste là pour constater que les internautes derrières ces adresses IP n'ont pas respecté leur obligation de surveillance de leur ligne adsl. D'un point de vue légal c'est totalement hors de propos qui sont "les gros ou les petits", étant donné qu'on est condamné pour non surveillance de ligne adsl et pas pour violation de droits d'auteurs.


"Dans ce cas, existe-t-il des logiciels de P2P permettant de cacher les IP ?">
Réponse courte : non.
Ton adresse ip c'est ton adresse sur internet, quand tu effectues un échange de données sur internet avec une autre personne, c'est en fait 2 adresses ip qui se transmettent des données, chacune connait l'autre adresse ip, sinon elle ne pourrait pas lui parler. Donc quant les agents assermentés de la sacem iront télécharger un torrent,ils vont télécharger des bouts du fichier depuis les autres utilisateurs, et donc fatalement ils vont connaitre les ip des personnes qui leur envoient les données.
Après il y a des réseaux "cryptés", et des réseaux "anonymes". En fait ce ne sont pas des solutions :
Les réseaux cryptés servent juste à crypter l'information transmise entre deux utilisateurs, mais comme ici les agents assermentés sont un des deux utilisateurs, ça ne change rien. Le cryptage sert à empêcher qu'un intermédiaire entre les 2 utilisateurs ne puisse pas savoir ce que les 2 utilisateurs s'échangent comme données.
Pour les réseaux "anonymes", l'anonymat consiste à faire passer les données par plusieurs utilisateurs du réseau avant d'arriver à l'utilisateur final. De fait, l'utilisateur final ne connait uniquement que l'adresse ip du dernier intermédiaire dans la chaine de transmission, et pas l'utilisateur initial qui lui a bien envoyé les données.
Je ne pense pas que ça soit la solution, malgré ce que l'on pourrait penser. En effet, le dernier utilisateur relai qui a envoyé les données à l'agent assermenté, a violé les droits d'auteurs, même s'il ne sait pas ce qu'il a transmit (cryptage + anonymat), et donc si cette personne est en france, elle n'a pas protégé sa ligne adsl, et l'agent assermenté transmettra son ip à l'hadopi, et c'est comme ça qu'en simplement étant présent sur le réseau, sans télécharger de choses illégales, on se retrouve privé d'internet. Alors certes, l'utilisateur initial qui lui a bien partagé un fichier illégalement, il n'a rien, m'enfin il n'a rien, juste pour cet échange, il a aussi probablement servi de relais pour un autre échange illégal, et donc il va aussi se faire couper le net.

Cependant cette explication n'est peut être pas bonne :
Vu la structure de ce genre de réseaux, on pourrait considérer les utilisateurs relais comme des intermédiaires techniques, étant donné qu'ils ne font que transmettre ce qu'on leur demande de transmettre, sans interagir avec les données (peut être même un statut d'hébergeur, protégé par la LCEN), au quel cas il y aurait un conflit entre le statut d'intermédiaire technique (probablement) protégé, et le statut de propriétaire d'une ligne adsl, qu'il est dans l'obligation de surveiller... Et là je ne sais pas comment s'applique la loi.
(J'ajouterai pour finir l'analyse tordue de la situation que sans hadopi, les relais dans les réseaux p2p anonymes sembles protégés par la loi, mais dès l'instant où un ayant droit constate infraction, l'utilisateur doit cesser cette infraction, donc arrêter de relayer les données de ce téléchargement, et là techniquement, je ne connais pas de réseau anonyme qui permet à chaque client de décider de ne pas faire relai pour certaines données, car c'est contre la philosophie du réseau ( et c'est tout simplement impossible dès qu'il y a en plus cryptage)))


Au final, la solution serait un réseau anonyme dont les relais sont à chaque fois dans un autre pays, comme ça les agents assermentés téléchargeront uniquement depuis le relais final qui serait dans un autre pays, et là aucun problème, sauf si les agents assermentés se mettent à télécharger depuis une ip d'un autre pays, et là ça fout tout en l'air, mais en a-t-elle le droit?


De toute façon, je ne pense pas que la solution soit de se cacher, il suffit d'attendre qu'un logiciel de "sécurisation" labellisé par l'hadopi voit le jour, et hop on le fait tourner dans une machine virtuelle, et d'après la loi on n'est plus dans l'obligation de surveiller notre ligne, le logiciel labellisé hadopi le faisant pour nous!

j'ai une question: comment ils pourront envoyer un email, sachant que l'etat n'est pas sensé la connaitre, les fai non plus car seulements des intermediaires techniques, donc connaitre l'email d'une personne c'est obligatoirement espionner sa connexion...

Ce sera la boîte mail associée à l'abonnement à Internet (en toute logique). C'est à dire aussi celle que certains internautes ne regardent jamais.

Le spam, et toutes les autres nuisances dues aux réseaux de botnet, c'est un cadeau que ces emmerdeurs d'utilisateurs de Windows font au monde .

Petite question: les IPs repérées sont les adresses au moment du téléchargement.
Or, si tu as une IP dynamique, cela change à chaque connexion, donc tu as statistiquement très peu de chance de te faire pincer deux fois, il me semble...il suffirait donc de se déconnecter une demi-heure pour repartir de zéro et être pratiquement à l'abri.

Quelqu'un pour confirmer?

Elisheva> à chaque fois que tu te fais chopper par un agent assermenté, le couple (ip, date) est transmis à l'hadopi, ensuite l'hadopi demande la traduction (ip,date) -> nom de l'abonné au FAI. Et c'est très probablement sur cette dernière information que l'hadopi se basera pour savoir s'il y a eu récidive. Donc pas de faille de ce côté.

Et si l'IP a été usurpée ou falsifiée ?

Il se passe quoi ? Tu te défends comment ?

Explique le nous, je te prie.

Natasha> défini "falsifiée", car dans le cadre d'une adresse ip j'ai du mal à comprendre.

Pour l'usurpation d'ip, ou IP spoofing, c'est éventuellement possible oui, mais vraiment pas trivial à mon avis dans le cadre d'un téléchargement bittorrent, car avant de réussir à envoyer des données au nom d'une autre ip à un client contrôlé par un agent assermenté, il faut réussir à enregistrer l'ip à usurper sur le/les trackers, ou alors utiliser les trackers distribués (ce qui serait peut être plus simple), et après réussir à détecter quand le client de l'agent assermenté demande à l'ip usurpée de lui envoyer des données, et à ce moment là on peut envoyer les données avec l'ip usurpée.

Le gros problème technique c'est que bittorrent utilise TCP pour ses communications, et faire de l'ip spoofing sur du tcp c'est pas trivial du tout. Déjà l'inscription au tracker est en tcp, et après les communications entre peers sont en TCP aussi. les trackers décentralisés d'azureus utilisent udp, donc il est possible que ça soit facile de pourrir les trackers décentralisés, pour les trackers normaux, il suffit que le propriétaire du tracker aide (TPB le fait déjà non? ou promettait de le faire?).
Reste à régler la communication ente les peers, et là c'est moins trivial.
C'est pour ça que pour éviter les problèmes de faux positifs, il faut absolument que les agents assermentés procèdent à la vérification que l'ip peer désignée par le tracker existe bien et réponde bien aux demandes de téléchargement, ce qu'ils n'avaient pas l'air de faire jusqu'à présent...

Bref je ne dis pas que c'est impossible, mais à mon avis c'est franchement pas trivial, mais c'est un défi intéressant si la loi passe oui .


"Il se passe quoi ? Tu te défends comment ?

Explique le nous, je te prie."
Je n'a jamais dit que la loi ne posait pas de problème sur ce point, mais juste que change d'ip régulièrement ne te protègera pas de l'hadopi.

De toute façon il est évident que cette loi manque terriblement de moyens de défense.
Comme expliqué plus haut, je ne pense pas qu'il y aura de logiciel de "sécurisation" certifié hadopi. Partant de là il n'y a plus aucun moyen de se dédouaner de l'obligation de surveillance de la ligne adsl.
Le problème est que la loi demande une obligation de résultat si j'ai bien compris, et pas seulement une obligation de moyens. (ce point est à vérifier...)
S'il n'y a qu'obligation de moyen, dans la théorie il n'y a qu'à prouver qu'on a mis en place des tentatives de protections (engueulé les gosses, mis du wpa sur le wifi...), après dans la pratique je ne sais pas sur quels critères l'hadopi acceptera ces excuses.
S'il y a obligation de résultat, étant donné que les agents assermentés apportent la preuve que tu as violé des droits d'auteurs à partir de ta ligne, il ne te reste qu'à prouver qu'ils ont tord, et là c'est totalement impossible d'un point de vue technique...( et Albanel qui affirme le contraire en proposant qu'on envoie nos disques durs... elle est vraiment totalement incompétente sur le problème.. ).


Donc effectivement il est très difficile voire impossible de se défendre contre hadopi.


Un point pour tout casser serait de montrer que l'ip spoofing sur bittorrent est possible, et au quel cas les techniques certifiées par l'état utilisées par les agents assermentés voleraient en éclat (enfin j'espère...j'en sais rien en fait...).

Il serait intéressant d'élaborer un dossier technique expliquant point par point tous les problèmes techniques de cette loi, et de transmettre tout ça à nos députés et plus généralement à tous ceux concernés, histoire de définitivement faire taire albanel (et riester) quand ils assurent qu'on peut se défendre tout à fait en cas d'erreur!

Merci Niluge pour tes explications. à‡a éclaire un peu ma lanterne. L'idée du dossier technique est pas mal parce qu'il n'y a que la technique qui peut convaincre, la philosophie de la loi ne semblant pas déranger grand monde du côté de la majorité. L'UFC Que Choisir est parti dans cette direction, l'APRIL également. Numérama pourrait fournir un moyen de récupérer des idées pour les mettre par la suite dans un dossier. Ou la quadrature. Mais pour ça, il faut des gens qui s'y connaissent un minimum. C'est important de montrer que le sujet est bien maîtrisé.

YannickM> à‡a me rassure un peut, je n'aurai pas écrit tout ça pour rien au moins...

C'est mal écrit mais ça me semble possible ce genre de logiciel. Mais j'ai peur de donner mon idée (l'idée est tordue, je ne voudrait pas les inspirer ou on entre dans le Stalinisme 2.0), en même temps je souhaiterais connaitre l'avis de spécialistes :/
Parce que j'ai très peur qu'ils y aient déjà pensé... j'aimerais qu'on me démontre que ce n'est pas possible.

Vous me conseillez quoi?

LeJu > on peut en discuter par MP, mais je n'ai pas réussi à t'envoyer un mp, il m'a dit "Ce message ne peut être envoyé car le messager personnel du destinataire est désactivé ou le groupe du membre n'autorise pas l'utilisation du messager.", que faire?

@Niluge_kiwi

Personnellement je ne crois pas que le problème soit l'ip spoofing, puisque relativement difficile à mettre en ½uvre, mais plutôt l'injection d'IPs dans le swarm (ce qu'effectivement TBP propose de faire) sans compter qu'effectivement il "suffirait" que les inscriptions au tracker soient en udp pour que n'importe qui puisse "pourrir" le tracker.

En fait il l'ont fait manuellement sur quelques IPs pour démontrer la faisabilité, le problème c'est que de faire 10000 relevés par jour laisse peu de doute sur le fait qu'il n'y aura pas cette vérification beaucoup trop chronophage.

estann> ça dépend combien ils sont, les agents assermentés, et ça dépend comment ils procèdent.
Je ne connais pas la démarche officielle, mais sil chaque ip doit être vérifiée à la main (genre la personne regarde sur µtorrent quelle ip est entrain de lui envoyer des données), effectivement les 10k détections/jour ça fait beaucoup.
Si ils automatisent la chose, il suffit de lancer plein de torrents, un client torrent trafiqué qui demande continuellement toutes les données, et un peu de bande passante, et les 10k détections/jour ça se fait très simplement...

Concernant les trackers, la version décentralisée de Azureus est en udp, (mais je ne sais pas trop ce qu'ils mettent comme vérifications au dessus...) mais il y a pire : µTP, une version du protocol bittorrent purement en udp, pour améliorer les perfs, c'est apparemment dans les dernières versions de µtorrent. (reste là aussi à voir quels mécanismes de protections il y a au dessus d'udp...).

Bref il faudrait savoir plus en détail comment fonctionne le relevé d'ip des agents assermentés, il y a pas mal de lecture quand on demande à google, on y apprend entre autre, que lorsqu'un agent assermenté récupère manuellement une ip, il n'a pas besoin d'autorisation de la cnil. Ce qui sous entend qu'ils peuvent faire des relevés automatiques... On y apprend aussi que la cnil avait refusé une demande de 4 organismes pour automatiser la surveillance sur 10k oeuvres, et que le Conseil d'Etat a cassé cette décision, ce qui veut dire que les 4 organismes ont la possibilité de faire des relevés automatiques... du coup les 10k détections/jour c'est réaliste finalement...

Le tout premier spam c'était il ya 30 ans.
Aujourd'hui même la BBC envoie comme ça du spam cadeau..
Ils aiment se faire du mal :o

@Niluge_kiwi

En fait je crains que toutes ces vérifications ne soient pas faite c'est bien le problème.

Ceci étant je n'avais pas suivi l'histoire de µTP qui passait en udp, qui ammenerait en effet en théorie de meilleurs performances et rendrait la vérification dont on parlait impossible. Le coté négatif c'est que cela risque à terme d'entrainer des congestions sur le réseau et faire le tri dans les paquets udp sera un poil compliqué pour les FAIs.

estann> elles n'étaient pas faites jusqu'à récemment un peu partout dans le monde. Je ne souviens d'une université qui avait enregistré une ip d'une de ses imprimantes sur un tracker, et quelques temps après reçu des menaces de la RIAA...
A partir de là il serait utile de savoir exactement le protocole certifié par l'Etat, et savoir comment le changer s'il ne fait pas ces vérifications...

Concernant les congestions, et le 'tri des paquets udp", je ne saisis pas trop la chose... le FAI il transporte ce qu'on lui demande, et il se démerde...non?

Si c'est géré correctement par l'application il n'y a pas de raison pour qu'il y ait plus de congestion qu'avec des connexions TCP. UDP est un mode sans connexion, mais ça ne va pas dire que l'on est obligé d'envoyer les paquets à l'aveugle pour autant.

Polar_Bear et Niluge_Kiwi je vous renvoie juste à cet article qui explique tout ça bien mieux que moi :
Bittorrent declares war on VoIP, gamers