|
|
Exclusif : l'Hadopi ne collectera pas de preuve matérielle... pour l'instant
Guillaume Champeau -
publié le Mercredi 27 Mai 2009 à 15h11 -
posté dans Société 2.0
 Selon une communication du ministère de la Culture dont Numerama a pu prendre connaissance, il n'est pas prévu pour le moment que l'Hadopi s'assure avant un avertissement ou une sanction qu'un téléchargement illégal a bien été réalisé depuis l'adresse IP de l'abonné suspecté. Mais le ministère s'attend à devoir renforcer ses preuves, et peut-être à stocker une partie de chaque fichier illégal téléchargé avec chaque saisine. Ce qui risque de faire tomber la riposte graduée dans un gouffre financier. La semaine dernière, Numerama a révélé en exclusivité le contenu des clauses administrative particulières (CCAP) et des clauses techniques particulières (CCTP) qui fixent le premier cahier des charges de l'Hadopi pour la passation du marché public. On apprenait alors que dans le schéma des processus généraux sous-tendant l'activité de l'HADOPI, une phase de "notarisation et d'échantillonnage" s'intercalait entre la phase de collecte de masse des adresses IP, réalisée en amont par les ayants droit, et la phase d'avertissement et de sanction, réalisée en aval par l'Hadopi (cliquez pour agrandir l'image) :
Comme nous l'avions expliqué, l'échantillonnage consiste à ne retenir que certaines des plaintes transmises à l'Hadopi, pour ne traiter que celles qui intéressent le plus l'administration. Nous avions ainsi découvert que l'Hadopi ne sanctionnera pas au hasard les abonnés à Internet, mais qu'un système d'algorithmes permettra de cibler en priorité les récidivistes potentiels, y compris peut-être d'après leur provenance géographique. La phase de notarisation est tout aussi importante, voire plus encore. Selon le CCTP, elle "consiste à qualifier les données et enregistrer les éléments essentiels de la transaction chez un tiers de confiance", c'est-à-dire à enregistrer tous les éléments probants du téléchargement, ou plutôt de la mise à disposition d'un fichier protégé par le droit d'auteur. "Le contenu, l'origine, la date de réception, la clé d'identification de l'expéditeur et la destination du fichier constituent ces éléments essentiels", précisait le document. En cas de recours de l'abonné, ces éléments dupliqués sur des serveurs sécurisés devront constituer des preuves suffisantes, au risque d'annuler la procédure. Mais elles ne seront pas suffisantes, et le ministère s'attend à être sanctionné sur ce point. Soit par le Conseil constitutionnel par une réserve d'interprétation, soit par la CNIL si elle renforce ses exigences lors de la révision des conditions de collecte des adresses IP d'internautes suspectés de téléchargement illégal. En effet, Numerama a pu prendre connaissance d'une information complémentaire transmise par le ministère de la Culture à un candidat au marché public, qui s'interrogeait sur ce qu'il faut inclure dans le "contenu" à notariser. S'agit-il uniquement des éléments permettant d'identifier le contenu, ou du fichier illégal lui-même ? "En principe", répond le ministère, "il s'agit seulement des éléments permettant d'identifier le contenu. Cependant, s'il s'avère que les nécessités de la procédure de recours rendaient obligatoire avec l'envoi de la saisine le transfert de "chunk" des fichiers téléchargés, il en serait fait mention dans le cahier des charges de réalisation du système cible". Ce qui peut paraître un détail n'en est pas un. Selon toutes vraisemblances, les sociétés de collecte d'adresses IP employées par les ayants droit n'ont pas l'obligation d'initier le téléchargement d'un fichier illégal sur l'adresse IP repérée. Or l'on a vu par le passé qu'il est très facile d'injecter des adresses IP innocentes dans les réseaux P2P, et que le fait d'initier un téléchargement est le seul moyen de s'assurer de ne pas accuser à tort un abonné. L'Hadopi ne laissant aucune place à la présomption d'innocence, il lui faut être sûre de la fiabilité des relevés d'adresses IP sur laquelle elle va baser ses avertissements et ses sanctions. D'où l'idée du ministère de prévoir, peut-être, si "les nécessités de la procédure de recours" l'exigent, l'obligation de joindre une partie du fichier mis à disposition par l'internaute (un "chunk") avec chaque saisine. En "notarisant" ce morceau de fichier, l'Hadopi garderait une preuve matérielle de l'infraction. Au delà du problème juridique qu'une telle exigence risque de poser, le fait de télécharger et d'archiver systématiquement un "chunk" du fichier contrefait pose un problème pratique et économique certain. Selon les premières estimations de l'Hadopi, sans chunk, "le poids d'une saisine n'excède pas les 200 Ko". La collecte, également, reste peu coûteuse. Mais avec un chunk, la saisine va devenir obèse. Sur eDonkey/eMule, un chunk pèse en effet 9,5 Mo. C'est un coût de stockage considérable, avec l'objectif d'au moins 10.000 saisines traitées par jour. Mais c'est surtout un surcoût de collecte que ne pourront pas se permettre d'avoir les ayants droit, qui payent la facture de la délation des pirates. L'impact d'une telle exigence sur le coût de la recherche des pirates serait donc "colossal", avait confié à Numerama l'expert Frédéric Aidouni, lui-même auteur d'un logiciel de collecte des adresse IP pour la gendarmerie. "Tout dépend du mode opératoire utilisé par les enquêteurs, mais de toutes les façons il convient de télécharger des contenus pour valider le constat d'infraction", prévenait-il. A défaut, il estime que les preuves ne sont pas suffisantes. Par ailleurs, même les "éléments permettant d'identifier le contenu" dont se contente pour le moment le ministère semblent insuffisants. Le CCTP précisait en effet que sur demande, les abonnés avertis ou sanctionnés par l'Hadopi pourront obtenir le nom des oeuvres téléchargées, leur nature (film, musique,..), la date du téléchargement, la taille des oeuvres, et les coordonnées de l'organisme d'ayants droit ayant saisi l'Hadopi. Mais il ne semble pas prévu de communiquer la signature numérique (le hash) du ou des fichiers contrefaits, qui est le seul élément technique permettant de s'assurer qu'un fichier contient bien le contenu suspecté. Il serait balo qu'un abonné soit sanctionné alors qu'il n'a téléchargé, par exemple, que la bande annonce d'un film. à lire aussi
 Prix indiqués avec livraison
109
Commentaires à propos de «Exclusif : l'Hadopi ne collectera pas de preuve matérielle... pour l'instant»
 'enter', le 01/01/1970 - 01:00 >>>Et enter juste pour information, le md5 n'est plus considéré comme fiable aujourd'hui, alors autant choisir une autre techno. Si tu veux. Quoique le degré de fiabilité de md5 soit quand même largement suffisant. Mais si tu veux on peut trouver d'autres systèmes qui, statistiquement peuvent montrer que deux fichiers ont une forte probabilité quasi absolue d'être identiques. Juste un truc tout con grattouillé à la va-vite : Le fichier de référence A de 10 Mo, le fichier téléchargé par l'internaute B de 10 Mo. L'algorithme de vérification détermine à chaque fois 1000 octets au hasard dans le fichier de référence (ou 10.000 ou 100.000) et stocke leur adresse et leur valeur. Quand tu récupères le fichier téléchargé par l'internaute, tu vérifies ces 1000 octets. Si 90% des octets de référence correspondent aux octets équivalents du fichier téléchargé, à ton avis, est-ce que ce n'est pas une preuve que les deux fichiers correspondent ? On peut s'amuser à faire du calcul de probabilité, mais on doit tomber dans les quarts de poil de cul de grenouille de taux d'erreur. Sauf que là on ne vaut pas installer du Linux, on veut faire condamner des gens, donc le quart de poil, ils l'auront dans le cul   @ enter, une nvlle fois ... "bla bla bla "
"Pour info, actuellement, chez un gd nom de l'infogerance, le prix du stockage est, en moyenne, de 1€ le Go/mois ... soit, hypothese basse 4To x4 X 2 = 32 To soit au bas mot 32 000 € les 4 premiers To /mois, plus la retention des datas sur 6 mois, on aurait schematiquement, 64 000 € le second mois, 128 000 € le 3eme, 256 000 le 4 eme, etc ! cout financier non négligeable tout de même et surtout non budgeté ! ... Donc, le 6eme mois on arriverait a environs 1 million d'Euros le stockage /mois, prix, qui si on applique juste la rétention de 6 mois, ne devrait plus varier ensuite ... soit sur la 1ere année a peu pret 7,5 millions d'euros, et 12 millions pour les années suivantes ..." 12 millions /an (hypothese moyenne) c'est pas mal pour du Blabla ... 'Silver974', le 01/01/1970 - 01:00 12 millions /an (hypothese moyenne) c'est pas mal pour du Blabla ...ils ont qu'à les filer aux brigades anti pédophiles, ils sauront quoi en faire... J'espere que la facture sera envoyée aux ayant droit, pck'il me semble anormal que le contribuable paye pour la protection d'interets d'une petite minorité.
Un premier pas serait déja d'expliquer a Mme Michu que le Gvt va engloutir plusieurs dizaine de millions d'euros pour que certains puissent tjs rouler en Ferrari, avoir un Yatch a St Trop et changer de rollex ...  Alors non en fait md5 n'a pas un degré de fiabilité suffisante quand tout ton système s'appuie la dessus pour traquer potentiellement 17 millions de "cyberterroristes" dont un paquet vont tout faire pour emmerder le bon fonctionnement de l'usine à gaz.
Par contre j'avoue ne pas bien comprendre ce que tu proposes? Ça implique que tu récupères le fichier complet de l'internaute non pour pouvoir comparer sur des séries d'octets tirées au "hasard".  Petite question car lors des débats il était question de 6 mois pour l'envoi des emails mais c'était dans l'année qui suit le 1er email ou le recommandé qui servait pour la coupure de connexion. Or si on veut avoir les données lors d'une contestation devant un tribunal çà fait déjà 1 ans et demi auxquels il va falloir ajouter le temps avant l'appel de la contestation.
après il faudra voir les durées de conservation des pièces administratives qui sont liées au dossier d'appel qui elles doivent être de plus de 10 ans. Donc six mois c'est une hypothèse base avec le fait qu'il n'y a pas de récidive qui entraine alors l'effacement des données. En cas de récidives 3000 recommandé par jours, cela rajoute alors 1 ans de conservation de l'ensemble de données et si l'on va sur les 1000 déconnexions par jours on passe alors sur une décision administrative qui comme tout document ou décision est censé être conservé et archivé. Prototype :
http://larousse.fr/d...cais/prototype# http://francois.gann...quete=PROTOTYPE http://fr.wikipedia.org/wiki/Prototype Ils peuvent s'amuser à changer légèrement le prototype comme cela se fait ailleurs, mais si il le change totalement, en repartant d'une feuille blanche, cela va prendre du temps, et ils devront relancer un appel d'offres à un prestataire informatique, et décalera encore la mise en place de la loi(ce qui serait une bonne chose finalement). Albanel et les autres sangsues du pouvoir, ainsi que Sangsue 1er, veulent que la loi s'applique le plus vite, donc ce n'est pas bon pour eux de tout changer. Bon, juste pour faire cogiter ceux qui nous lises (pas vous bande de pirates ... )
Imaginons un P2P, pas crypte, qui change TOUT les 'chunks' en fonction de l'IP de chacun des peer (au vol), et qu'il faille TOUT les chuncks pour pouvoir decoder le contenu (les chunks deja charge etant utilise comme clef de ceux a charger par exemple) (et pas seulement un bout unique) ALORS: 1) un peer, que l'on nommera CA par exemple, plus ou moins bien intentionne, ne pourra pas 'comparer' le contenu que vous distribuer sans le charger completement + le decoder + comparer avec la version decode. Impossible de comparer simplement avec un chunck charge ailleurs, et encore moins avec les signatures type md5 Ainsi en plus du stockage, il va falloir payer la bande passante en plus du disk. Et comble du bonheur, pendant le chargement, les chunks charges vont etre dispo a chargement aux autres; CA agira donc comme cache. Marant non ce que une loi debile peux faire trouver comme idee encore plus debile ....  @Chunkmasque:
J'avais lu (mais j'arrive pas à retrouver la source) une news sur un nouveau type de P2P pour contourner un vide juridique sur droit d'auteur, et donc, la chasse aux IP des "Uploaders", et ce sans anonymat (Plus rapide, donc) : L'idée de base partait de 3 constats : 1 - Il n'est pas possible, sauf à surveiller chaque internaute, de savoir ce qu'il télécharge. Les ayants droits se sont donc rabattu sur ce que les internautes mettaient à disposition, de fait du principe du P2P, 2 - Le fait de proposer au téléchargement qu'une simple fraction du fichier est passible de la même sanction 3 - Un seul et même fichier ne peut pas avoir deux licences différentes. partant de là, j'avais lu qu'un petit malin avait eu l'idée de n'échanger ou stocker que des fichiers / morceaux de fichiers / paquets contenant systématiquement un savant "mix" de deux fichiers / Morceaux de Fichiers / paquets sous licence chacun, et ce, afin que la recherche des uploads par les ayants-droit ne permette plus la récolte de "preuve" . . . Tu me diras, un vide juridique, ça se comble (c'est p'têtre pour ça que j'en entends plus parler ^^) mais ça montre bien la méconaissance du web par ceux qui tentent de lutter contre le téléchargement illégal . . .  Juste un truc tout con grattouillé à la va-vite :
Oui bien reviens quand tu sauras comment marche le protocole BitTorrent parce que c'est pas du tout ça. Déjà c'est SHA1 qui est utilisé et les blocs sont compressés, ce ne sont pas des parties pures du fichier en lui-même. Et BitTorrent applique une vérification à 100% des hashs reçus. C'est un protocole à octet-exact. De toute façon le gouvernement s'est lancé dans une mission impossible, espérer contrôler tant de donnée.
Oxymore : Mort Vivant, en voila un autre : Gouvernement Sage :o (Sagesse et Gouvernement ne font pas bon ménage).  'enter', le 01/01/1970 - 01:00 LA BASE, pas le système. Tu fais la différence entre les fondations d'une maison et la maison. C'est exactement la définition d'un prototype (à ne pas confondre avec maquette, ce qui est encore différent).Euh ... Les fondations de la maison c'est pas un prototype de maison.  It  Une question : ces fameux chunks, pour pouvoir affirmer qu'ils sont pirates, il va falloir les comparer avec ceux d'un fichier entièrement téléchargés, car on ne sait pas quel chunk vient d'être capturé chez l'internaute.
Cela implique une chose non négligeable : HADOPI va devoir TELECHARGER et STOCKER tout les chunks de tout les fichiers qui circulent... Qui se sent le courage de reprendre la calculette à téras ? 'paulo_75', le 01/01/1970 - 01:00 Sondage LOPPSI Chez les Jeunes UMP ! 98% ! Dur pour Nicolas http://bit.ly/16cjWp A vos clavier  mais il y en a combien comme ça?peur.gif mais il y en a combien comme ça?
Si tu parles des posts de paulo il en fait sur tous les post, même sur PC inpact, est un militant  Après si tu parles du nombre de jeunes d'après le site il y a 1500 votants, mais je ne comprend pas trop à quoi correspond ce site, qui ils représentent vraiment ?
|
A LA UNE
LES + COMMENTÉS
  2 offres à partir de 299 €
 13 offres à partir de 81 €
Télécharger
torrent,
windows live messenger,
redtube video downloader,
voissa anonymo,
avast,
dvb dream,
logiciel piratage,
logiciel alcatel,
Accès rapide :
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
|
Si tu veux.
Quoique le degré de fiabilité de md5 soit quand même largement suffisant. Mais si tu veux on peut trouver d'autres systèmes qui, statistiquement peuvent montrer que deux fichiers ont une forte probabilité quasi absolue d'être identiques.
Juste un truc tout con grattouillé à la va-vite :
Le fichier de référence A de 10 Mo, le fichier téléchargé par l'internaute B de 10 Mo.
L'algorithme de vérification détermine à chaque fois 1000 octets au hasard dans le fichier de référence (ou 10.000 ou 100.000) et stocke leur adresse et leur valeur.
Quand tu récupères le fichier téléchargé par l'internaute, tu vérifies ces 1000 octets. Si 90% des octets de référence correspondent aux octets équivalents du fichier téléchargé, à ton avis, est-ce que ce n'est pas une preuve que les deux fichiers correspondent ? On peut s'amuser à faire du calcul de probabilité, mais on doit tomber dans les quarts de poil de cul de grenouille de taux d'erreur.