|
|
Exclusif : le document secret de l'Hadopi sur les moyens de sécurisation
Guillaume Champeau -
publié le Vendredi 30 Juillet 2010 à 10h19 -
posté dans Société 2.0
 Malgré l'interdiction faite par l'Hadopi, et en vertu du droit à l'information, Numerama diffuse le document de consultation relatif au projet de spécifications fonctionnelles des moyens de sécurisation. On peut donc, enfin, parler de consultation publique.
Cependant, plusieurs sources qui ont eu communication du document, parce qu'elles répondent aux critères professionnels définis par la Haute Autorité, nous l'ont transmis. En application de la loi de 1978 et par application du droit à l'information, nous le diffusons ci-dessous malgré la notice "Confidentiel - à ne pas diffuser" qui apparaît sur l'ensemble des 36 pages du document. S'il le faut, nous défendrons en justice ce droit d'information du public. Le document, pourtant, ne dit presque rien que l'on ne savait déjà des objectifs des moyens de sécurisation. Autonomes ou intégrés dans des suites d'antivirus ou de logiciels parentaux, ils devront analyser les flux et les protocoles et bloquer ou avertir l'utilisateur de trafics "suspects", analyser la configuration informatique de l'utilisateur (notamment ses logiciels de P2P installés, l'utilisation d'un réseau WiFi ouvert...) pour prévenir des risques, et enregistrer les évènements du logiciel dans un double journal, dont l'un sera chiffré pour empêcher sa modification par l'utilisateur. C'est ce journal, déchiffrable à l'aide d'une clé publique fournie à un "tiers de confiance", qui sera transmis à l'Hadopi pour démontrer que le moyen de sécurisation était actif au moment du téléchargement illégal supposé. Parmi les contraintes, le document note que les moyens doivent avoir un faible impact sur les performances des machines, être simples d'utilisation et d'installation, être réalisables sous forme de logiciels libres et pour des OS libres, et ne pas transmettre d'informations à des tiers, sauf la clé de déchiffrage du journal. Il sera par ailleurs interdit, et c'est une bonne nouvelle, d'enregistrer un historique de navigation ou de téléchargement. Parmi les éléments importants, les moyens de sécurisation devront pouvoir être mis à jour automatiquement, notamment pour la récupération des "listes noires, grises ou blanches". "Il existe plusieurs sortes de listes, par exemple liste noire des sites web interdits par décision de justice, la liste grise des applications suspectes, la liste grise des mots-clés suspects, la liste blanche de l'offre légale. Ces listes peuvent être aussi relatives à des ports TCP, à d'autres entités informatiques", détaille le document réalisé par le professeur Michel Riguidel, qui montre clairement une volonté d'utiliser le logiciel de l'Hadopi à des fins de filtrage. Le seul passage véritablement stratégique que nous avons décelé qui pourrait justifier la volonté de secret de l'Hadopi est le suivant, qui fait craindre le pire pour les années futures : "pour le moment le parc des boitiers ADSL est très hétérogène, et les boitiers sont dimensionnés de telle manière qu'il est difficile de loger des applications supplémentaires dans ces boitiers. Pourtant, on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc". Contacté par Numerama, le porte-parole de la Quadrature du Net Jérémie Zimmermann juge que "ces specifications délirantes (un super-firewall-antivirus-huissier inviolable tout en un !) illustrent la logique de contrôle des utilisateurs et du Net, parfaitement illusoire, que sous-tend l'HADOPI". "Il est en soi inquiétant que le gouvernement puisse serieusement envisager ces fonctions de journalisation, enregistrant les moindres faits et gestes des utilisateurs, voire d'étendre le dispositif à toutes les futures "box". Au dela de ce fantasme sécuritaire, il y a gros à parier que si un tel logiciel voit le jour (ce qui est loin d'etre certain !), il sera contourné et exploité de 15 façons".
à lire aussi
 Prix indiqués avec livraison
239
Commentaires à propos de «Exclusif : le document secret de l'Hadopi sur les moyens de sécurisation»
 jiang, le 02/08/2010 - 02:49
[...] Je parlais d'une IP qui serait "véritablement" en liste noire, c'est à dire à qui il serait illégal -voire impossible, car blocage au niveau du Fai- de se connecter. Lorsque par contre il n'a pas été déclaré illégal de se connecter à une certaine IP, que cette IP figure dans la "liste noire" du spyware Hadopi, que l'utilisateur la met en liste grise ou blanche, puis s'y connecte, où est le problème, puisque cette connexion n'est pas illégale ? Le document ne dit pas que les connexions VPN sont illégales, il dit qu'une connexion en VPN sur une adresse "louche" n'est pas un élément qui le dédouanera d'une peine. En effet la négligeance de sécurisation est aussi (dans la loi) avéré si cet internaute cherche à disimuler/contourner l'usage habituel. Il lui faudra fournir d'autres preuves de son innocence. jiang, le 02/08/2010 - 02:49
[...] Ou si l'antispyware a été configuré (il y a 3 ans, donc on s'en souvient plus) pour mettre automatiquement en quarantaine les applications suspectes ? Un utilisateur peut il sérieusement être condamné pour défaut de sécurisation à cause du fait qu'il aurait sur sa machine un antimalware radical ? Une question aussi concernant les OS: Il résulte des specifications que le spyware devrait être capable de tourner là dessus. Que verra-t-il si avec un tel OS on lance µtorrent à travers un openvpn SSL, depuis une partition cryptée ? Alors si le logiciel est arrêté et que son IP est tiré (au sort ?), il ne pourra pas se dédouaner ! Toute la logique de cette loi tient en 3 points : 1) Tu es repéré => il y a négligence de sécurisation de la connexion 2) Sauf si les logs du logiciel montre le contraire 3) A condition de ne pas gruger le logiciel (VPN, autre PC, chiffrement...) Dans cette optique il n'y a nul besoin de connaitre le contenu du flux, puisque celui-ci est connu de celui (TMG) qui a envoyé ton adresse IP à HADOPI. Il est par contre évident que si tu ne télécharge plus par internet, mais par VPN, les ayant droits devront saisir la justice pour que celui qui t'offre le VPN fournisse les preuves qu'a travers lui rien d'illicite transite. Si c'est un VPN hors de France (procédure longue), si c'est en France, c'est long mais faisable. Supposons que celui-ci accède à la requête d'un tribunal, et qu'il s'avère que ton IP publique à travers leur VPN télécharge une oeuvre surveillée par TMG => HADOPI et rebelote ! Mon sentiment est qu'il y a deux points contre les quels on doit se battre concernant HADOPI. 1) La présomption d'innocence bafouée et jetée aux orties 2) La surveillance des oeuvres La surveillance des oeuvres ne s'effectuer selon moi que de deux manières : 1) Surveillance avec mise à disposition : L'ayant droit veux savoir qui est susceptible de télécharger son oeuvre X et charge une société privée telle que TMG de mettre les moyens techniques en place. Celle-ci simplement avec de bonnes machines pouvant héberger plusieurs milliers de fichiers les mets à disposition sur P2P, avec l'accord de layant droit par contrat. Quelles IP se connectent à leur serveur (liste qui a fuité) et bing ! Dans les logs de TMG ! Ces adresses IP initient des téléchargement dont X ! => HADOPI 2) Surveillance avec téléchargement : L'ayant droit veux savoir qui est susceptible de mettre à disposition sans autorisation son oeuvre X et charge une société privée telle que TMG de mettre les moyens techniques en place. Celle-ci simplement avec de bonnes machines pouvant télécharger plusieurs milliers de fichiers et initie des téléchargement de X sur P2P, avec l'accord de layant droit par contrat. Quelles IP fournissent quelques Ko de X à leurs serveurs et bing ! Dans les logs de TMG ! Ces adresses IP mettent à disposition X ! => DADVSI ou HADOPI DADVSI : long, difficile, couteux ! HADOPI : Beaucoup plus simple et presque gratuit ! (le choix est fait) Le point 1) mérite qu'on s'y arrête. En effet si un ayant droit usant de ses droits, autorise TMG à mettre à disposition son oeuvre X en téléchargement libre sur le P2P, ou est la violation de droits ? Celle-ci est autorisée par l'ayant droit lui-même ! A faire valoir ! Le point 2) est plus subtile. Comment ne mettre en marche que HADOPI lors d'une infraction de mise à disposition ? Si HADOPI en a connaissance comme l'a souligné Numerama, elle se doit de prévenir le procureur et donc cela ira dans le sens de DADVSI et non d'HADOPI.  lolotux, le 02/08/2010 - 04:00
[...] Le point 1) mérite qu'on s'y arrête. En effet si un ayant droit usant de ses droits, autorise TMG à mettre à disposition son oeuvre X en téléchargement libre sur le P2P, ou est la violation de droits ? Celle-ci est autorisée par l'ayant droit lui-même ! A faire valoir ! Même question est-ce que TMG a le droit d'utiliser la technique du pot de miel (n'est-ce pas réserver pour lutter contre la pédopornographie)? Si TMG use de cette technique sans en avoir le droit mais sans le dire (genre appâter le "client" avec le prochain blockbuster pas encore sorti en salle en France) est-ce encore de la contrefaçon? Et si TMG a le droit de le faire pourquoi ne pas créer un vrai/faux site de streaming/DDL/newsgroup/VPN, attendre quelques mois puis balancer toutes les IP piegés à l'hadopi?  Il existe une parade à tout ça:
Utiliser des OS qui ne sont pas grand public, et surtout qui se boote au démarrage (pas dans une machine virtuelle). Ex: FreeBSD, Menuetos, Solaris, Beos, ou tiens, Morphos qui fête ses dix ans ! etc ... (linux est dans la liste des moyens de sécurisation donc on n'en parle plus) Le candidat n'aura pas trop le choix sur le langage de programmation: Java ...... (perl et consort n'est pas encore bien implanté dans certains Os....)   Je trouve dommage que tous ces avis d'expert restent sur ce forum. Partageons-les avec l'HADOPI :
Réponse à la consultation publique sur les spécifications fonctionnelles Haute Autorité pour la diffusion des ?uvres et la protection des droits sur internet - Hadopi 4, rue du Texel 75014 Paris Pour le prix d'un timbre aidons le gouvernement ! PS : En plus, il publierons nos avis, et puis ça leur donnera du travail parce que pour l'instant ils sont payés à rien faire... Le risque est vraiment les boxes, avec la manie des FAIs Français de forcer a l'utilisation de leur routeur maison plutot qu'un routeur perso (donc de confiance pour l'utilisateur de la ligne). Je n'ai jamais eu confiance en les boxes, la seul box ou j'aurais confiance ce sera un modem/routeur que j'aurais acheter moi meme d'une marque fiable sans aucun lien avec le FAI...
C'est peut etre bien ce que je ferais, ce qui m'en empeche pour l'instant ce le manque de VoIP... kraftonZ, le 02/08/2010 - 08:29
Le candidat n'aura pas trop le choix sur le langage de programmation: Java ...... (perl et consort n'est pas encore bien implanté dans certains Os....) Comment ferait t'il pour blacklister des VPNs? Nombre de personnes utilisent des VPNs pour travailler, et puis il y a tellement de manieres de faire un tunnel vers une autre machine...
 Chathrang, le 02/08/2010 - 11:07
Je trouve dommage que tous ces avis d'expert restent sur ce forum. Partageons-les avec l'HADOPI : Réponse à la consultation publique sur les spécifications fonctionnelles Haute Autorité pour la diffusion des ?uvres et la protection des droits sur internet - Hadopi 4, rue du Texel 75014 Paris Pour le prix d'un timbre aidons le gouvernement ! PS : En plus, il publierons nos avis, et puis ça leur donnera du travail parce que pour l'instant ils sont payés à rien faire... C'est malheureusement là ou le bat blesse, puisque le public de cette concertation publique n'a pas le droit d'y répondre, droit réservé à quelques professionnels, puisque nous ne sommes pas censés avoir eu accès au document.  Akumetsu, le 02/08/2010 - 06:51 Même question est-ce que TMG a le droit d'utiliser la technique du pot de miel (n'est-ce pas réserver pour lutter contre la pédopornographie)? Si TMG use de cette technique sans en avoir le droit mais sans le dire (genre appâter le "client" avec le prochain blockbuster pas encore sorti en salle en France) est-ce encore de la contrefaçon? Et si TMG a le droit de le faire pourquoi ne pas créer un vrai/faux site de streaming/DDL/newsgroup/VPN, attendre quelques mois puis balancer toutes les IP piegés à l'hadopi?Ils peuvent toujours installer toutes les applis qu'ils veulent dans leur box, personnellement je m'en fous car j'utilise mes propres routeurs. Merci Linux, Open BSD, et autres systèmes libres.
Bonsoir à tous.
Nan mais, ça parait tout con quand même. Si (et je dis bien si) un tel spyware s'implanterait dans les machines : 1- on va le repérer tout de suite (qu'il soit planqué dans un plug-in, implanté avec un antivirus par défaut, ou évidement sur une box) 2- personne ne va nous obliger à l'installer. On ne peut nous obliger d'installer une surveillance 24/24 de son ordinateur personnel. C'est légalement impossible. Surtout à (je dis un chiffre au pif) 20 millions de connectés en France. 3- Vous parlez de VPN, un peu comme si "on va vivre reclus, on ne pourra jamais nous piéger", alors que qu'un logiciel se craque très vite désormais et encore si et seulement si on nous refile pas le truc en douce (ce qui sera très dur pour ne pas le remarquer et ça doit être fait uniquement par des sociétés françaises puisque cette pseudo loi ets française. On ne verra pas un constructeur étranger implanté ce genre de m*rde sur ses programmes... Et qui utilise du hardware ou software frenchie ? A part passer par les box (mises à jour peut être au pire), je vois pas comment on peut implanter ce genre de trucs... A moins de tomber le voile et de nous balancer "si vous le faites pas, vous êtes hors la loi", ce qui est peu probable... La solution est d'utiliser des VPN cryptés. Tellement plus simple. D'ailleurs il y a un site anti-hadopi.com pour ça et bien d'autre également.
"Un utilisateur utilise normalement les moyens de sécurisation sur
un premier poste en téléchargeant légalement des fichiers, et télécharge simultanément et illégalement des fichiers sur un second poste sans moyen de sécurisation, simulant ainsi la présence d'une machine pirate." Ils sont fort à la Hadopi.. Et si les internautes décidaient de financer un grand réseau privé, car là il s'agirait d'un intranet "légal" sur une plateforme autre que le www standard ! je sais je suis dingue mais chez google ils ont l'air de penser comme cela aussi, si demain ils me fournissent l'electricté et que tout ce passe en cpl les coûts de déploiements ne seraient pas si monstrueux.
Mais d'ici là, il y a peut être moyen de corrompre les députés moyennant un changement de loi. Ou élire un président qui serait ici du net et qui virerait tout cela et tous ceux qui ne sont pas encore parti à la retraite malgré un age avancé : assemblée, sénat, conseil généraux => cela fait des emplois pour des nouveaux, pas dit qu'ils soient mieux non plus  page 32 rubrique risques .
" un utilisateur utilise les moyens de sécurisation sur un premier poste , et utilise un deuxième poste ... " ça ou une machine virtuelle . Pour gérer cette option leur bidule va être une véritable usine à gaz ! C'est quand même des grands malades les gus de l'hadopi . Non, scribd impose de se connecter :
- soit via un compte facebook - soit via un compte scribd (à créer ou à trouver -- bugmenot.com est ton ami) http://www.geekle.net/
|
A LA UNE
LES + COMMENTÉS
 2 offres à partir de 299 €
 13 offres à partir de 81 €
Télécharger
bittorrent emule island,
bittorrent emule islande,
msn messenger,
index php,
logiciel 2010,
emule island,
msn,
communication msn messenger,
Accès rapide :
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
|
Malgré notre 
![eMule 0.46c [Xtreme Xtended]](http://images.numerama.com/img/s/t7557-35-37-emule-046c-xtreme-xtended.jpg)
sisisi, page 29 à 31 (de mémoire)
Je parlais d'une IP qui serait "véritablement" en liste noire, c'est à dire à qui il serait illégal -voire impossible, car blocage au niveau du Fai- de se connecter. Lorsque par contre il n'a pas été déclaré illégal de se connecter à une certaine IP, que cette IP figure dans la "liste noire" du spyware Hadopi, que l'utilisateur la met en liste grise ou blanche, puis s'y connecte, où est le problème, puisque cette connexion n'est pas illégale ?
15 jours sans P2P avec la date "+15 jours", et 15 jours avec un autre pc a dl comme un goret
Les journaux sont intègres, signés électroniquement, enregistrent la chronologie
des événements avec des dates et heures dignes de confiance (horodatage sécurisé
des événements) et enregistrent le lieu et le contexte des événements (lieu
informatique de l'événement, identification et authentification du contexte
informatique - la machine, le logiciel et les journaux engendrés associés). La datation
des traces s'opère à partir d'une date et heure récupérée sur un serveur NTP
(Network Time Protocol). Le serveur est sécurisé en redondance avec une bascule,
afin d'assurer une continuité de service, suite à un dysfonctionnement. La connexion
au serveur est sécurisée, par exemple, par SSH.
Au temps pour moi, j'avais été inattentif sur la fin. Mais que se passe-t-il si une applcation -un firewall par ex. bloque la connexion à l'IP du serveur ? Ou si cette IP se retrouve dans des listes utilisées dans Peerblock ?
Plus généralement, avec le niveau d'itrusion qu'il se permet, le spyware hadopi devrait entrer en conflit avec tout antivirus/antispyware de Mme Michu. Que se passe t il si celle ci, alertée par son antimalware, met malencontreusement le spyware Hadopi en quarantaine ? Ou si l'antispyware a été configuré (il y a 3 ans, donc on s'en souvient plus) pour mettre automatiquement en quarantaine les applications suspectes ?
Un utilisateur peut il sérieusement être condamné pour défaut de sécurisation à cause du fait qu'il aurait sur sa machine un antimalware radical ?
Une question aussi concernant les OS: Il résulte des specifications que le spyware devrait être capable de tourner là dessus. Que verra-t-il si avec un tel OS on lance µtorrent à travers un openvpn SSL, depuis une partition cryptée ?