Exclusif : le document secret de l'Hadopi sur les moyens de sécurisation

Guillaume Champeau - publié le Vendredi 30 Juillet 2010 à 10h19 - posté dans Société 2.0

Malgré l'interdiction faite par l'Hadopi, et en vertu du droit à l'information, Numerama diffuse le document de consultation relatif au projet de spécifications fonctionnelles des moyens de sécurisation. On peut donc, enfin, parler de consultation publique.

Malgré notre demande renouvelée hier, sur le fondement de la loi n°78-753 du 17 juillet 1978 qui organise le droit d'accès aux documents administratifs, la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi) ne nous a pas transmis "le document relatif au Projet de spécifications fonctionnelles des moyens de sécurisation". Alors qu'il est la base d'une "consultation publique", l'Hadopi estime qu'il s'agit là d'un document secret, de caractère préparatoire. Une situation inédite qui révèle tout l'inconfort de la Haute Autorité face aux moyens de sécurisation, qui sont pourtant la clé de voute de la riposte graduée.

Cependant, plusieurs sources qui ont eu communication du document, parce qu'elles répondent aux critères professionnels définis par la Haute Autorité, nous l'ont transmis. En application de la loi de 1978 et par application du droit à l'information, nous le diffusons ci-dessous malgré la notice "Confidentiel - à ne pas diffuser" qui apparaît sur l'ensemble des 36 pages du document. S'il le faut, nous défendrons en justice ce droit d'information du public.

Le document, pourtant, ne dit presque rien que l'on ne savait déjà des objectifs des moyens de sécurisation. Autonomes ou intégrés dans des suites d'antivirus ou de logiciels parentaux, ils devront analyser les flux et les protocoles et bloquer ou avertir l'utilisateur de trafics "suspects", analyser la configuration informatique de l'utilisateur (notamment ses logiciels de P2P installés, l'utilisation d'un réseau WiFi ouvert...) pour prévenir des risques, et enregistrer les évènements du logiciel dans un double journal, dont l'un sera chiffré pour empêcher sa modification par l'utilisateur. C'est ce journal, déchiffrable à l'aide d'une clé publique fournie à un "tiers de confiance", qui sera transmis à l'Hadopi pour démontrer que le moyen de sécurisation était actif au moment du téléchargement illégal supposé.

Parmi les contraintes, le document note que les moyens doivent avoir un faible impact sur les performances des machines, être simples d'utilisation et d'installation, être réalisables sous forme de logiciels libres et pour des OS libres, et ne pas transmettre d'informations à des tiers, sauf la clé de déchiffrage du journal. Il sera par ailleurs interdit, et c'est une bonne nouvelle, d'enregistrer un historique de navigation ou de téléchargement.

Parmi les éléments importants, les moyens de sécurisation devront pouvoir être mis à jour automatiquement, notamment pour la récupération des "listes noires, grises ou blanches". "Il existe plusieurs sortes de listes, par exemple liste noire des sites web interdits par décision de justice, la liste grise des applications suspectes, la liste grise des mots-clés suspects, la liste blanche de l'offre légale. Ces listes peuvent être aussi relatives à des ports TCP, à d'autres entités informatiques", détaille le document réalisé par le professeur Michel Riguidel, qui montre clairement une volonté d'utiliser le logiciel de l'Hadopi à des fins de filtrage.

Le seul passage véritablement stratégique que nous avons décelé qui pourrait justifier la volonté de secret de l'Hadopi est le suivant, qui fait craindre le pire pour les années futures : "pour le moment le parc des boitiers ADSL est très hétérogène, et les boitiers sont dimensionnés de telle manière qu'il est difficile de loger des applications supplémentaires dans ces boitiers. Pourtant, on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc".

Contacté par Numerama, le porte-parole de la Quadrature du Net Jérémie Zimmermann juge que "ces specifications délirantes (un super-firewall-antivirus-huissier inviolable tout en un !) illustrent la logique de contrôle des utilisateurs et du Net, parfaitement illusoire, que sous-tend l'HADOPI". "Il est en soi inquiétant que le gouvernement puisse serieusement envisager ces fonctions de journalisation, enregistrant les moindres faits et gestes des utilisateurs, voire d'étendre le dispositif à toutes les futures "box". Au dela de ce fantasme sécuritaire, il y a gros à parier que si un tel logiciel voit le jour (ce qui est loin d'etre certain !), il sera contourné et exploité de 15 façons".

"Il est obcène que l'argent du contribuable soit ainsi utilisé pour se livrer à des expériences de savant fou, dangereuses et vouées à l'échec", condamne-t-il.
Publié par Guillaume Champeau, le 30 Juillet 2010 à 10h19
 
 
239
Commentaires à propos de «Exclusif : le document secret de l'Hadopi sur les moyens de sécurisation»
 

1
2
3
4
5
6
7
8
9
...
bravo et bon courage a vous pour luter contre la mauvaise fois ÉVIDENTE des détracteur de cette loi
Faut un compte facebook pour télécharger le document, pas cool, je voulais en envoyer un exemplaire à ma copine Chrissine.
qaruk.zurack, le 30/07/2010 - 11:22
Sacefe, le 30/07/2010 - 11:16
Personne ne me dira ce que je dois avoir sur ma machine, j'en suis propriétaire, et pour l'avoir monté moi même je sais ce qu'il y a dedans, se sont mes choix perso. Alors j'ai envie de dire que leur logiciel de sécurisation, ils peuvent se le &!?#.

La propriété d'un bien ne prévaut pas sur la légalité de l'usage que tu en fais -- Si tu possède un bien volé dans une armoire, le fait que l'armoire soit à toi n'y change rien, par exemple (ce n'est pas un parallèle, juste une illustration).


- - - -

Bref, après un an consternant de tergiversation intutile à la hauteur de leur novicité (pour pas dire incompétence) en matière d'informatique et d'internet en général, enfin, ENFIN ils pensent aux Box.
Putaing, c'était tellement évident, tellement clair, tellement net.
Sont pas lents, hein.

Maintenant, tout le fun des temps à venir va nous rappeler la bonne vieille époque des décodeurs canal+ pirates... Rendez-vous tous à Montgallet pour les "Box HADOPI-breakées" :wizard:

Ahhhhhhhhhh ! la belle époque où je soudais allègrement les petites "boîtes" vertes sur de jolis circuits...... je suis ému.
Encore un truc en Flashâ juste pour voir un fichier PDF†:(((
salut ,

je me pose quand meme quelques questions , et quand on se sait pas , on demande a ceux qui savent !

est ce que le fait d'avoir plusieurs ordinateurs pourrait biasé le mouchard , je veux dire par la que j'ai un petit notebook sur lequel je ferais tourner le soft et sur lequel rien ne mentionner. De l'autre coté j'ai un imac , est ce que sur celui ci je pourrais y faire ce que je veux avec le notebook comme termoin ?

le mouchard est censé etre open source. Sont ils débiles ? ca voudrait dire que n'importe quel devlopeur pourrait recuperer le code source pour en faire un mouchard completement pipo ?
Bravo à numérama.
EmilienJ, le 30/07/2010 - 13:42
bravo et bon courage a vous pour luter contre la mauvaise fois ÉVIDENTE des détracteur de cette loi

J'ai failli répondre, mais le troll est trop gros :) surtout vu l'avatar.
horizon, le 30/07/2010 - 13:54
est ce que le fait d'avoir plusieurs ordinateurs pourrait biasé le mouchard , je veux dire par la que j'ai un petit notebook sur lequel je ferais tourner le soft et sur lequel rien ne mentionner. De l'autre coté j'ai un imac , est ce que sur celui ci je pourrais y faire ce que je veux avec le notebook comme termoin ?

Ton truc ne marchera pas, parce que ton imac ne réussira pas à capter le réseau.
Naaaaa je fais le mauvais esprit. Oui, ce que tu supposes est juste.
Mais j'ai peur qu'un peu à la façon de contrôle fiscaux, ils demandent aux FAI de valider que les requêtes en provenance d'un abonnés soient bien destiné à une machine et non plusieurs (là je me tournent vers qui savent surement mieux : l'id de la machine émettrice est conservée dans toutes les trames tcp, ou y a une sorte de registre dans les routeurs ?)


horizon, le 30/07/2010 - 13:54
le mouchard est censé etre open source. Sont ils débiles ? ca voudrait dire que n'importe quel devlopeur pourrait recuperer le code source pour en faire un mouchard completement pipo ?

Rooh, jamais content ces internautes ! On leur pond un logiciel de controle non open-source, ils gueulent ; on leur file un soft open-source, ils gueulent !
Tout de même...

Je pense que la parade est assez simple : on te fourniras certes les sources, mais le soft qui te sera fourni à toi personnellement inclura une sorte de clef, non rétro-ingénierable, qui permettra par recoupement de certifier que les infos envoyées proviennent bien de la copie unique qu'on t'a envoyé, pas d'une mouture locale, quand bien même compilée sans modification au code.
Imagine juste un soft qui construit un soft.


PS : on est vendredi, alors si je sors de conneries plus grosses que moi d'un point de vue techos, d'une part j'assume, et d'autre part je m'en fous tant qu'on me dit en quoi et pourquoi ci pô vré kichui kon.
Pareil que tout le monde... Voila vraiment un super scoop, un article dont vous pouvez être fier, tout ça... MAIS POURQUOI PASSER PAR CE "scribd" de MERDE !!? Vous avez vu le bordel pour le téléchareger ce doc !? Une inscription, 3 pages de pub et 12 clics plus tard... non mais sérieux, un lien c'était pas plus simple ?
La phrase exacte sur le libre en fait est :
"Les moyens peuvent être réalisés à partir de logiciels libres et/ou fonctionner sur des systèmes d'exploitation libres."

Ce qui n'implique pas que le résultat soit libre...
Par contre ils réitèrent le support des OS libres (enfin je doute qu'ils pensent à Haiku) :
"intégration possible dans tout environnement (y compris le domaine du logiciel libre)"

Ceci dit, sachant que même les développeurs d'applications libres ne sont souvent pas capables de les rendre portables, j'ai du mal à voir comment ils vont faire :D

le mouchard est censé etre open source. Sont ils débiles ? ca voudrait dire que n'importe quel devlopeur pourrait recuperer le code source pour en faire un mouchard completement pipo ?

Haha le vieux mythe du "c'est open source donc c'est pas sécurisé".. Ridicule
Je me demande si on est pas sur une autre planète non pars que plus ke lis ce truc plus je me pose SÉRIEUSEMENT cette question.
Merci pour le document, mais... il est où le lien pour y accéder?
L'exemple de log qu'ils fournissent est particulièrement explicite.
- Demande de confirmation à l'utilisateur pour tout ce qui est sur liste grise (90% du net ?). Ceux qui n'appréciaient pas les demande de confirmation de l'UAC de Vista vont être content.
- Refus de tentatives de connexion à ce qui est black listé avec plages horaires d'autorisation de connexion comme pour tout logiciel de contrôle parental qui se respecte.

Au final on retrouve en ligne de mire les protocoles P2P, sites web et streamming avec beaucoup de messages de demande de confirmation vu que ca serait illégal de les bloquer tant que c'est pas déclaré illégal d'une facon ou d'une autre.
Cet aspect du filtrage est particulièrement inquiétant au vu du grand n'importe quoi vers lequel leur spyware se dirige. Est-ce qu'on doit s'attendre à un remplisage de leur liste noire par décret d'un ministère ou est-ce que c'est les lobbies de tout genre qui vont la remplir directement ? Au final qu'elle différence de toute facon.

En attendant je suis curieux de voir comment ce truc sera commercialisé au hasard chez Orange. Je verrais bien une offre "protection tout en un" avec petite (très petite) mention sur le téléchargement sans le moindre détail technique. Un truc bien du niveau des parents qui, effrayés par la propagande de TF1 au sujet de la chasse à l'internaute qui à enfin commencé, ne vairons aucune objection à déboursser quelques euros de plus pour ne pas être inquiétés.


En fait le filtrage c'est pas si compliqué que ca à mettre en place. Les FAI ne l'ont pas fait, les utilisateur apeurés pairons pour le faire.
Pour les autres faire tourner une telle saloperie, même sur une machine virtuelle, ca ne servira à rien puisse que le tout est effectivement très pédagogique : sans la peur des utilisateurs tout leur système se casse la figure.

Tous ces millions qui partent en fumée pour rien :cry:
On voit où hadopi est allé chercher son inspiration : www.mps.gov.cn
Bon, je vais ressortir mon Fast 800; parce qu'avec, je paux faire quasiment aussi bien qu'avec une box; sauf voir la télé mais pour ça j'ai un téléviseur et à part le 13h de Pernot, la télé, c'est pas terrible.
qaruk.zurack, le 30/07/2010 - 14:13
(là je me tournent vers qui savent surement mieux : l'id de la machine émettrice est conservée dans toutes les trames tcp, ou y a une sorte de registre dans les routeurs ?)
Non, aucun moyen de savoir si la trame est destinée à un ordinateur en particulier sur les centaines connectés à ta box ^^

qaruk.zurack, le 30/07/2010 - 14:13
Je pense que la parade est assez simple : on te fourniras certes les sources, mais le soft qui te sera fourni à toi personnellement inclura une sorte de clef, non rétro-ingénierable, qui permettra par recoupement de certifier que les infos envoyées proviennent bien de la copie unique qu'on t'a envoyé, pas d'une mouture locale, quand bien même compilée sans modification au code.
Imagine juste un soft qui construit un soft.


PS : on est vendredi, alors si je sors de conneries plus grosses que moi d'un point de vue techos, d'une part j'assume, et d'autre part je m'en fous tant qu'on me dit en quoi et pourquoi ci pô vré kichui kon.
Ouais, mais non... Si c'est réellement open-source, la clef, tu peux la prendre et la mettre dans ton programme pipeau...

tass_, le 30/07/2010 - 14:18

le mouchard est censé etre open source. Sont ils débiles ? ca voudrait dire que n'importe quel devlopeur pourrait recuperer le code source pour en faire un mouchard completement pipo ?

Haha le vieux mythe du "c'est open source donc c'est pas sécurisé".. Ridicule
Haha, le gars qui a rien compris.

C'est open-source, donc on peut aller modifier le code, donc on peut aller modifier *sa* version du logiciel pour faire ce qu'on en veut, par exemple, ajouter des failles de sécurité, ou empêcher la journalisation de certains événements. Oui, a priori, un logiciel de sécurisation open-source, on pourra le modifier pour en faire un pipeau. C'est pas une question de sécurité...
J'imagine les touristes dans les hotels de France on va passer pour des débiles profonds.
duschnouk, le 30/07/2010 - 14:36
On voit où hadopi est allé chercher son inspiration : www.mps.gov.cn

Je compends rien à ton site.
C'est du chinois ou quoi ? :jap:
Merci Kad pour le document.

1
2
3
4
5
6
7
8
9
...
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
DownThemAll!
Téléchargeurs et aspirateurs - Télécharger les fichiers contenus dans une page avec Firefox
 
Yahoo! Widget Engine
Multi-fonctionnels - Mettez des Widgets sur votre bureau
 
eMule 0.46c [Xtreme Xtended]
eMule (et mods eMule) - Mod eMule avec beaucoup de fonctions.
 
PowerPointImageExtractor
Capture et enregistrement - Récupérer les images et sons d'un PowerPoint
 
MovieSlave
Catalogues et pochettes - Gestionnaire de films
 
Juillet 2010
 
Lu Ma Me Je Ve Sa Di
28 29 30 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 1
2 3 4 5 6 7 8
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC