|
|
Exclusif : le document secret de l'Hadopi sur les moyens de sécurisation
Guillaume Champeau -
publié le Vendredi 30 Juillet 2010 à 10h19 -
posté dans Société 2.0
 Malgré l'interdiction faite par l'Hadopi, et en vertu du droit à l'information, Numerama diffuse le document de consultation relatif au projet de spécifications fonctionnelles des moyens de sécurisation. On peut donc, enfin, parler de consultation publique.
Cependant, plusieurs sources qui ont eu communication du document, parce qu'elles répondent aux critères professionnels définis par la Haute Autorité, nous l'ont transmis. En application de la loi de 1978 et par application du droit à l'information, nous le diffusons ci-dessous malgré la notice "Confidentiel - à ne pas diffuser" qui apparaît sur l'ensemble des 36 pages du document. S'il le faut, nous défendrons en justice ce droit d'information du public. Le document, pourtant, ne dit presque rien que l'on ne savait déjà des objectifs des moyens de sécurisation. Autonomes ou intégrés dans des suites d'antivirus ou de logiciels parentaux, ils devront analyser les flux et les protocoles et bloquer ou avertir l'utilisateur de trafics "suspects", analyser la configuration informatique de l'utilisateur (notamment ses logiciels de P2P installés, l'utilisation d'un réseau WiFi ouvert...) pour prévenir des risques, et enregistrer les évènements du logiciel dans un double journal, dont l'un sera chiffré pour empêcher sa modification par l'utilisateur. C'est ce journal, déchiffrable à l'aide d'une clé publique fournie à un "tiers de confiance", qui sera transmis à l'Hadopi pour démontrer que le moyen de sécurisation était actif au moment du téléchargement illégal supposé. Parmi les contraintes, le document note que les moyens doivent avoir un faible impact sur les performances des machines, être simples d'utilisation et d'installation, être réalisables sous forme de logiciels libres et pour des OS libres, et ne pas transmettre d'informations à des tiers, sauf la clé de déchiffrage du journal. Il sera par ailleurs interdit, et c'est une bonne nouvelle, d'enregistrer un historique de navigation ou de téléchargement. Parmi les éléments importants, les moyens de sécurisation devront pouvoir être mis à jour automatiquement, notamment pour la récupération des "listes noires, grises ou blanches". "Il existe plusieurs sortes de listes, par exemple liste noire des sites web interdits par décision de justice, la liste grise des applications suspectes, la liste grise des mots-clés suspects, la liste blanche de l'offre légale. Ces listes peuvent être aussi relatives à des ports TCP, à d'autres entités informatiques", détaille le document réalisé par le professeur Michel Riguidel, qui montre clairement une volonté d'utiliser le logiciel de l'Hadopi à des fins de filtrage. Le seul passage véritablement stratégique que nous avons décelé qui pourrait justifier la volonté de secret de l'Hadopi est le suivant, qui fait craindre le pire pour les années futures : "pour le moment le parc des boitiers ADSL est très hétérogène, et les boitiers sont dimensionnés de telle manière qu'il est difficile de loger des applications supplémentaires dans ces boitiers. Pourtant, on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc". Contacté par Numerama, le porte-parole de la Quadrature du Net Jérémie Zimmermann juge que "ces specifications délirantes (un super-firewall-antivirus-huissier inviolable tout en un !) illustrent la logique de contrôle des utilisateurs et du Net, parfaitement illusoire, que sous-tend l'HADOPI". "Il est en soi inquiétant que le gouvernement puisse serieusement envisager ces fonctions de journalisation, enregistrant les moindres faits et gestes des utilisateurs, voire d'étendre le dispositif à toutes les futures "box". Au dela de ce fantasme sécuritaire, il y a gros à parier que si un tel logiciel voit le jour (ce qui est loin d'etre certain !), il sera contourné et exploité de 15 façons".
à lire aussi
 Prix indiqués avec livraison
239
Commentaires à propos de «Exclusif : le document secret de l'Hadopi sur les moyens de sécurisation»
 Ne riez pas je crois avoir compris le but du futur soft:
Nous ne somme pas dans le domaine de la technique mais de L'ADMINISTRATIF et du JURIDIQUE cette plaquette décrit les spécifications d'un applicatif de sécurisation be non cet applicatif a pour but de FAIRE APPLIQUER une loi et il va se baser sur des règles techniques mis a la disposition de l'aministré. Le document explique même que le soft doit être capable de luter contre le détournement de ses règles donc contre le contournement de la loi. Ces spécifications on pour but de dire comment un logiciel doit transcrire des règles juridiques et administratives en actes purement techniques via des leviers mis a disposition de l'admnistré. On retrouve toujours la même logique celle des "actes illégaux" c'est écrit dans le document. La loi et surtout l'acte de rendre la justice est un acte "abstrait" difficilement "numérisable". Un programme informatique se contre fou de "la loi" il exécute une série d'actions pour faire simple. Lorsque un juge doit rendre un arret il n'est généralement pas tout seul car même si la loi est la même pour tous nous ne somme pas tous des clones fabriqués en grande série et chaque procés et unique même si c'est pour les même fait. On nage dans semoule avec HADOPI mais ici un soft qui va appliquer des régles administratives et juridique dans le but de déterminer la légalité on touche le fond.  qaruk.zurack, le 30/07/2010 - 20:14 Stp, va juste consulter la définition de "Libéralisme". Tu confonds certainement avec "Complot des puissances maléfiques pour détruire le monde et plonger ces angelots d'humains dans les souffrances infernales". Ceci dit, y'a quelques syllabes en commun, je comprends que la confusion soit facile.Le libéralisme, c'est juste pour les entreprises le droits à exploiter qui elles veulent, quand elles veulent, pour le temps qu'elles veulent, payé combien elles veulent. Quand à l'argent qui ne sort pas du nul part, lol, va raconter cette blague aux types qui inventent des montages foureux comme les CDO, halt and mortgage, dead peasant insurance ou qui jouent en bourse. Le libéralisme, c'est le mensonge, le vol et la trahison.  qaruk.zurack, le 30/07/2010 - 19:04
tomy13, le 30/07/2010 - 18:41 T'es bien lobé avec ça.Moi très vieux et ignorant, moi pas comprendre "lobé" que toi dire ou impliquer. Lober, toi y en pas avoir sur ton Google ou Wikipédia ?  les box, pas par moi, hier, maintenant, demain. L'adsl, c'est l'adsl, pas la tv, ni le tel ... et puis, chez Orange, la box c'est le meilleur moyen pour de faire DLMisé ta connexion..........................
Le jour ou l'on me dit que c'est box obligatoire, je repond DTC pour mes 300 euros annuels... Apres, déjà merci Numerama, on sait au moins à quel sauce on risque d'être mangé.. Chinoise, la sauce, en plus épicée...  le coté confidentiel défense, c'est comme le lancement de France.fr . ( Nico, allez pas sur google news US, vous allez pleurez de honte . heu, pensez à virez Mr Sau...) à mourir de rire mélangé de honte, parce que c'est avec nos impôts quand même, si, si... que nos voisins se marrent Comme souligné dans l'article, c'est la partie filtrage Web qui est la plus grave, car elle ne correspond en rien, ou presque, au dessin de la loi. Les listes sont vraiment une atteinte à la démocratie, et ne correspondent en rien à la lutte contre la non sécurisation d"un PC, oui, non ? qu'en pensez-vous?  Bonsoir. Je fais partie de ces gens que vous appellez Mme Michu. Je sais allumer et éteindre un ordinateur. Le langage bios, vpn et compagnie, est du chinois pour moi (ce qui semble la langue à apprendre dans les prochaines semaines). Je n'ai jamais fait de P2P de ma vie, ni téléchargé de films ou jeux. J'ai par contre récupéré des chansons, introuvables à l'achat, des live, des remix, des inédits. Je ne critique pas les téléchargeurs dont je fais finalement partie. La bonne musique devient rare, et devient souvent à oublier après première consommation. Un cd coûte anormalement cher, ne parlons pas des dvs, livres... Bref, si on est pauvre, la culture, nada. Hadopi me terrifie, et le mot est réel. D'une part, parce que même ceux qui ne font rien se feront prendre (et je n'ai pas 1500 euros à donner, ce n'est même pas ce que je gagne par mois j'en suis loin!). D'autre part, et surtout, parce que cette surveillance est incroyable. On nage en plein Brazil, nous y sommes. Internet, si c'est souvent le grand n'importe quoi, est aussi le dernier vrai espace de liberté et de partage. Le gouvernement place aux postes clefs des anciens de la police, on parle de sécurité et de répression, et plus d'éducation et de réinsertion. On ferme des classes, le Rased, et on bâtit des CER (centres éducatifs renforcés, le bagne du 21è siècle pour jeunes quoi). Et il faut contrôler internet. Si nous n'installons pas leur mouchard, il sera impossible de prouver son innocence. Donc, tous obligés en somme. Refuser, c'est payer, coupure... J'ai longtemps pensé qu'Hadopi ne passerait pas (les Sages ???, CNIL ?? Europe ??). Je perds définitivement, irrévocablement, ma foi en un possible revirement. Même les autres classes politiques se moquent de ça. Les retraites, c'est bien sûr extrêmement important, mais notre liberté de communiquer l'est tout autant. Au 2è avertissement, et cela m'en coûtera, je résilierai mon abonnement internet. Je serai très, très malheureuse, de perdre un accès à un monde de connaissance et de liens. Les bidouilleurs informatique comme vous vous en tirerez. Les Mme Michu comme moi n'ont aucune chance. Je suis anéantie.
EstherBH, le 30/07/2010 - 22:01 Bonsoir. Je fais partie de ces gens que vous appellez Mme Michu. Je sais allumer et éteindre un ordinateur. Le langage bios, vpn et compagnie, est du chinois pour moi (ce qui semble la langue à apprendre dans les prochaines semaines). Je n'ai jamais fait de P2P de ma vie, ni téléchargé de films ou jeux. J'ai par contre récupéré des chansons, introuvables à l'achat, des live, des remix, des inédits. Je ne critique pas les téléchargeurs dont je fais finalement partie. La bonne musique devient rare, et devient souvent à oublier après première consommation. Un cd coûte anormalement cher, ne parlons pas des dvs, livres... Bref, si on est pauvre, la culture, nada. Hadopi me terrifie, et le mot est réel. D'une part, parce que même ceux qui ne font rien se feront prendre (et je n'ai pas 1500 euros à donner, ce n'est même pas ce que je gagne par mois j'en suis loin!). D'autre part, et surtout, parce que cette surveillance est incroyable. On nage en plein Brazil, nous y sommes. Internet, si c'est souvent le grand n'importe quoi, est aussi le dernier vrai espace de liberté et de partage. Le gouvernement place aux postes clefs des anciens de la police, on parle de sécurité et de répression, et plus d'éducation et de réinsertion. On ferme des classes, le Rased, et on bâtit des CER (centres éducatifs renforcés, le bagne du 21è siècle pour jeunes quoi). Et il faut contrôler internet. Si nous n'installons pas leur mouchard, il sera impossible de prouver son innocence. Donc, tous obligés en somme. Refuser, c'est payer, coupure... J'ai longtemps pensé qu'Hadopi ne passerait pas (les Sages ???, CNIL ?? Europe ??). Je perds définitivement, irrévocablement, ma foi en un possible revirement. Même les autres classes politiques se moquent de ça. Les retraites, c'est bien sûr extrêmement important, mais notre liberté de communiquer l'est tout autant. Au 2è avertissement, et cela m'en coûtera, je résilierai mon abonnement internet. Je serai très, très malheureuse, de perdre un accès à un monde de connaissance et de liens. Les bidouilleurs informatique comme vous vous en tirerez. Les Mme Michu comme moi n'ont aucune chance. Je suis anéantie.http://www.maitre-eo...-à-gaz-continue L'explication de pourquoi cela ne marche pas par un avocat Bonsoir
Auparavant une remarque d'humeur badine sur un posté d'hier le 29 juillet par Zabre Ici hier ! zabre, le 29/07/2010 - 12:14 Cet appel d'offres n'a été envoyé qu'à une poignée de sociétés. Et nous avons dû signer une clause de confidentialité avant de lire le document. Et franchement, cela n'a choqué personne. Bref 24 hours later ... merci Numérama ! GREAT JOB ! Je me mets à la lecture ....  Crdlt Merci à Numerama !
On voit bien que le rédacteur de ce cahier des charges maladroits plus scolaire que professionnel ne maîtrise pas les impacts juridiques (il se sent certainement protégé par la main-mise du pouvoir executif sur la Loi) ni même le monde réel. Avez-vous déjà essayé d'utiliser l'interface web d'un routeur Free pour filtrer les adresses MAC pour fournir des IP dynamiques ou fixes dans un range à définir ? Je doute que les Mme/mr Michu puissent le faire. Mme/Mr Michu, vous avez tout mon respect. Comment faire croire qu'un logiciel résident qui sniffe, contrôle, voire journalise n'impacte pas les performances réseau et CPU ? D'où sort ce professeur émérite ? Pense t-il que nous avons des clusters à domicile ou au boulot ? Pire, dans un souci de transparence ils publieront les réponses ... saud si les soumissionnaires demandent le contraire. Transparence ? Alerte/enregistrement sur le volume téléchargé dès qu'il est important (combien ?). Alerte sur l'utilisation de certains ports (lesquels sont "gris" ?). Alerte sur utilisation de connexion chiffrée (ah ouais et si je me connecte sur la messagerie du boulot quel est ton problème ?) Mot de passe pas assez compliqué ... on va t'en choisir un (même les administrateurs n'osent pas) Le mouchard doit pouvoir être désinstallé ... quid d'une solution embarquée dans une box ou en OEM ? C'est digne du débat sur l'identité nationale où le faciès des bons et des méchants est déjà défini. Je confirme le spoof de MAC adresse, l'utilisation d'une VM ou de VPN, le fait que le WEP ou le WAP se craque, le DL sur site à adresse dynamique ... il y a pléthore de techniques pour ne pas se faire toper ... surtout pour un gros downloader/uploader (leur coeur de cible). Bonne chance à tous les Michu qui devront passer par la case "taxe", soit au moment où ils paieront le prix de la tranquillité (ne pas se faire emmerder par l'Hadopi) en acquérant le mouchard, soit au moment où ils devront justifier (au moment du déchiffrement de leur fichier d'un an) devant l'Hadopi qui en aura reçu la copie. Comme l'Hadopi ne m'a pas l'air fute-fute, le risque n'est pas important car les recours juridiques sont nombreux. Mais lorsqu'ils délégueront la tâche à un ami de Sarko avec une entreprise sérieuse et des compétences sérieuses et que les lois auront été amendées pour faire de nous des voyous en puissance dès l'âge de 3 ans ... ce sera l'Anarchie.  Le soumissionnaire devra t-il rembourser le pognon dès que son système aura été craké?
Ça semblerait normal, vu que le pognon c'est le notre et qu'avec les deniers publics, on ne doit pas faire n'importe quoi. (en principe) Le, le 30/07/2010 - 23:06 Le soumissionnaire devra t-il rembourser le pognon dès que son système aura été craké? Ça semblerait normal, vu que le pognon c'est le notre et qu'avec les deniers publics, on ne doit pas faire n'importe quoi. (en principe) Les SFH publiées correspondent déjà peu ou prou à des solutions déjà existantes dans le domaine du SIEM (Security Information and Event Management) des entreprises sérieuses, donc les rédacteurs ne se sont pas trop foulés. Mais les éditeurs ne sont pas responsables de l'évolution des technologies de mise en risque de sécurité. Après ce n'est qu'une affaire de crédibilité ... On vient juste d'inventer le nouveau péage pour le gogo. Manne que se partageront certaines personnes bien placées qui ont eu du nez pour investir dans certaines sociétés. Au fait : Wikileaks et Numerama ... liste grise ou noire ?  C'est assez insupportable de devoir passer par flash pour voir un document qui serait bien au format pdf, donc voici les liens ed2k et magnet pour le fichier à la fin de ce message. Ca a l'air relativement bien pensé, mais à mon avis ça ne tiendra pas. Machine virtuelle, second PC, pour faire simple, sans oublier toutes les failles qui seront exploitées et d'autres bidules qui viendront lui faire sa fête.
Quant au bidule dans le routeur, si ça se fait un jour, faudrait m'expliquer comment il peut détecter le protocole Gnutella cryptée via TLS qu'on pourrait s'amuser à faire passer par le port 80. Ils vont droit dans le mur, j'attends avec impatience d'avoir la version libre du truc pour GNU/Linux sous la main. ed2k://|file|Projet%20specfonc%20secu%20Hadopi.pdf|952259|8AF10417AB58B4936A4C97FC5A3223EF|h=QF64KC5CL5MHKPACRC4DNLBUHZKY64ZY|/ magnet:?xt=urn:sha1:OKL25APMZRELIKHMFZXUZ7J4FW4S4S6B&xt=urn:tree:tiger:VQDBE6GZVIH3K6B2EK5KZW4I6DKD74BYCSHFDNA&xt=urn:ed2k:8af10417ab58b4936a4c97fc5a3223ef&xl=952259&dn=Projet%20specfonc%20secu%20Hadopi.pdf  Hadopi et Loppsi ne sont que le triste reflet de ce qui se passe dans ce pays, qui sombre peu à peu vers un régime autoritaire digne des anciens pays de l'est, le tout servi par un parti et un gouvernement d'une hypocrisie et d'une "méchanceté" foncière (pour rester très poli), qui font passer les années chirac et pasqua pour l'île aux enfants. Quand on les voit déverser leur fiel tous les jours à la télé, on a vraiment l'impression d'avoir à faire à des psychopathes, le verbe ordurier et l'écume aux lèvres.
Marrant... ou pas... J'ai du mal à voir le rapport entre le texte de loi qui a été voté et ce torchon orwellien. On nous demande de "sécuriser" l'accès à internet... et là on nous propose encore une fois de plomber les réseaux privés.
Mais plomber les boxes et les routeurs reliés à internet reste le seul moyen de respecter le texte de la loi. En plus on nous demande de faire ça "avec diligence". C'est exactement le contraire de ce que propose ce torchon approximatif : on en met partout sauf sur l'accès à internet en lui même. On peut donc dire que c'est un appel net, direct et public au détournement de la loi : ce n'est pas puni d'un grand coup de massue sur les cervicales ça ? C'est glauque... et on nous prend vraiment pour des cons.  Le moment est peut être venu d'organiser un BOYCOTT à grande échelle, de " l'industrie du divertissement " afin de leur montrer que les Internautes sont en colère, avant qu'il ne soit trop tard...
Plus de 40 millions d'Internautes Français, ça pourrait faire mal, la ou ça fait mal !  page 31:
les connections au VPN et aux proxies seront incluses dans le journal de sécurisation ! Certains applications comme gnunet font semblant d'utiliser des protocoles anodins. On en n'est pas là, mais: 1) Peut on détecter qu'une connexion au contenu illisible utilisant TCP sur port 443 relève de l'utilisation d'un vpn ? 2) L'installation du mouchard n'est censé être utile à l'internaute que dans le cas où il voudrait prouver sa bonne foi alors que son adresse IP aurait été détectée sur un réseau P2P par des ayants droits comme téléchargeant effectivement (et, plus vraisemblablement, uploadant effectivement) du contenu copyrighté... Que devient l'intérêt de cette installation si l'internaute utilise un vpn via lequel il ne se connecte qu'à des amis ? jiang, le 31/07/2010 - 07:12
2) L'installation du mouchard n'est censé être utile à l'internaute que dans le cas où il voudrait prouver sa bonne foi alors que son adresse IP aurait été détectée sur un réseau P2P par des ayants droits comme téléchargeant effectivement (et, plus vraisemblablement, uploadant effectivement) du contenu copyrighté... Que devient l'intérêt de cette installation si l'internaute utilise un vpn via lequel il ne se connecte qu'à des amis ? Dans ce cas il servira à contredire les miliciens en cas d’erreur de leur part. Si les miliciens collectent ton ip en train de pomper un fichier sous droit qu’ils partagent, mais que le log de ton mouchard ne donne pas ce protocole à l’heure du relevé des milices, tu es innocenté, c’est une erreur de leur part. Si le log donne ce protocole à l’heure du flashage, tu es coupable de non sécurisation de la ligne, si tu ne contestes le fait que tu es responsable du téléchargement si tu es seul a te servir de la connexion, tu peux être poursuivi pour contrefaçon, car le log prouve que ta connexion a servi à ce téléchargement. Le mouchard sera payant, le décryptage du log sera aussi payant, ses mises à jour seront surement payantes, un marché très juteux se met en place avec ce SFH. Ne pas oublié que Riguidel a déjà un brevet qui peut servir dans le mouchard. Le mouchard est presque obligatoire pour éviter les erreurs des miliciens c’est quand même vachement pervers cette loi HADOPI qui oblige cela. Sans le mouchard dans nos machines, ils leur suffisent de prendre notre IP au hasard pour que nous nous prenions l’amende de non sécurisation sans que l’on puisse contester. Il devient très dangereux de se connecter au Net sans ce mouchard, le risque d’amende pour non sécurisation est patent.  tomy13, le 31/07/2010 - 08:46 Il devient très dangereux de se connecter au Net sans ce mouchard, le risque d’amende pour non sécurisation est patent.  Je savais bien qu'on allait dans le mur, ça tient pas debout leur truc :  Désolé pour cette parenthèse débile, mais c'est vraiment comme ça que je vois HADOPI. Un bricolage dangereux et fragile qui fonce droit dans un mur -_-'
|
A LA UNE
LES + COMMENTÉS
 2 offres à partir de 299 €
 13 offres à partir de 81 €
Télécharger
torrent,
emule islande,
windows live messenger,
redtube video downloader,
voissa anonymo,
avast,
dvb dream,
logiciel piratage,
Accès rapide :
Graver ou numériser |
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
|
Malgré notre 
![eMule 0.46c [Xtreme Xtended]](http://images.numerama.com/img/s/t7557-35-37-emule-046c-xtreme-xtended.jpg)
Et ça, ça ne s'appelle pas les "digitals natives", ça s'appelle le libéralisme.
Le fait que l'argent ça ne se chie pas du trous de balles des pigeons on appelle ça réalité, aussi.
Stp, va juste consulter la définition de "Libéralisme". Tu confonds certainement avec "Complot des puissances maléfiques pour détruire le monde et plonger ces angelots d'humains dans les souffrances infernales". Ceci dit, y'a quelques syllabes en commun, je comprends que la confusion soit facile.