Hadopi : des faux fichiers pris pour des fichiers pirates ?

Guillaume Champeau - publié le Vendredi 03 Décembre 2010 à 15h11 - posté dans Peer-to-Peer

La question des fichiers leurres est un problème que nous avons soulevé depuis très longtemps sur la procédure suivie pour la riposte graduée. Comment les ayants droit s'assurent-ils que le fichier partagé par un internaute est bien un fichier piraté, qui contient une oeuvre protégée par les droits d'auteur du plaignant, et pas un fichier légitime renommé ?

A cette question, les ayants droit ont toujours répondu qu'ils vérifiaient systématiquement si la signature électronique (le hash) du fichier partagé correspond bien à celle qu'ils ont dans leur base pour l'oeuvre piratée. Pour s'en assurer, ils doivent télécharger le fichier, et vérifier son caractère illicite. C'est d'ailleurs ce qui est explicitement prévu par les autorisations délivrées par la CNIL, notamment pour celle délivrée le 24 juin à l'Association de Lutte contre la Piraterie Audiovisuelle (ALPA) :

Le dispositif utilisé à cette occasion reposera sur une technologie consistant à calculer pour chaque œuvre audiovisuelle numérisée une empreinte numérique unique, insensible aux altérations qu’aurait pu subir l’œuvre concernée. Cette technologie permettra de s’assurer que le fichier mis à disposition par un internaute correspond bien à une œuvre audiovisuelle protégée. L’ALPA transmettra à son prestataire de service des fichiers originaux afin qu’il calcule pour chacun d’eux une empreinte numérique unique destinée à alimenter une base de données de référence.
Une fois cette base de données de référence créée, le système du prestataire identifie pour chaque œuvre les fichiers illicites en effectuant des requêtes sur les réseaux « peer to peer » à partir de mots clefs, poids informatique, format ou en recherchant les liens permettant leur téléchargement sur des sites dédiés et vérifie qu’ils correspondent aux œuvres originales en les confrontant à l’empreinte numérique unique figurant dans la base de données.

C'est d'ailleurs ce que montrait l'angoissant reportage de 66 Minutes sur M6, au mois d'octobre. Vers la douzième minute, nous voyions les locaux de l'ALPA et ses agents assermentés. "Jean-Pierre, tu as fini de valider de tous les fichiers pirates ?", demandait le responsable de l'ALPA à son employé. "Sans aucun doute... un fichier pirate", concluait-il ensuite, en regardant sur l'écran un des films téléchargés.

A en croire le reportage, tout est fait manuellement pour s'assurer que les fichiers qui donnent lieu à avertissements par l'Hadopi ne sont pas autre chose des oeuvres piratées. Pourtant, voilà une déclaration troublante faite à PC Inpact par Stéphane Michenaud, le directeur général de la société CoPeerRight Agency, qui a pour spécialiser d'inonder les réseaux P2P de fichiers portant le même nom que les oeuvres à protéger, mais qui contiennent autre chose. Ces fichiers leurres doivent en principe décourager l'utilisateur lorsqu'il cherche à obtenir un film en passant par le moteur de recherche du réseau P2P.

"Depuis plusieurs semaines, pour ne pas dire plusieurs mois, l’ALPA a contacté certains de nos clients pour demander les hashs cryptographiques de certains de nos fichiers leurres", affirme-t-il. Quel intérêt ? "Tout nous laisse à penser, jusqu’à preuve du contraire, que nos fichiers leurres sont pris pour des fichiers pirates", explique M. Michenaud. Sa société avait déjà été à l'origine d'un conflit de brevets, qui avait paralysé toute poursuite contre les P2Pistes en France. Bien qu'elle travaille avec des ayants droit, la société est opposée à la riposte graduée.

Alors que l'autorisation délivrée par la CNIL l'oblige à établir une liste noire des fichiers piratés, identifiés par leur signature numérique, l'ALPA demanderait donc communication des signatures électroniques des fichiers leurres, pour établir plutôt une liste blanche des fichiers qu'elle peut ignorer. Interrogé par notre confrère, l'ALPA réplique cependant que cette liste blanche lui sert uniquement à optimiser sa recherche des fichiers à mettre en liste noire. S'il concède qu'il y a une vérification automatisée par un système de reconnaissance des images par fingerprinting, le responsable de l'ALPA assure néanmoins qu'il y a "une vérification manuelle faite derrière". Ce qui rejoint les images tournées par M6, et reste conforme aux exigences de la CNIL.

Reste un autre problème plus largement ignoré, y compris par la CNIL. Sur les réseaux P2P, en particulier sur eMule, il est très simple de renommer un film piraté en "toto.avi", et de voir le fichier proposé par le moteur de recherche lorsque l'utilisateur cherche "toto". Il croit alors télécharger un fichier légal, quand il télécharge en fait le film piraté. Ce dont il ne se rendra compte qu'à la fin du téléchargement (c'est ce qui se passe lorsque vous pensez télécharger un film traditionnel, et découvrez en fait un film pornographique). Techniquement, pour l'ALPA, il est absolument impossible de le savoir, puisqu'elle a simplement connaissance du fait que l'utilisateur télécharge un fichier qui porte la même empreinte numérique que le fichier piraté, et qui contient donc l'oeuvre protégée. Celui qui aura ainsi piraté involontairement sera averti sans avoir jamais le moyen de prouver sa bonne foi.
Publié par Guillaume Champeau, le 3 Décembre 2010 à 15h11
 
 
26
Commentaires à propos de «Hadopi : des faux fichiers pris pour des fichiers pirates ?»
 

1
2
IL ni a pas une astuce juridique et technique pour envenimer la chose et faire s'emballer la machine?

Je sais ce n'est pas républicain comme idée mais avec ce jeu de poker menteur qu'est HADOPI?
En tous cas on sait qu'en France, toutes ces sociétés ou agences ou milices de protection de "copyrights" s'échangent entre elles 450000 films par jour. C'est même une ex-ministre de la Culture qui a fait cette révélation.
Il a le droit, ce gus, d'inonder les réseaux de P2P de faux résultats? àa me paraît plus que limite comme pratique. Quand tu cherches "Debian 5.0" et que tu tombes sur un truc douteux nommé "Debian 5.0.exe" y'a un problème.

En tout cas, on a le nom d'un de ces nuisibles qui.. spamme les réseaux de P2P (y'a pas d'autres mots). Reste plus qu'à trouver un angle d'attaque juridique contre ça.
Les mecs, ils s'auto-génèrent du taff : "Bon, moi je balance un faux fichier sur le réseau, et toi tu l'identifie comme fichier pirate, comme ça on envoie les listes d'@IP à la hadopi"...
Au bout d'un moment, quand tout le monde aura déserté les réseaux P2P "visibles", ils vont juste finir par se dénoncer eux même, et avec des "preuves" en plus :D
C'est sûr qu'avec cette loi on voit bien les effets pervers. Quoi que vous téléchargiez sous emule, vous pouvez être flashé par Hadopi du fait de la mauvaise gestion des noms de fichier. On voit bien que ça touche non plus au contenu mais au contenant. C'est tout un protocole qui est blacklisté.
Dans le cas d'emule, la défense est bien sûr peu véhémente car on sait bien que c'est utilisé très majoritairement pour pirater, mais dans le principe c'est grave.
Avec bittorrent c'est moins problématique, mais si un jour ils s'en prennent au direct download ? Si je publie sous facebook un lien caché vers un fichier piraté ? Tous mes amis qui cliquent sans réfléchir croyant voir une vidéo perso se font avoir ?
EDIT: Erreur de formulation je rectifie,

Excusez du peu, mais AVANT MEME d'avoir executé un .torrent, je sais exactement ce qu'il comporte.
"Ce dont il ne se rendra compte qu'à la fin du téléchargement "
Non, on peut commencer à visionner le film dès les premières minutes récupérées en général et le poubéliser en conséquence.
Par ailleurs, il suffit de changer 1 seul bit dans l'entête du fichier (qu'il s'agisse d'un AVI ou d'un MPEG4) sans en changer quoi que ce soit d'autre et notamment pas le titre pour que le hash soit complètement différent.
Ce qui compte c'est la notoriété du déposant.
Si le déposant est de confiance, on se fiche du hash. Quel que soit ce dernier, on peut récupérer le fichier sans souci.

TPB gère la notoriété !

db
Askrin, le 03/12/2010 - 15:38
Les mecs, ils s'auto-génèrent du taff : "Bon, moi je balance un faux fichier sur le réseau, et toi tu l'identifie comme fichier pirate, comme ça on envoie les listes d'@IP à la hadopi"...
Au bout d'un moment, quand tout le monde aura déserté les réseaux P2P "visibles", ils vont juste finir par se dénoncer eux même, et avec des "preuves" en plus :D
Excellent !
Faute de soldats les généraux des 2 camps opposés vont se taper dessus.
Magnifique !
db
A un moment dans les locaux de la Hadopi y en a quand même un qui lâche "ou son voisin qui lui pique sa connection depuis l'étage en dessous".
Ok donc on sanctionne les yeux fermés.
Merci Hadopi.
Et les offres légales super alléchantes qui doivent nous éloigner du piratage c'est pour quand?
toujours aussi rigolo les gens d adopi (pas de h je vois pas l interet) le plus chiant dans l histoire c est le contribuable qui paye ces gens la marrant .
Le but de toute ces taxes, carte musique jeune, hadopi etc, n'a qu'un seul objectif, renflouer les banques.
jbsorba, le 03/12/2010 - 15:17
IL ni a pas une astuce juridique et technique pour envenimer la chose et faire s'emballer la machine?

Je sais ce n'est pas républicain comme idée mais avec ce jeu de poker menteur qu'est HADOPI?

ca va s'enrailler tout seul t'inquiète pas.. .
ouais donc en gros les sociétés mettent des faux fichiers protégés sur le reseau comme leurre, et la société qu'ils emploient ensuite qui flash les telechargeurs considere ces faux fichiers comme etant des vrais...

astucieux
avec ca c facile de manipuler les chiffres présumés du piratage et aussi de flasher qui on veut pour faire du chiffre
H4rlocK, le 03/12/2010 - 16:34
Le but de toute ces taxes, carte musique jeune, hadopi etc, n'a qu'un seul objectif, renflouer les banques.
Tu confonds les banques, l'état et les maisons de disque... Faut aller réviser ton manuel de "l'altermondialisme pour les nuls" volume 1 chapitre 1.
Grand_grunt, le 03/12/2010 - 15:35
Il a le droit, ce gus, d'inonder les réseaux de P2P de faux résultats? àa me paraît plus que limite comme pratique. Quand tu cherches "Debian 5.0" et que tu tombes sur un truc douteux nommé "Debian 5.0.exe" y'a un problème.

En tout cas, on a le nom d'un de ces nuisibles qui.. spamme les réseaux de P2P (y'a pas d'autres mots). Reste plus qu'à trouver un angle d'attaque juridique contre ça.
Non, mais y a pas d'angle juridique pour les diffuseurs de faux fichiers, deja qu'ils ont toutes les peines du monde a reguler les pratiques des gens pour ce qui concerne les vrais fichiers, faut quand meme pas pousser mémé dans les orties, hein.
guillaume : t'a pas oublié le téléchargement du mini fichier qui permet de comparer le hash par rapport à l'oeuvre d'origine , tu m'enerve avec tes infos à 2 balles , putain travailles les avant de les balancer et de raconter n'importe quoi !!!
"Une fois cette base de données de référence créée, le système du prestataire identifie pour chaque ?uvre les fichiers illicites en effectuant des requêtes sur les réseaux " peer to peer (...) et vérifie qu'ils correspondent aux ?uvres originales en les confrontant à l'empreinte numérique unique figurant dans la base de données."

Vous noterez qu'il n'est pas dit explicitement que TMG doive downloader un bout du dit fichier. TMG doit juste "vérifier". La nature de cette vérification son degré pertinence et de fiabilité, qui sont pourtant les points cruciaux de l'affaire, sont totalement éludés.
fcna2005, le 03/12/2010 - 17:21
guillaume : t'a pas oublié le téléchargement du mini fichier qui permet de comparer le hash par rapport à l'oeuvre d'origine , tu m'enerve avec tes infos à 2 balles , putain travailles les avant de les balancer et de raconter n'importe quoi !!!

le mini-fichier ???

le .NFO ???
(lol)
Guillaume, le 03/12/2010 - 15:11
Sur les réseaux P2P, en particulier sur eMule, il est très simple de renommer un film piraté en "toto.avi", et de voir le fichier proposé par le moteur de recherche lorsque l'utilisateur cherche "toto".
Hé ho, Toto il se télécharge pas, non mais :finishim:
H4rlocK, le 03/12/2010 - 16:06
EDIT: Erreur de formulation je rectifie,

Excusez du peu, mais AVANT MEME d'avoir executé un .torrent, je sais exactement ce qu'il comporte.
bien sur, à condition de croire sur parole celui qui a créé le torrent....

1
2
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
Red Eye Remover
Photo numérique - Corrigez les yeux rouges sur vos photos.
 
PC Decrapifier
Nettoyeurs - Faites le nettoyage dans vos logiciels
 
Look 'n' Stop
Firewall - Un firewall performant
 
Drivermax
Sauvegarde - Sauvegarder vos pilotes
 
MegaPack FreeBrowser
Multi-fonctionnels - Indispensable au Freenautes Dégroupés...
 
Décembre 2010
 
Lu Ma Me Je Ve Sa Di
29 30 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 1 2
3 4 5 6 7 8 9
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC