Nouvelles spécifications fonctionnelles Hadopi : qu'en pensez-vous ?

Guillaume Champeau - publié le Mercredi 20 Avril 2011 à 14h54 - posté dans Société 2.0

En attendant notre analyse détaillée, dites-nous votre avis sur le nouveau projet de spécifications fonctionnelles publiées par l'Hadopi.

Mise à jour : découvrez notre analyse des fonctionnalités techniques. Filtrage au coeur des box et atteinte à la vie privée au programme.

L'Hadopi a lancé aujourd'hui une consultation publique sur la deuxième version du projet de spécifications fonctionnelles des moyens de sécurisation qu'elle devra labelliser, dans le cadre de la riposte graduée. On peut déjà, sans entrer encore dans les détails techniques, remarquer l'extrême prudence de l'introduction, qui montre que la Haute Autorité n'a aucune envie de garantir la fiabilité des logiciels qui recevront son blanc-seing. Au contraire, confirmant un discours arrangé pour envoyer ses premiers avertissements contre l'esprit de la loi, l'Hadopi fait tout pour prendre ses distances avec la moindre assurance d'efficacité des moyens de sécurisation.

Ainsi dès la page 7, le document (.pdf) prévient que les mesures de sécurisation "sont imparfaits, ne garantissent pas une sécurité absolu". Une note de bas de page rappelle-même que malgré les outils conçus pour lutter contre eux, "force est de constater que les virus, les vers, les botnets et les spams se répandent toujours autant". Sur la page suivante, il est aussi précisé que les mesures sont définies "par leur objectif de faire en sorte qu'il n'y ait pas (dans la mesure du possible") de téléchargement illicite via l'accès au réseau public", tout en concédant qu'il est "difficile de définir le caractère illicite d’un téléchargement, puisque le clonage est constitutif du numérique".

Plutôt que de sécuriser l'abonnement, le projet de spécifications fonctionnelles vise donc désormais à "éduquer à une fin d’utilisation des ressources numériques plus respectueuse de la propriété intellectuelle". Eduquer et non filtrer.

Il ne s'agit pas d'imposer un outil de flicage et de filtrage, mais de "fournir de l’aide pour élever le niveau de sécurisation de l’environnement informatique, de la responsabilisation des abonnés dans leur connexion aux réseaux extérieurs, de l’encouragement, si nécessaire, à une modification de la conduite numérique, quand un
utilisateur persiste à réaliser des « téléchargements ludiques » voire des téléchargements illégaux massifs ou un délit de contrefaçon". L'Hadopi ne vous veut que du bien.

Par rapport à la première version de 35 pages qui s'attachait exclusivement aux aspects techniques de la sécurisation, cette nouvelle version de 77 pages (.pdf) ajoute donc un tout nouveau volet sur les "mesures organisationnelles" qui doivent venir compléter les mesures techniques de sécurisation. 

Citant des "politique de sécurité, charte, règlement, information, sensibilisation, identification des machines, éventuellement des utilisateurs" en exemple, l'introduction explique que ces mesures organisationnelles sont "nécessaires pour la mise en vigueur d’une attitude vigilante et responsable à l’égard de l’utilisation d’un réseau local informatique connecté sur des réseaux extérieurs".

Les mesures complémentaires qui peuvent être prises par les abonnés pour compléter les mesures techniques sont donc très simples. "Les mesures élémentaires d’éteindre son ordinateur, de posséder des comptes informatiques personnels avec des mots de passe sophistiqués pour chaque utilisateur autorisé font partie des mesures organisationnelles", prévient l'Hadopi.

Le reste, que nous analyserons tout de même, n'est donc que décorum. Le logiciel n'aura aucune valeur juridique, même labellisé. Il est d'ailleurs notable qu'en page 12, dans le paragraphe sur la labellisation des moyens de sécurisation, l'expression "compte tenu de l'importance que revêtent les moyens de sécurisation" présente dans le document publié l'été dernier a disparu.
Publié par Guillaume Champeau, le 20 Avril 2011 à 14h54
 
 
23
Commentaires à propos de «Nouvelles spécifications fonctionnelles Hadopi : qu'en pensez-vous ?»
 

1
2
Hopf !
Pourquoi poser la question à propos d'une autorité qui ne sert à rien ?
En revanche, le lecteur de documents en ligne est ympa...
Ainsi dès la page 7, le document (.pdf) prévient que les mesures de sécurisation "sont imparfaits, ne garantissent pas une sécurité absolu"

Cool donc ils reconnaissent ouvertement qu'il est impossible de prouver que M. X a réelement télécharger illégalement. La com' et hadopi ça fait vraiment 2 (voir plus ?)
Je l'ai survolé très vite fait, il n'y a pas beaucoup de changement par rapport à la première version. Mis à part le blabla qui se répète sur les objectifs et la sécurité (on a l'impression de lire 4 fois la même chose), c'est toujours un truc qui surveille et écrit des alertes dans un journal.

Dans la première version, c'était un logiciel sur le poste de l'utilisateur. Ce qui était impossible. Maintenant, c'est en plus éventuellement dans la box du fournisseur d'accès (donc géré par le FAI). Ce n'est plus impossible (puisqu'on n'a aucun contrôle entre la box et le FAI), mais c'est grave.

Un paragraphe de la page 8 (tourné très bizarrement, il faut l'avouer) :
Le but de cette Application est essentiellement de d'éduquer à une fin d'utilisation des ressources numériques plus respectueuse de la propriété intellectuelle et à cette fin, fournir de l'aide pour élever le niveau de sécurisation de l'environnement informatique, de la responsabilisation des abonnés dans leur connexion aux réseaux extérieurs, de l'encouragement, si nécessaire, à une modification de la conduite numérique, quand un utilisateur persiste à réaliser des " téléchargements ludiques " voire des téléchargements illégaux massifs ou un délit de contrefaçon.
illustre parfaitement ce que je disais :
Les spécifications présentées définissent un logiciel espion qui journalise les faits et gestes (du moins ceux qui l'intéressent) des internautes. Dans l'esprit des architectes de la loi, la surveillance des utilisateurs est un moyen de sécurisation de la forme actuelle de la propriété intellectuelle, de la même manière que la censure est un moyen de sécurisation de l'opinion publique. Mais il ne s'agit absolument pas de sécurisation informatique.

Par conséquent, il est souhaitable de prévoir des mesures de sécurité appropriées pour encadrer cette suppression par l'Administrateur seulement.

Pffff.. Très facile à contourner sur Windows en prenant le compte superadministrateur.
Un live cd, renommer cmd.exe en utilman.exe.
Redémarrage

net user administrateur /active:yes
Et roule ma poule
rom1v, le 20/04/2011 - 15:14
Maintenant, c'est en plus éventuellement dans la box du fournisseur d'accès (donc géré par le FAI). Ce n'est plus impossible (puisqu'on n'a aucun contrôle entre la box et le FAI), mais c'est grave.

Il suffit de refuser de prendre la "box" du FAI...
Entre le double/triple play et le contrôle de son routeur d'accès au WAN, il faut choisir.

Je signale d'ailleurs qu'il est parfaitement possible d'avoir un téléphone VoIP en dehors d'un abonnement double/triple-play. Il suffit de prendre un abonnement à un serveur de VoIP qui vous fournira un numéro de téléphone et de s'équiper avec un boitier de VoIP (y'en a à partir de 45 euros).

Okay, pour la télévision par ADSL, y'a moins de solution.
Perso, je m'en contrefous, mais bon, entre la télévision par ADSL et le contrôle du routeur WAN, il faudra choisir.

:-)
C'est passé d'un outil de sécurisation à un outil de surveillance et de "modification de conduite". J'ai l'impression d'être dans mixe entre "Orange mécanique" et "Big Brother" !
Je ne me souviens pas si c'était présent dans les premières spécifications, mais, ici, il est clairement fait mention d'écoute réseaux : une installation sur un PC ne se contentera pas de monitorer le trafic entre la machine et Internet mais l'ensemble du trafic visible par la carte réseau, avec journalisation.

Citation
Élément 3 : Aide à la prévention des actes de contrefaçon par l'observation en temps réel, sans enregistrement des flux et protocoles qui transitent par l'accès
.

En précisant bien qu'il s'agit d'une condition siné-qua-none :

Citation
L'observation est optionnelle ; si cette fonction de l'Application est débrayée
sur certaines machines de l'environnement, le titulaire de l'accès internet ne
pourra détecter des événements à risque, de transferts sur ces machines.
.
Faire accepter le pire après avoir annoncé l'inacceptable. Une vieille tactique politicienne.
Il y a quelque chose sur l'interopérabilité ?
Encore quelque chose de plus à dégommer en 2012.
Pas mal aussi "le titulaire souverain possède le produit et ses clés. Il faut donc que le produit s'auto-protège" et le fractionnement du logiciel entre PC/ADSLbox/Réseau.

Il est vrai que sans l'implication des box et un stockage sûr, le logiciel ne sert à rien.
Certains vont donc avoir un logiciel installé partiellement sur le PC et partiellement dans la box ( Livebox 3€/mois, c'était ? ) ce qui va favoriser les FAI.

"ces critères incluent notamment le type de flux ou protocoles, le protocole applicatif, des listes des caractéristiques de formats, de débits, de volumes, des profils d'utilisateurs, des plages horaires" et "Les journaux enregistrent néanmoins une signature des noms de fichiers et des sites lorsque la politique de sécurité a été outrepassée par un utilisateur" ---> àa s'appelle comment? Mieux que le DPI et l'espionnage! Je suis sidéré qu'ils demandent cela...
Je ne vois pas à qui ça s'adresse... ça ne s'adresse pas aux pirates qui ne veulent pas être tracés, ça ne s'adresse pas aux non-pirates qui sont sûrs de ne rien faire de mal (et de toute façon le logiciel même avec un journal vierge ne fait pas preuve).

Ensuite il y a les "administrateurs", c'est à dire une personne qui surveille le réseau.
Dans le cas des entreprises il y a déjà quelqu'un qui s'occupe de ça depuis des années et ils savent bloquer des protocoles et surveiller le trafic.

Donc en gros, il ne reste que les "bons pères de famille" qui veulent empêcher que leurs enfant piratent et les fassent accuser.
Mais si le père de famille a bloqué le compte administrateur, son gosse ne pourra pas installer emule de toute façon.
Dans cette catégorie du père de famille il faut qu'il soit quand même balèze car lire un journal du style Jeudi mai 20 14 :24 :27 2010 : Rapport (Signale connexion ed2k), je veux bien mais ça avance à quoi ?

Bref, faire payer pour un truc qui ne t'innocente pas et qui te permet juste de tracer ton gosse, autant prendre un keylogger...

Deuxième et dernier point : Ca me paraît être un logiciel vachement compliqué à développer, digne des usines à gaz de Norton et autres suites de protection diverses.
Je vois mal une boîte arriver à développer un truc fiable (et il va falloir car je suppose que le premier logiciel qui sortira sera disséqué pour en trouver les failles) pour pas cher. Quand on voit le prix assez élevé des antivirus, sachant qu'il doivent en vendre quand même des millions d'exemplaires, j'ai du mal à croire qu'une telle chose sera vendue 20 euros...
Et je suis curieux de voir le profil de gens qui vont l'acheter.
ça me rappelle l'aventure du "contrôle de téléchargement Orange".
Quand au bout de 3 jours on a découvert une faille et que le logiciel a été retiré de la vente, ils on dû rembourser les utilisateurs. Et combien d'utilisateurs y avait-il ? Une vingtaine d'abonnés. Pas un million, ni mille, mais 20 ! Moins d'une classe d'élèves !!
Pour un truc vendu 2euros par mois !
euh
à une modification de la conduite numérique, quand un
utilisateur persiste à réaliser des " téléchargements ludiques " voire des téléchargements illégaux massifs ou un délit de contrefaçon
C'est moi qui comprend pas ou ils mettent téléchargement légal et illégal dans le même panier?
Pire, j'ai l'impression qu'ils veulent juste fliquer tout ce qui rentre par la carte réseau et puis "si on trouve un truc ou deux d'illégal ce sera cool..."
Cette phrase est vraiment mal tournée/incompréhensible.
Citation
Comme exemple de liste noire, on peut citer :
...
les URL, la liste des sites web interdits par décision de justice,

On s'éloigne de l'Hadopi pour se rapprocher de la LOPPSI... Je m'y connait très mal en matière de justice, mais, est-ce normal que ce soit au niveau du particulier qu'une décision de justice sur un site web doit s'appliquer?
Par contre je ne sais pas si c'était déjà évoqué dans le premier cahier des charges, mais visiblement celui-ci impose que les règles de sécurité (sic) soit écrites dans une norme commune à tous les éditeurs de solution de sécurisation hadopienne (XrML est plusieurs fois suggéré), et ce afin d'être mises à jour *et* fournies par un "groupe de veille technologique". Page 36 pour ceux qui chercheront...
Lysander, le 20/04/2011 - 16:14
On s'éloigne de l'Hadopi pour se rapprocher de la LOPPSI... Je m'y connait très mal en matière de justice, mais, est-ce normal que ce soit au niveau du particulier qu'une décision de justice sur un site web doit s'appliquer?

Normal, non.
Mais cela serait tellement pratique de pouvoir pousser sans intervention juridique une nouvelle liste noire d'URL dans les box des internautes...
Et cadeau bonus : lorsque l'internaute aura la curiosité de vérifier l'URL en question, c'est tracé automatiquement dans le journal (qu'il ai renoncé ou outrepassé l'alerte, la tentative elle sera systématiquement tracée).
C'est pas beau ça ?
Zangoo, le 20/04/2011 - 16:13
euh
à une modification de la conduite numérique, quand un
utilisateur persiste à réaliser des " téléchargements ludiques " voire des téléchargements illégaux massifs ou un délit de contrefaçon
C'est moi qui comprend pas ou ils mettent téléchargement légal et illégal dans le même panier?

Non, ils considèrent simplement qu'un téléchargement "ludique" est très probablement illégal : sympa !
Et par ailleurs qu'un téléchargement illégal n'est pas forcément un délit de contrefaçon, et donc envisage que puisse être qualifier d'illégal le fait de télécharger des informations qui ne tombent pas sous le coup de la protection des droits d'auteurs et droits voisins mais sous d'autre protection. On pense évidement à la pédopornographie mais également et très rapidement aux documents de WikiLeaks, des documents secrets industriels (cf. EDF vs Sortir du Nucleaire) ou classés secret défense.
Bref, à LOPPSI 2.

Très sympa tout ça.
j'ai lu ce document et ça m'a donné envie de vomir. J'en lis souvent des spécs d'applications mais c'est la première fois que ça me donne la nausée.

Ils veulent nous sécuriser de force, nous éduquer, à coup de novlangue informatique. Effrayant. Les mecs qui ont pondu ce truc devaient être chomeurs de longue durée pour accepter le job.
Tout cela pour des films et de la musique?
C'est vraiment des malades!
Comme l'a si bien dit rom1v, ce n'est pas de la sécurisation informatique, c'est de la surveillance d'utilisateurs/internautes.

Excusez moi, il faut que j'aille vomir. :vomi:

1
2
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
Auslogics Antivirus
Antivirus - Un antivirus performant.
 
Webcam Watcher
Communication - 1500 webcams s'offrent à vous
 
RageWork
Exploreurs de fichiers - Une alternative à Windows Explorer
 
Debris
Demoscene - Vidéo faite par des demomakers
 
Avril 2011
 
Lu Ma Me Je Ve Sa Di
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 1
2 3 4 5 6 7 8
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC