Hadopi s'excuse pour sa trop grande transparence

Guillaume Champeau - publié le Mardi 14 Février 2012 à 09h56 - posté dans Peer-to-Peer

L'Hadopi a présenté lundi ses excuses aux ayants droit, après avoir découvert que la version du rapport d'expertise qu'elle a publiée sur les processus de TMG n'avait pas été censurée pour supprimer des informations sensibles, comme cela avait été négocié. Le rapport dévoile certaines faiblesses que les artisans de réseaux P2P pourraient tenter d'exploiter.

Lundi, nous rapportions que l'Hadopi avait choisi de publier le rapport d'expertise de David Znaty sur TMG. Le document est censé rassurer les magistrats sur la fiabilité du processus de collecte des adresses IP et d'établissement des procès-verbaux, qui constituent les pièces maîtresses de la contravention de négligence caractérisée que les tribunaux commenceront très bientôt à sanctionner.

Dans son rapport, l'expert judiciaire analyse les procédés qui permettent aux ayants droit et à TMG de vérifier que les fichiers mis à disposition sur les réseaux P2P sont bien des oeuvres piratées, et de s'assurer que les adresses IP collectées sont bien celles qui mettent à disposition ces fichiers. Réalisé essentiellement d'après les explications apportées par les ayants droit et par TMG, le document conclut que l'ensemble du processus de collecte des preuves est "robuste" et "fiable".

Il livre également certains détails techniques sur la manière dont TMG travaille, ce qui inquiète visiblement les ayants droit. PC Inpact révèle que l'Hadopi s'est trompée en mettant en ligne un document qui n'est pas la version censurée qui avait été négociée avec les sociétés d'ayants droit.

"À la lecture de celui-ci qui vient d'être mis en ligne sur le site de l'HADOPI, nous avons observé qu'il n'a été tenu compte d'aucune des modifications demandées concernant les données que nous estimons sensibles et confidentielles", a écrit l'Association de Lutte contre la Piraterie Audiovisuelle (ALPA), dans un échange par e-mail avec l'Hadopi.

"Je viens en effet de constater que la version mise en ligne n'était pas la version modifiée. Il s'agit d'une erreur interne et je vous en présente toutes nos excuses. Les engagements avaient bel et bien été tenus et je regrette ce qui vient de se passer", s'est excusé Eric Walter, le secrétaire général de l'Hadopi.

Parmi les données qui devaient être censurées figurent des indications sur la méthodologie d'identification des oeuvres, ou des informations plus sensibles sur l'infrastructure technique. Il est aussi indiqué que les morceaux de fichiers téléchargés pour vérifier que l'adresse IP est la bonne font 16 ko chacun.

Visiblement, les ayants droit sont inquiets que la communication du rapport n'apporte de l'eau au moulin de ceux qui, comme Numerama, pointent du doigt l'absence d'homologation du processus de collecte des preuves. "Il a toujours été convenu que ce rapport serait communiqué dans le cadre de procédures judiciaires aux magistrats destinataires. Même s'il est évident que tôt ou tard il sera rendu public, je m'interroge sur l'opportunité de le mettre en ligne au moment des premières transmissions de dossiers. Le bruit médiatique et les réactions partisanes qu'il ne va pas manquer de susciter seront de nature à influencer les magistrats ayant les traiter", regrette l'ALPA.

Effectivement, dès hier, des lecteurs de Numerama commentaient le contenu du document, à l'instar de thb :

Bon ok le rapport n'est pas parfait mais il dit quand même beaucoup de choses. Je salue la Hadopi pour l'effort de transparence (forcé !!). 
Plusieurs premiers éléments à chaud : 
- Les fichiers dont le nom ne contient pas de mot clé sensible ne sont pas surveillés 
- Les fichiers compressés avec mot de passe ne sont pas surveillés 
Par contre les fichiers altérés ou réencodés sont protégés 
- TMG initie le téléchargement et ne dresse un PV que si un chunk complet est récupéré (d'après les dires de TMG eux-même). Le chunk est joint au PV. 
 
La collecte semble quand même plutôt solide, à creuser
Ou cet autre commentaire de liladou :
Ce document est une mine d'or d'informations. La recherche se fait par mot-clefs, ce n'est pas dit mais il s'agit bien évidement d'une recherche effectuer sur des trackers. Les propriétaires de trackers peuvent donc repérer rapidement les comptes qui effectuent des recherches automatisés, qui téléchargent à mort et sur des ranges d'IP offshore. 
 
Autre pepite. La vérification chunck "qui constitue une preuve démontrable" ou plutôt démontable. Le téléchargement d'un chunck signifie que l'on est en possession du dit chunck, pas forcement de l'oeuvre. On peut aussi envisager des contre-mesures technique contre ces prélèvement de chuncks. Les client P2P qui ont subi une connexion suspecte (je qualifie une connexion comme suspecte quand un leecher se tape tout le protocole pré-envoie juste pour 16 malheureux kio) transmettent aux autres clients l'IP du suspect ; les autres clients pour refuser les envois vers les leechers qui initie trop de connexion suspectes. 
 
Quelqu'un peut-il éclairer le point suivant: L'empreinte est en réalité constitué de plusieurs empreintes, un fichier disponible sur les réseaux P2P peut donc matcher qu'une partie des empreintes. Combien d'empreintes faut-il matcher pour que la totalité du fichier soit considéré comme matché?
"On peut supposer que les réseaux P2P vont pouvoir développer des parades efficaces contre les traitements de TMG", pronostiquaient dès hier les producteurs de musique cités par PC Inpact.

Rapport Znaty
Publié par Guillaume Champeau, le 14 Février 2012 à 09h56
 
 
28
Commentaires à propos de «Hadopi s'excuse pour sa trop grande transparence»
 

1
2
Je trouvais assez normal que cette évaluation soit mise à la disposition de tous. Si le système est solide et fiable, ils ne devraient pas avoir la trouille que l'on voie comment il marche, si ?
Sur le papier, la détection était déjà solide. Une ip, un morceau d'oeuvre pour être certain que c'est pas juste une IP injecté dans le tracker. Après, c'est tout le processus qu'il faut vérifier.

Donc leur document est bien il explique comment le process fonctionne sur le papier le tout enrobé de détail précis pour donner l'impression que le tout a été constaté par l'expert.

Dans tous les cas, il va être difficile de prouver que le constat est valable si tout le process tiens sur une boite noire dont seule TMG sait comment elle fonctionne réellement.

Vivement le premier jugement.
Ce rapport est du pur foutage de gueule.

Le système mis en place par TMG est FIABLE (!!!)
Il constitue une preuve ROBUSTE (!!!!)

Ouais, sauf que bon,
16 ko, sur un film, ça représente une seule et unique image. (pour un fichier de 1400Mo, c'est encore pire pour les bdrip, ça représente rien du tout)

On a connu plus robuste comme preuve...


Quant aux incidents vérifiés manuellement, soit disant, 13,2 Millions sur l'année 2011 ( http://www.lepoint.f...-1428439_52.php )

ça fait pas moins de 550 vérification par heure et par salarié, on y croit ^^
Bonjour le Mouse Elbow à la fin de la journée :D


Présumés coupables, contestez les faits si votre IP a été flashée avant le rapport d'expertise (le système est soit disant fiable pour ce rapport, ça veut pas dire qu'il l'était avant).
Et si c'est après, demandez une contre expertise.
Bon, il ne manque plus que les adresses IP de TMG
:siffle:
Et puis les accusés et leurs avocats ont bien accès à toutes les pièces du dossier,non ? Comme nous sommes tous accusés de piratage par défaut,normal d'avoir accès à toutes les informations qui leur permettent de porter ces accusations.
TotoRhino, le 14/02/2012 - 10:17
Bon, il ne manque plus que les adresses IP de TMG
/forum/public/style_emoticons/default/whistling.gif
Elles sont déjà connus depuis longtemps, et intégrées à l'IPFilter sur eMule ^^


Pas de connexion possible avec les IP de TMG = pas de chunk de 16ko = DTC Universale.

Bisous
#Hadopi
En informatique rien n'est stable ni sûr à 100%!
MadlyMad, le 14/02/2012 - 10:17
Ce rapport est du pur foutage de gueule.

Le système mis en place par TMG est FIABLE (!!!)
Il constitue une preuve ROBUSTE (!!!!)

Ouais, sauf que bon,
16 ko, sur un film, ça représente une seule et unique image. (pour un fichier de 1400Mo, c'est encore pire pour les bdrip, ça représente rien du tout)

On a connu plus robuste comme preuve...


Quant aux incidents vérifiés manuellement, soit disant, 13,2 Millions sur l'année 2011 ( http://www.lepoint.f...-1428439_52.php )

ça fait pas moins de 550 vérification par heure et par salarié, on y croit ^^
Bonjour le Mouse Elbow à la fin de la journée :D


Présumés coupables, contestez les faits si votre IP a été flashée avant le rapport d'expertise (le système est soit disant fiable pour ce rapport, ça veut pas dire qu'il l'était avant).
Et si c'est après, demandez une contre expertise.

les mecs ce sont des pieuvres et 10 yeux , on est dans Man in Black
C'est le combien FAIL que fait Hadopi ?
Enfin célèbre !! (je précise que j'autorise n'importe qui à faire n'importe quoi de n'importe lequel de mes commentaires n'importe où dans le monde et ce pour une durée illimitée :)
La sécurité par l'obscurité est toujours plus faible que la sécurité transparente. C'est une des oppositions majeures entre logiciel libre et propriétaire. Un procédé cryptographique n'est jamais réputé sûr quand les détails ne son implémentation sont secrets. Il n'est réputé sûr que si les détails sont publics, et relus par des spécialistes indépendants à loisir. Ce constat est d'autant plus vrai à l'ère des "leaks" qui font que le secret est de plus en plus dur à conserver. Et plus on s'est basé sur le secret, plus ça fait mal quand ça tombe...
En l'occurrence, il serait parfaitement normal que dans un état démocratique avancé (hum hum) la procédure de collecte de TMG soit entièrement publique. Si elle présente des failles, il ne faut pas les dissimuler mais les corriger.
Bien sûr en dans l'absolu TMG et la Hadopi ne devraient pas exister, mais c'est un autre débat. L'attitude de TMG est malsaine, mais bon vu ce qu'on sait déjà de leur niveau technique à peine passable, et du nombre d'informaticiens compétents qui observent le dossier, la transparence aurait sans doute pour désagréable conséquence de les ridiculiser - voire même de donner matière à une annulation du marché passé par la Hadopi et remporté par TMG ???
MadlyMad, le 14/02/2012 - 10:20
Elles sont déjà connus depuis longtemps, et intégrées à l'IPFilter sur eMule ^^

Je me demande bien comment.

Certes on peux chercher les IP du FAI de TMG et les blacklister, mais à mon sens rien les empêchent de changer régulièrement d'IP, voire même d'opérateur (i.e. d'en avoir plusieurs, utilisé tour à tour).
Ou bien d'utiliser des IP ADSL grand public.

La meilleure façon serais de faire de l'analyse comportementale, comme c'est indiqué dans le texte de l'article, au risque de créer des faux positif: Si les clients blacklistent à tours de bras , ça va finir par perturber les échanges légitimes, surtout si les IP supposées de TMG sont diffusés dans le réseau. Auquel cas, leur but aurais aussi été atteint.
(c'est moi qui suis aveugle où on peut pas supprimer un commentaire ?)
thb, le 14/02/2012 - 13:26
(je précise que j'autorise n'importe qui à faire n'importe quoi de n'importe lequel de mes commentaires n'importe où dans le monde et ce pour une durée illimitée
La sécurité par l'obscurité est toujours plus [...] sûr quand les détails ne son implémentation sont secrets. [...] Ce constat est d'autant plus vrai à l'ère des "leaks" qui font que le secret est de plus en plus dur à conserver. [...]
En l'occurrence, il serait parfaitement normal que dans un état démocratique avancé [...] la procédure de collecte de TMG [...] présente des failles, il ne faut pas les [...] corriger.
:p
thb, le 14/02/2012 - 13:26
En l'occurrence, il serait parfaitement normal que dans un état démocratique avancé (hum hum) la procédure de collecte de TMG soit entièrement publique. Si elle présente des failles, il ne faut pas les dissimuler mais les corriger.

Non seulement la procédure devrait être publique, mais pour être efficace, il faudrait qu'elle soit évolutive. C'est-à-dire, quasiment, améliorée en temps réel en fonction des progrès du chiffrement et des leurres à produire pour échapper à son radar.

C'est un peu le problème de la sécurité informatique : c'est une condamnation au sprint perpétuel, la course sans fin. Je ne dis pas qu'elle n'est pas justifiée : je dis juste qu'elle n'est légitime que contre les vraies menaces (terrorisme, infowar, fraudes).

Je dis ça pour la beauté du raisonnement, parce qu'évidemment, avant de se pencher sur l'efficacité des méthodes de TMG, il faut d'abord se prononcer sur la légitimité et l'opportunité d'un machin comme la CPD. Et là, shlack, le couperet tombe.
Simple spéculation, mais attention à la manipulation.

Dévoiler un document, et ensuite prétendre qu'il n'aurait pas dû être dévoilé, voilà une technique vieille comme le monde pour manipuler les gens.

Bien sûr, il faudrait un bénéficiaire.

On savait que le rapport original aurait fait jaser. La preuve.
Et on se doute fortement du ressenti négatif qu'aurait eu une censure du document, ça aurait fait jaser peut être plus. (a t on le document censuré dont la diffusion était prévu, il serait interressant de voir ce qu'ils voulaient vraiment censurer)

Ici on s'aperçoit qu'Hadopi peut bénéficier d'un impact d'image sur la transparence. Malheureusement annulé quelques heures plus tard par l'effet d'annonce qu'une version censurée était prévue.

En se plaignant d'avoir dévoiler ce document, on sous entends qu'il contient des informations précieuses, ce qui pourrait faire croire à ceux qu'ils ne l'ont pas lu, que ces informations sont plus précieuses qu'elles ne le sont vraiment.

Car il faut bien avouer que finalement, il n'y a pas grand péril à dévoiler ces informations. Et que de toute façon il est bien normal qu'elle le soient.
Et même, en réalité, ce document aurait dû être de meilleure qualité, et avec des détails plus convaincants, et révélé dès (et même avant) le début de l'activité de TMG.
Pas grave TPB va mettre en route les Magnet ;)
yannou, le 14/02/2012 - 15:12
Simple spéculation, mais attention à la manipulation.

Dévoiler un document, et ensuite prétendre qu'il n'aurait pas dû être dévoilé, voilà une technique vieille comme le monde pour manipuler les gens.
...

Car il faut bien avouer que finalement, il n'y a pas grand péril à dévoiler ces informations. Et que de toute façon il est bien normal qu'elle le soient.
Et même, en réalité, ce document aurait dû être de meilleure qualité, et avec des détails plus convaincants, et révélé dès (et même avant) le début de l'activité de TMG.

Je ne crois pas non plus à une "erreur" de la Hadopi dans la publication d'une "mauvaise version" après la réclamation des ayant-droits. Plus probablement à un calcul de ce type.
Donc le P2P est illégal, sauf pour les ayants-droits ?
>

C'est quand même une pépite ca. Bah oui imagine un magistrat instruit de la vérité -totale- sans -seulement- la version partisane. Ou un juge qui se baserait sur UNE seule évaluation du système ?

Y a plus drole : les mouchards LOPPSI 2 : ZERO évaluation. Et quand on connait le gag scandaleux que cela a déclenché chez nos amis Teutons : les juges ont pas apprécié du tout. Ni les citoyens.

Dormez, ayez confiance. Tout ca bien.
fyr, le 14/02/2012 - 16:09
Donc le P2P est illégal, sauf pour les ayants-droits ?
Le P2P est légal.
C'est le téléchargement d'une oeuvre protégée qui ne l'est pas. Mais si vous êtes titulaire des droits sur l'oeuvre, alors oui vous pouvez la télécharger ou autoriser son téléchargement.
Les ayant-droits autorisent donc TMG à télécharger leurs oeuvres, mais pas le reste du monde.

1
2
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
File Scavenger
Restauration - Restaurer les données perdues d'un volume NTFS
 
BatchPhoto Home
Photo numérique - Editer une série de photos en une seule opération
 
Muter
Navigateur Web - Coupez le son de Firefox.
 
Camtasia Studio
Editeur audio/video - Logiciel de création d'e-learning
 
Kalimail SMTP Server
Courrier email - Envoyez et recevez vos mails sans passer par votre FAI
 
Février 2012
 
Lu Ma Me Je Ve Sa Di
30 31 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 1 2 3 4
5 6 7 8 9 10 11
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC