Nous avons déjà épinglé vendredi la loi "Création et Internet" en listant ce qui sont selon nous 10 bonnes raisons de rejeter la loi Hadopi. Nous pouvons en ajouter aujourd'hui une onzième : la grande faiblesse des preuves qui seront utilisées par la Haute Autorité pour prononcer les sanctions à l'encontre des P2Pistes. L'Université de Washington prouve en effet qu'il est simple de faire accuser un internaute innocent.

Sur le principe, le projet de loi Hadopi prévoit que la Haute Autorité instruit ses dossiers de riposte graduée à partir des relevés d’infraction réalisés par les ayants droit. Ceux-là font appel à des sociétés spécialisées dans la chasse aux adresses IP sur les réseaux P2P, qui constatent la mise en partage illicite d’une œuvre et notent la date et l’heure de l’infraction, en face de l’adresse IP du délinquant présumé. Or une étude (.pdf) réalisée par l’Université de Washington arrive à point nommé pour rappeler l’extrême fragilité des procédés employés pour relever l’identité des internautes coupables de téléchargement illégal sur Internet.

Les chercheurs Michael Piatek, Tadayoshi Kohno et Arvind Krishnamurthy ont démontré qu’il était très facile de tromper les systèmes de surveillance pour accuser volontairement ou non des internautes totalement innocents. Ils ont ainsi manipulé des trackers BitTorrent comme n’importe quel internaute peut le faire, pour pointer vers des adresses IP internes à l’Université, qui ne servent à aucun ordinateur. L’effet est probant. L’Université a reçu des plaintes de la part d’ayants droit pour des uploads qui auraient eu lieu à partir… d’imprimantes ou de routeurs WiFi. Malaise.

Le principe de la manipulation est assez simple. Pour télécharger un fichier sur BitTorrent, il faut d’abord télécharger un fichier .torrent qui pointe vers un ou plusieurs trackers. Ces trackers enregistrent la liste des adresses IP de tous les utilisateurs qui partagent le fichier, soit parce qu’ils l’ont déjà téléchargé en entier (les « seeds »), soit parce qu’ils ont commencé à le télécharger et qu’ils peuvent en redistribuer des morceaux (les « peers »). Dès qu’un utilisateur souhaite télécharger le fichier, le tracker lui communique sa liste d’adresses IP. Or certains trackers, pour des raisons parfaitement légitimes (l’utilisation d’un proxy par exemple), permettent aux clients BitTorrent de déclarer en tant que peer une autre adresse IP que celle utilisée pour contacter le tracker. Il est alors possible de glisser celle d’une imprimante en réseau… ou celle d’une victime parfaitement innocente.

Or à la grande stupeur des chercheurs, une majorité des chiens de garde de l’industrie culturelle se contentent d’initier une communication avec le tracker pour récupérer la liste des adresses IP, et prennent ce listing pour argent comptant. Sans vérifier que le contenu est effectivement mis à disposition par l’internaute qui se cache derrière l’IP.

La manipulation peut être effectuée de la même manière avec eMule et l’ensemble des réseaux P2P décentralisés. Il suffit à des internautes malicieux de déclarer de fausses IP d’internautes partageant soit-disant le fichier piraté. En faisant une recherche de sources de téléchargements, les ordinateurs des sociétés anti-piratage obtiennent une liste d’adresses IP qui peut contenir celles d’internaute parfaitement innocents.

Mais ces derniers ne pourront jamais le prouver.

Tout irait bien si, en France, les sociétés anti-piratage ne se contentaient pas d’obtenir les listes d’adresses IP à partir de trackers BitTorrent ou de recherches sur les réseaux P2P, mais initiaient systématiquement un téléchargement pour vérifier que le contenu recherché est bien partagé illégalement. Dans ce cas, et à condition de prouver que le fichier partagé est bien un fichier piraté, la preuve serait solide.

Sauf que la CNIL, pressée par le Conseil d’Etat de donner son autorisation à la chasse aux pirates, a validé un processus qui repose uniquement sur la recherche des adresses IP sources, et qui n’impose pas qu’un téléchargement soit initié sur chacune des adresses IP relevées.

La loi Création et Internet, si elle voyait le jour, institutionnaliserait un procédé de sanction automatisé qui non seulement comporte un haut risque d’injustice, mais qui en plus ne donne aucune chance aux internautes accusés à tort de prouver leur innocence. Il faudrait quand même que le gouvernement réponde à cette simple question : comment un internaute peut-il prouver qu’un jour donné à une heure donnée, il n’a pas partagé l’œuvre qu’on le suspecte d’avoir partagée.

Partager sur les réseaux sociaux

Articles liés