En 2022, une nouvelle autorité de lutte contre le piratage (Arcom) vient remplacer la Hadopi. Elle est dotée de nouveaux moyens pour faire face aux sites miroirs et dispose d’une meilleure capacité pour repérer les internautes qui sont suspectés d’enfreindre le droit d’auteur.

La Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) vit ses tout derniers jours. À partir du 1er janvier 2022, elle sera absorbée par le Conseil supérieur de l’audiovisuel (CSA), qui deviendra à cette occasion l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom).

C’est dans ce contexte que les ultimes ajustements préparatoires sont effectués. Ainsi, comme l’a relevé sur Twitter Jérôme Rabenou le 29 décembre, il a été publié au Journal officiel un décret qui renseigne les compétences et l’organisation de l’Arcom en matière de protection du droit d’auteur et des droits voisins. En clair, de quelle façon elle va batailler contre le piratage sur Internet.

Ce décret vient compléter la nouvelle loi anti-piratage (sur la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique, qui a été validée par le Parlement à la fin septembre 2021 et qui a été promulguée fin octobre, après un détour par le Conseil constitutionnel. Certaines dispositions de la loi doivent entrer en vigueur ultérieurement, essentiellement en 2022.

La bataille contre les sites miroirs, ça veut dire quoi ?

Outre le transfert des missions de la Hadopi à l’Arcom, le décret détaille le procédé de lutte contre les sites dits « miroirs » qui répliquent des sites pirates faisant l’objet de mesures de blocage en France. Cette disposition, prévue avec la nouvelle loi, est l’un des grands enjeux dans la lutte anti-piratage, afin de rendre effective dans la durée toute décision d’interdiction prise par la justice.

Au cours des quinze dernières années, les mesures prises par les tribunaux contre des sites mettant à disposition des œuvres culturelles piratées sans autorisation des ayants droit ont souvent vu leur portée affaiblie. En cause, la mise en place rapide de sites miroirs permettant de rediriger les internautes vers d’autres espaces n’étant pas concernés par les jugements.

Ainsi, un site web visé par un ordre de blocage et ayant pour URL quelque chose comme sitepirate.fr pouvait rebondir facilement en mettant en place un autre nom de domaine et une redirection automatique du public, par exemple sitepirate2.fr ou bien sitepirate.net. Certains sites de liens spécialisés dans le protocole BitTorrent ont parfois forgé leur notoriété sur cette résilience.

Il est aussi question dans le décret d’établir une liste noire « de sites portant atteinte de manière grave et répétée au droit d’auteur et aux droits voisins ». Il s’agit là aussi d’une mesure prévue avec la nouvelle loi antipiratage. Les dispositions du décret viennent préciser le fonctionnement de cette disposition : dans quelles conditions on y est inscrit ou bien de quelle manière on peut en sortir.

Mais si l’Arcom reprend le bâton de sanction de la Hadopi, puisque c’est surtout sur ce versant de la lutte anti-piratage que la nouvelle autorité est attendue, l’institution va aussi reprendre les autres activités dévolues à la Hadopi : encouragement de l’offre légale, ainsi que régulation et veille dans le domaine des mesures techniques de protection et d’identification des œuvres.

Une détection améliorée des internautes qui sont suspectés de pirater

Autre évolution qui a aussi été relevée sur Twitter, notamment par Benoît Tabaka, le responsable des politiques publiques chez Google France, et qui a aussi eu le droit à une publication au Journal officiel : un décret sur le traitement automatisé de données personnelles, qui a des implications sur la détection des internautes à travers leur adresse IP.

Concrètement, cette disposition sortie le 28 décembre modifie le fonctionnement de la riposte graduée menée par la Hadopi, et que va reprendre l’Arcom, en intégrant le port source parmi les données pouvant être enregistrées pour chasser celles et ceux qui se livrent à du téléchargement illicite — ou du moins qui ne « sécurisent » pas leur connexion pour éviter ce piratage.

Comme souligné par NextInpact dans une actualité, mais aussi via Alexandre Archambault, avocat spécialisé dans les réseaux informatiques, ainsi que dans nos colonnes au cours de la décennie passée, cette modification est très importante, car elle apporte une réponse aux cas où les internautes partagent la même adresse IP sur le net, du fait d’une mutualisation décidée par l’opérateur.

Ce partage d’une même adresse IP par une grappe d’internautes avait pour effet de rendre certaines adresses IP anonymes : il n’était pas possible de distinguer avec précision qui faisait quoi derrière ce code, qui sert de plaque d’immatriculation sur le net (dès qu’un terminal se connecte à Internet, il utilise une adresse IP, souvent celle de sa box, que ce soit un PC, une tablette ou un smartphone).

Un homme « déguisé » en hacker // Source : Clint Patterson via Unsplash
Il sera moins simple de se faufiler entre les mailles du filet, compte tenu d’un nouveau décret pour mieux retrouver les internautes suspectés d’enfreindre le droit d’auteur. // Source : Clint Patterson via Unsplash

Résultat, un certain pourcentage des adresses IP était anonyme. La Commission de protection des droits rattachée à la Hadopi indiquait par exemple en 2013 que le taux global d’adresses IP identifiées est d’environ 88 %. Par conséquent, il y en a eu à ce moment-là 12 % passant au travers des mailles du filet. Dans le rapport de 2010, un pourcentage semblable (11 %) était évoqué.

« L’absence d’identification est liée le plus souvent au caractère majoritairement dynamique de l’attribution des adresses IP et surtout au développement de la pratique du « nattage », qui consiste à attribuer la même adresse IP à plusieurs abonnés » , expliquait alors la Hadopi. Déjà à l’époque, la Hadopi souhaitait se baser sur le port source, mais aucune suite n’avait jamais été donnée.

Le nattage est un procédé ancien, mis en place dès les origines de l’Internet pour le grand public, mais aussi de la téléphonie mobile. Les opérateurs français s’en sont servis et s’en servent encore, que ce soit Orange, SFR, Bouygues Telecom ou SFR. Ce dispositif n’est toutefois que problématique pour le piratage : il peut aussi venir perturber des enquêtes pénales, faute de réquisitions mal cadrées, formulées ou interprétées, fait observer Alexandre Archambault.

Pendant ce temps, les opérateurs ne se sont pas privés de continuer dans cette direction. En 2016 par exemple, afin d’accompagner la transition du réseau vers le protocole IPv6, Free partageait une adresse IPv4 entre quatre abonnés, en utilisant des plages de ports réservées pour compléter l’adressage. Résultat, des abonnés Free étaient moins exposés aux avertissements de la Hadopi.

Comme indiqué alors, la technique vise à répartir ici, entre ces quatre internautes, les 65 536 ports disponibles par adresse IP. Les quatre internautes pourront utiliser la même adresse IP au même moment, mais tous utiliseront des ports différents, selon la plage qui leur aura été allouée. Mais cette information n’arrivait pas jusqu’à la Hadopi, qui s’en plaignait souvent.

Hadopi
Certains internautes pouvaient échapper aux messages d’avertissement de la Hadopi. Cela doit changer en principe en 2022.

Si elle comprenait le besoin du nattage pour faire face à la pénurie d’adresses IPv4, La Hadopi estimait que la prise en compte du port source serait « utile », car elle offrirait la possibilité « d’identifier l’utilisateur », lisait-on dans son rapport de 2015. Elle rappelait que la Commission nationale de l’informatique et des libertés avait donné son feu vert.

Il aura donc fallu attendre la disparition de la Hadopi pour que la demande de la Hadopi soit finalement prise en compte, à l’occasion de la reprise de ses activités dans la future Arcom. Pourtant, la demande ne datait pas d’hier : la difficulté avait été identifiée depuis une dizaine d’années et régulièrement signalée auprès des pouvoirs publics dans divers rapports.

Ce faisant, l’Arcom démarrera 2022 avec des moyens plus conséquents contre les sites pirates et miroirs, mais aussi des capacités nouvelles pour adresser des mails puis des courriers d’avertissement aux internautes utilisant les échanges pair à pair (P2P) comme BitTorrent ou eMule pour s’échanger des contenus piratés, comme des films, des séries, de la musique ou des jeux vidéo.

Celles et ceux qui espéraient encore bénéficier de la « protection » du nattage vont devoir revoir leurs plans.

(mise à jour avec une précision sur le nattage)