Hadopi: secret honteux ?

Numérama a récupéré le document de spécifications du dispositif de « sécurisation » de l’Hadopi, ou « riguidelware ». Pendant les vacances d’été, la mise en place des dispositifs de surveillance de tous les citoyens se poursuit (la main basse sur les médias aussi, voir Radio-France et  Le Monde).

Je n’ai pas lu l’intégralité de ce document, en version pdf à la fin de cet article, mais la présentation laisse craindre le pire.

Votre connexion et votre ordinateur vont être « fliqués ». Les logiciels que vous avez installés seront identifiés, vos accès, votre configuration réseau seront inspectés. Même s’il figure dans le texte qu’il n’y a pas d’enregistrement des sites visités, les informations seront cryptées et le logiciel de « sécurisation » remis à jour sans contrôle de l’utilisateur. On se souvient des prélèvements ADN, institués pour ficher les délinquants sexuels les plus dangereux, et qui sont maintenant utilisés pour ficher les personnes participants à une manifestation.

Les utilisations « pair à pair » seront remises en cause, elles qui correspondent à l’essence-même d’Internet (à l’opposé d’un mode « diffusion » ou « interrogation » comme la mode télévision, même « interactive », ou le minitel):

• Élément 1 : Observation en temps réel et sans enregistrement des flux et protocoles qui transitent par l’accès ; sur la base de l’observation et de la politique de sécurité choisie, une ou plusieurs des actions techniques suivantes peuvent s’appliquer : laisser faire ou bloquer (selon des critères définis dans le présent document, et qui incluent notamment le type de flux ou protocoles, selon le protocole applicatif, des listes1, des caractéristiques de formats, de débits, de volumes, des
  profils d’utilisateurs, des plages horaires).
• Élément 2 : Analyse optionnelle de la gestion de configuration informatique (ex : analyse statique de la configuration de postes informatiques ; logiciels installés), analyse statique de la configuration réseau (ex : analyse de la configuration routeur /boîtier ADSL) ; analyse dynamique des logiciels en  fonctionnement, et contrôle des utilisations par le titulaire de la connexion.
• Élément 3 : Affichage de notifications et d’alertes pédagogiques (ex : « Vous allez téléchargez un fichier en utilisant le protocole pair à pair « nom du protocole » : voulez-vous continuer ? »).
• Élément 4 : Double journalisation (version normale en clair et version sécurisée ; les deux versions sont identiques, sauf si la version en clair est manipulée) des événements significatifs (ex : éléments de la vie interne du moyen de sécurisation : démarrage, arrêt, activation, désactivation, modification des profils de sécurité, etc. ;

Une évolution vers les télécrans de Big Brother ?

Voici l’article de Numérama.

Le document secret de l’Hadopi sur les moyens de sécurisation (source NUMERAMA)

Société 2.0 –

Malgré l’interdiction faite par l’Hadopi, et en vertu du droit à l’information, Numerama diffuse le document de consultation relatif au projet de spécifications fonctionnelles des moyens de sécurisation. On peut donc, enfin, parler de consultation publique.

Malgré notre demande renouvelée hier, sur le fondement de la loi n°78-753 du 17 juillet 1978 qui organise le droit d’accès aux documents administratifs, la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi) ne nous a pas transmis « le document relatif au Projet de spécifications fonctionnelles des moyens de sécurisation ». Alors qu’il est la base d’une « consultation publique », l’Hadopi estime qu’il s’agit là d’un document secret, de caractère préparatoire. Une situation inédite qui révèle tout l’inconfort de la Haute Autorité face aux moyens de sécurisation, qui sont pourtant la clé de voute de la riposte graduée.

Cependant, plusieurs sources qui ont eu communication du document, parce qu’elles répondent aux critères professionnels définis par la Haute Autorité, nous l’ont transmis. En application de la loi de 1978 et par application du droit à l’information, nous le diffusons ci-dessous malgré la notice « Confidentiel – à ne pas diffuser » qui apparaît sur l’ensemble des 36 pages du document. S’il le faut, nous défendrons en justice ce droit d’information du public.

Le document, pourtant, ne dit presque rien que l’on ne savait déjà des objectifs des moyens de sécurisation. Autonomes ou intégrés dans des suites d’antivirus ou de logiciels parentaux, ils devront analyser les flux et les protocoles et bloquer ou avertir l’utilisateur de trafics « suspects », analyser la configuration informatique de l’utilisateur (notamment ses logiciels de P2P installés, l’utilisation d’un réseau WiFi ouvert…) pour prévenir des risques, et enregistrer les évènements du logiciel dans un double journal, dont l’un sera chiffré pour empêcher sa modification par l’utilisateur. C’est ce journal, déchiffrable à l’aide d’une clé publique fournie à un « tiers de confiance », qui sera transmis à l’Hadopi pour démontrer que le moyen de sécurisation était actif au moment du téléchargement illégal supposé.

Parmi les contraintes, le document note que les moyens doivent avoir un faible impact sur les performances des machines, être simples d’utilisation et d’installation, être réalisables sous forme de logiciels libres et pour des OS libres, et ne pas transmettre d’informations à des tiers, sauf la clé de déchiffrage du journal. Il sera par ailleurs interdit, et c’est une bonne nouvelle, d’enregistrer un historique de navigation ou de téléchargement.

Parmi les éléments importants, les moyens de sécurisation devront pouvoir être mis à jour automatiquement, notamment pour la récupération des « listes noires, grises ou blanches ». « Il existe plusieurs sortes de listes, par exemple liste noire des sites web interdits par décision de justice, la liste grise des applications suspectes, la liste grise des mots-clés suspects, la liste blanche de l’offre légale. Ces listes peuvent être aussi relatives à des ports TCP, à d’autres entités informatiques« , détaille le document réalisé par le professeur Michel Riguidel, qui montre clairement une volonté d’utiliser le logiciel de l’Hadopi à des fins de filtrage.

Le seul passage véritablement stratégique que nous avons décelé qui pourrait justifier la volonté de secret de l’Hadopi est le suivant, qui fait craindre le pire pour les années futures : « pour le moment le parc des boitiers ADSL est très hétérogène, et les boitiers sont dimensionnés de telle manière qu’il est difficile de loger des applications supplémentaires dans ces boitiers. Pourtant, on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc« .

Contacté par Numerama, le porte-parole de la Quadrature du Net Jérémie Zimmermann juge que « ces specifications délirantes (un super-firewall-antivirus-huissier inviolable tout en un !) illustrent la logique de contrôle des utilisateurs et du Net, parfaitement illusoire, que sous-tend l’HADOPI« . « Il est en soi inquiétant que le gouvernement puisse serieusement envisager ces fonctions de journalisation, enregistrant les moindres faits et gestes des utilisateurs, voire d’étendre le dispositif à toutes les futures « box ». Au dela de ce fantasme sécuritaire, il y a gros à parier que si un tel logiciel voit le jour (ce qui est loin d’etre certain !), il sera contourné et exploité de 15 façons« .

« Il est obcène que l’argent du contribuable soit ainsi utilisé pour se livrer à des expériences de savant fou, dangereuses et vouées à l’échec« , condamne-t-il.

hadopi-specsfonct-securisation.pdf

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Infoceania.org, Big Brother vous regarde

Edit: 01/08/2010

Un très bon article à signaler sur ReadWriteWeb, très argumenté sur le sujet:

Le cahier des charges du spyware Hadopi fuité en à peine deux jours

HADOPI : une consultation publique confidentielle