HADOPI inefficacite technique

De La Quadrature du Net

La faiblesse de la « preuve électronique »[modifier]

Les adresses IP ne permettent en aucun cas d'identifier avec certitude des personnes, mais seulement des équipements connectés au réseau (ordinateurs, routeurs, imprimantes, etc.)(http://blogue-securite.logti.etsmtl.ca/?2007/09/24/23-protocole-ip-anonymisation)

Les adresses IP, collectées par les représentants des ayants-droit, identifient en général les points d'accès à Internet soupçonnés d'avoir servi à télécharger, à un instant donné. Parfois, ces adresses IP identifient un ordinateur en particulier. Mais il ne peut en aucun cas y avoir de certitude (preuve) sur l'identité des utilisateurs eux-mêmes.

Ces adresses IP peuvent donc être partagées entre :

  • différents clients d'un fournisseur d'accès offrant des IP dynamiques
  • les membres d'un même foyer et leurs visiteurs
  • les différents postes d'une même entreprise
  • les clients ou visiteurs d'un établissement offrant un accès internet
  • les différents utilisateurs d'un même serveur relais (proxy)
  • les visiteurs des nombreux jardins et lieux publics offrant un accès wifi
  • les voisins d'utilisateurs partageant leur connexion wifi

Les usages illégaux ne doivent pas non plus être négligés, tant ils sont courants.

Les utilisateurs « cassant » la protection particulièrement faible des accès wifi de leurs voisins (de nombreux tutoriels et logiciels existent et sont accessibles d'un clic de souris: voir air-crack par ex).

De la même façon, les ordinateurs infectés de virus, chevaux de Troie et rootkit, peuvent être contrôlés à distance par des tiers qui utiliseront ainsi son adresse IP à l'insu de l'abonné. Selon Vinton Cerf, l'un des pères fondateurs d'Internet, près d'un quart des ordinateurs connectés seraient sous le contrôle de « pirates ». (voir l'actualité sur l'infection des ordinateurs de la Marine par un virus, des ordinateurs et des réseaux pourtant particulièrement surveillés)

Ainsi les vrais pirates pourront continuer en toute impunité, la charge du filtrage n'incombant qu'aux honnêtes citoyens.

Par ailleurs, tous les points mentionnés ci dessus partent du postulat que la relation entre l'IP et l'infraction supposée aient été sérieusement investiguées. Or par expérience, on sait que les sociétés chargées de faire ce travail ne peuvent pas le faire sérieusement. Voir par exemple, l'article Le pirate était une imprimante par Astrid Girardeau sur ecrans.fr.

Des innocents seront inévitablement condamnés.

Il faut ajouter à cela que généralement l'adresse IP attribuée aux équipements ADSL est rarement fixe. Elle change au moins une fois par jours ainsi qu'à chaque reconnexion. Par conséquent chaque abonné reçoit plusieurs centaines d'adresses IP différentes chaque année et réciproquement chaque adresse IP est attribuées à plusieurs centaines d'abonnés. Le pool d'addresses affactées à un équippement ADSL aura donc été partagé par plusieurs centaines de milliers d'abonnés dans l'année. Une activité de téléchargement intensive sera elle même dispersée sur toutes les adresses IP attribuées. L'exploitation d'une liste d'IP risque donc de s'avérer très complexe et peu fiable!

L'illusion de la sécurisation de l'accès[modifier]

Les procédures se fondent sur des relevés d'adresses IP, données immatérielles ne permettant pas d'établir la preuve matérielle du délit de contrefaçon. Le texte propose donc de ne plus se fonder sur la présomption de contrefaçon, mais sur une nouvelle infraction de « défaut de sécurisation de sa connexion ». Cette nouvelle infraction crée cependant plus de problèmes qu'elle n'en résout.

La notion de sécurité, en informatique comme ailleurs, toute théorique, est à géométrie variable et dépend de la menace contre laquelle l'on souhaite se protéger. Il revient donc à l'HADOPI d'établir la liste de moyens de sécurisation regardés comme efficaces pour prévenir les manquements à l'obligation. Faudra-t-il faire confiance à cette autorité administrative pour gérer la sécurité informatique de millions d'entreprises et de particuliers ?

Il sera matériellement impossible pour un utilisateur de prouver sa bonne foi dans la sécurisation de son accès au moment des faits qui lui sont reprochés. La seule « solution », inacceptable, serait que les moyens de sécurisation recommandés par l'HADOPI soient des logiciels espions, fermés et hors de contrôle de l'utilisateur, qui collecteraient et enverraient des informations, à l'insu de l'utilisateur, quant à leur mise en place. Les problématiques de sécurité informatique, et de protection de la vie privée, qui découleraient de telles pratiques seraient considérables. Et resteraient insuffisants face au savoir faire des pirates.

Les outils recommandés par l'HADOPI seront-ils compatibles avec les principes fondamentaux du Logiciel Libre ?

De nombreux moyens d'échapper au dispositif existent[modifier]

Afin de cacher son adresse IP aux représentants des ayants droit surveillant le réseau et à l'HADOPI, les utilisateurs d'Internet peuvent d'ores et déjà utiliser différentes techniques :

  • Emploi de serveurs relais situés dans d'autres pays. Il est possible de louer de tels services, très accessibles et simples d'accès, pour environ 5€ par mois.(par ex: https://www.relakks.com/?lang=en ou https://www.your-freedom.net/). Les proxies (serveurs relais) sont disponibles partout dans le monde, gratuitement ou pour une somme modique, la seule différence étant le débit: une liste de proxies peut être obtenue en tapant "free proxy list" dans la barre de recherche de Google. Il faut savoir aussi que n'importe qui peut installer un logiciel proxy à disposition d'autres utilisateurs sur sa propre machine, et ceci très facilement. Des proxies existent principalement pour les protocoles HTTP, mais des proxies multi-protocoles sont également disponibles (pour le mail, l'IRC etc ...) (http://www.aliveproxy.com/irc-proxy-list/ )
  • Utilisation de logiciels d'anonymisation et de chiffrement des connexions. Les connexions ssh sont utilisées quotidiennement par tous les administrateurs systèmes et les personnes qui ont un serveur dédié ou hébergé (chez OVH, Free par ex). Les connexions avec les serveurs de mail peuvent également être chiffrées (imaps ou pops ). Des réseaux P2P chiffrés commencent à apparaître: gnunet par ex, mais il y en a déjà une myriade d'autres. Des réseaux chiffrés comme freenet fonctionnent déjà parfaitement: il sera quasi impossible de tracer les utilisateurs, ou alors avec des moyens énormes (disproportionnés?)

Ces outils et services risquent d'être très largement publicisés après la promulgation de l'HADOPI. Seuls les innocents et les utilisateurs les moins éduqués à la technique seront sanctionnés.

Par ailleurs, l'utilisation généralisée de certains de ces outils compliquera grandement la tâche des forces de l'ordre enquêtant sur des crimes et délits sérieux.

En outre, il sera probablement aisé d'injecter de fausses données dans les outils de surveillance des réseaux, induisant un plus fort taux d'erreur, donc de condamnation d'innocents. The Pirate Bay a déjà décidé d'injecter des adresses IP au hasard dans les listes d'IP connectées,

Voir aussi HADOPI_commentaire_Commission-Europeenne