Face à la désinformation ou la méconnaissance, je tiens à ce que les gens sachent à quoi s'attendre avec cette loi.
Les adresses IP publiques utilisées dans cet article sont fictives.
J'ai volontairement vulgarisé l'aspect technique, sans pour autant que les techniques soient fausses !

Je vais tenter de vous expliquer avec des images le danger que le projet HADOPI représente :

Pour aller sur internet, il vous faut une adresse IP (lien). C'est comme votre adresse postale, qui, elle vous permet de recevoir du courrier:

  • Elle est unique.
  • Elle est publique.
  • Toute personne qui utilise internet à une adresse.

209.85.229.104 -> 94.23.48.134 : coucou je voudrais voir le fichier XYZ.
94.23.48.13 -> 209.85.229.104 : voici le fichier que tu demandes.

Un fichier peut en cacher un autre !

Ca parait simple si 209.85.229.104 demande à 94.23.48.134 un fichier illégal on avertit une fois, puis deux, ensuite on coupe internet.

Si 209.85.229.104 vous dit, voici le fichier qui porte le nom que tu me demandes, mais que derrière ce nom se cache véritablement un fichier illégal ?

Votre Fichier est illégal !

Vous venez de recevoir un avertissement !

Questions : Vous croyez que le système HADOPI se servira du nom de fichier pour détecter l'échange illégal ?

Réponse : NON, ça serait beaucoup trop simple, il suffirait de renommer tous les fichiers illégaux pour leurrer le systeme. Ils utiliseront ce qu'on appelle un HASH, une signature du fichier basé sur son contenu pour simplifier. (lien)

Sur internet deux philosophies s'affrontent (se complètent parfois):

  • Mon travail vous devez payer pour y accéder. (c'est respectable)
  • Mon travail est libre rien ne vous oblige à payer pour y accéder. (c'est un choix tout aussi respectable) (lien)

Question : Qu'est ce qui empêche le premier de nuire au second en renommant son travail avec un nom libre, dissuadant l'utilisation trop piégeuse du P2P ? (lien) (la concurrence fait parfois faire de vilaines choses).

Ne parlons pas des pirates qui pour noyer le poisson, utiliseront des faux noms ! C'est vrai après tout si comme disait Mme la ministre de la culture , derrière un Disney se cache parfois un porno, pourquoi pas un fichier illégal derrière un légal !

Savoir ce qui est légal ou pas n'est pas chose aisé, c'est même impossible !

Les entreprises et associations qui utilisent la technologie novatrice du P2P sont en danger !

Votre IP est unique !

  • Ha oui ! vous êtes sûr ?
  • bah c'est ce qui est dit plus haut !

Oui et non, vous en avez une publique et unique , ainsi que plusieurs qui, elles, sont privées!

IP publique et IP privée

présentation simple d'un reseau domestique

Pour communiquer avec les autres ordinateurs sur l'internet il faut une adresse publique, mais pour pouvoir accéder à internet depuis plusieurs ordinateurs chez vous, il faut des adresses privées. Toutes ces adresses privées communiquent sur internet avec l'adresse publique de votre BOX internet qui fait l'intermédiaire. C'est ce qu'on appelle le NAT. (lien)

Une BOX a :
  • une adresse sur le réseau internet qui est publique (209.85.229.104)
  • une adresse sur le réseau privé (192.168.0.254)

Chaque ordinateur chez vous a :

  • une adresse privée 192.168.0.1 (pour l'exemple) ce qui permet de le reconnaitre, mais seulement chez vous, puisque c'est privé.

Mais alors comment ça se passe :

192.168.0.1 -> 192.168.0.254 : je veux le fichier XYZ qui est chez 94.23.48.134.
209.85.229.104 (192.168.0.254 IP privé) -> 94.23.48.134 : je te demande le fichier XYZ.
94.23.48.134 -> 209.85.229.104 : voici le fichier XYZ que tu me demandes.
192.168.0.254 -> 192.168.0.1 : voila ton fichier.

"Vous venez de recevoir un avertissement !" Eh oui le fichier XYZ cache toujours un fichier illégal.

Questions : à quel moment 94.23.48.134 s'est-il adressé à 192.168.0.1 ?

Réponse : Jamais.

En aucun cas les adresses privées ne sont utilisées sur internet. Des millions d'ordinateurs utilisent l'adresse 192.168.0.1. Alors vous imaginez...

En fait c'est très simple. Internet à sa conception n'a pas été prévu pour disposer de plus d'un certain nombre d'adresses publiques (32bit) (lien), d'où la nécessité de disposer d'adresse privé permettant d'avoir ces propres adresses à l'intérieur d'un sous-réseau.(lien)

Questions : Parents qui de 192.168.0.2 ou 192.168.0.3 allez-vous punir, en sachant que c'est peut être vous 192.168.0.1 qui avez téléchargé fichier XYZ ?

Une ip publique ne donne pas le coupable réel d'un délit.

Et la sécurité dans tout ca ?

Je reçois ma box, je suis le mode d'emploi, et c'est parti !

Cas N°1

réseau infecté

Vous voyez le petit carré orange ? c'est Monsieur le trojan (ou cheval de troie) appelé aussi backdoor/porte dérobée (lien), vous ne savez pas qu'il est là, mais celui qui l'a installé le sait, lui !

Comment il fonctionne :

192.168.0.3 -> X.X.X.X (c'est un pirate il ne va quand même pas donner son adresse) : coucou tu peux te servir de moi !
X.X.X.X -> 192.168.0.3 : Cool, tu peux demander à 94.23.48.134 de m'envoyer fichier_illégal.
192.168.0.3 -> X.X.X.X : Ok, t'es un pirate, j'ai pas le choix.
192.168.0.3 -> 192.168.0.254 : télécharge pour moi fichier_illégal, s'il te plaît !
209.85.229.104 (192.168.0.254 IP privé) -> 94.23.48.134 : Je voudrais fichier_illégal.
94.23.48.134 -> 209.85.229.104 : Tiens le voilà.
192.168.0.254 -> 192.168.0.3 : Voila le fichier demandé.
192.168.0.3 -> X.X.X.X : je t'envoie fichier_illégal.

Dans la réalité X.X.X.X passerait aussi par 192.168.0.254 (votre BOX) mais pour l'exemple ce n'était pas nécessaire de le préciser.

"Vous venez de recevoir un nouvel avertissement ! Je vous annonce que vous n'avez plus internet..."

Questions : Qui est le coupable ?

  • 192.168.0.3 ?
  • X.X.X.X ?
  • 209.85.229.104 ?

Réponse : Au yeux de l'HADOPI 209.85.229.104, donc vous !

Ne connectez surtout pas un ordinateur de votre entreprise, par exemple. Il pourrait être infecté...

Questions : Comment on attrape un cheval de troie ou une porte dérobée ?

  • En ne mettant pas à jour ses logiciels.
  • Parfois en mettant à jour ses logiciels, il se cache dans la mise à jour.
  • En allant sur des sites web.
  • En ouvrant une pièce jointe dans votre email/courriel.
  • En ouvrant un fichier qu'on vous a donné.
  • Une faille de sécurité a été découverte, un individu l'exploite et automatise l'infection (Sasser, Melissa, Sobig, I love you, etc, etc...)
  • Parfois on ne sait pas...

10% des ordinateurs sont infectés et sont susceptibles d'être accusés à tort.

Une source par exemple.

Remarque : utilisés en groupe, les trojans peuvent former des "botnets" appelés aussi machines zombies.

Questions :Vous accepteriez de prendre des cours de conduite payants, ou qu'on vous supprime votre permis, parce qu'un radar vous flasherait au hasard 1 fois sur 10 ! ?

Cas N°2

réseau piraté

Même cas que précédemment, sauf que cette fois ci ce n'est plus un de vos ordinateurs qui est infecté, mais c'est un ordinateur étranger qui s'incruste dans votre réseau privé.

Question : comment ?

Réponse :

  • En utilisant votre BOX tel qu'on vous l'a livré et configuré en usine.
  • En laissant un amis se connecter chez vous, il peut télécharger un fichier illégal ou être soumis au cas cité précédemment.
  • En choisissant mal votre mot de passe.
  • Un pirate informatique aura trouvé le moyen de casser le cryptage censé être sécurisé.

Je ne vous refais pas le dialogue avec les adresses c'est le même que plus haut (ici) c'est votre IP publique qui est repérée, donc c'est vous le coupable !

Vous avez reçu un avertissement !

Vous devrez surveiller tout ce que fait tout le monde avec un ordinateur dans le périmètre de portée de votre Wifi !

Cas N°3

Vous êtes chez vous, vous avez souscrit à un abonnement internet dit "triple-play" (téléphone, télévision, internet). Vous vous servez d'internet pour discuter sur une messagerie avec votre famille, vous consultez uniquement internet pour vos comptes bancaires, l'assurance maladie, et déclarer vos impôts (chose que je ne ferais pas en ligne cette année, vu cette loi). Télécharger vous ne savez même pas comment on fait !

Question : êtes vous à l'abri ?

Réponse : Eh bien non. Certains sites pour tromper les outils automatisés ont à leur tour décidés d'automatiser et de fournir des informations éronnées comme ...... votre IP (publique bien sûr).

Deux professeurs et un étudiant à l'université de Washington ont publié un rapport (lien - format pdf), dans celui ci ils constatent que 3 imprimantes et un routeur ont étés accusés de piratage au sein de leur université.

Vous avez reçu un avertissement !

Sans même avoir télécharger le moindre fichier légal ou illégal, juste consulté des sites web, vous pourriez être accusé.

On vous proposera un logiciel pour vous aider à sécuriser votre ligne !

Je sais pas ce qu'ils fument au gouvernement mais j'en veux !
  1. Vous devrez l'acheter.
  2. Savoir le configurer (bonne chance on dépense des milliards chaque année pour sécuriser des réseaux sans y arriver).
  3. Il faudra qu'il fonctionne sur tous vos ordinateurs (windows 2000, XP, Vista, Seven, Mac os, Linux, Bsd, Solaris,...).
  4. Les consoles de jeu, les portables utilisent internet aussi, et même les réfrigérateurs maintenant...sans qu'ils soit possible de les modifier.

Le troisième point est tragi-comique pour me dédouaner je dois prouver que j'utilise le logiciel de sécurisation donc si je branche un nouveau pc sur mon réseau:

  • Il faut obligatoirement avoir le logiciel installé ?
  • Dois je faire une demande préalable en préfecture ?
  • Si je branche un PC sur mon réseau sans logiciel il sera considéré comme intrus donc je serais dédouané ?

Ce n'est pas sur l'ordinateur que doit être le logiciel de sécurisation mais sur la BOX.

Equiper chaque équipement communiquant d'un filtre de sécurisation est impossible.

Si le filtrage était sur la box, il n'empêcherait pas les transmissions cryptées, sinon vous pourriez dire adieu au commerce en ligne et à la communication privée.
Bien sur la box ne peut pas être l'initiatrice de la communication cryptée, le rôle du cryptage étant justement d'empêcher que les intermédiaires puissent voir l'information.

Un vrai danger !

Vous vous rappelez tout à l'heure le cheval de troie ? Un des principaux éléments de propagation de ce genre de chose, c'est la singularité de la plate-forme sur laquelle il se propage ! (c'est plus simple de faire toujours la même chose que faire des choix).

  • En cas de conflit, il suffirait de pirater un seul logiciel pour pirater toute la france, et uniquement la france si ce logiciel reste national !

Le logiciel de sécurité pourrait lui même devenir un facteur d'insécurité !

Quel est l'avis de la DCSSI et du CERTA à ce sujet ?

Prouver son innocence

Et la confidentialité de mes données ?

  • Je ne peux pas fournir mon disque dur avec des données de mon entreprise.
  • Mes mots de passe d'accès à mes divers compte professionnels sont dans mon disque dur.
  • Mes comptes ne regardent personne.
  • Mes photos de soirée arrosée avec des députés je ne veux pas les mettre entre toutes les mains.

La simplicité

  • Envoyer mon disque dur ? Lequel ? Vous avez surveillés combien j'en ai acheté ?
  • Et si j'ai téléchargé quelques chose sans savoir que c'était illégal ?
  • Je ne peux pas effacer le contenu de mon disque dur ca va être vérifié sinon c'est trop simple ! quid du disque dur acheté d'occasion à un ancien pirate ?

Quel est la compensation prévue pour la perte d'exploitation ?

Prouver son innocence est impossible ou trop simple !
Simplicité n'étant administrativement pas français, c'est impossible.

Une boite de pandore ?

Nombre d'entreprise pourraient en souffrir.

Nous ne connaissons pas les fichiers qui seront surveillés. (Qui peut dire ce qui est téléchargeable légalement ou pas ?), dans le doute certains s'abstiendront d'utiliser des logiciels qui pourtant sont vitaux pour des jeunes entreprises. Celles-là même qui savent utiliser les technologies d'aujourd'hui, et en vivre (Skype, Fonera,...), pourraient en pâtir.

De grave incertitudes planent

  • Nous ne connaissons pas grand chose du logiciel qui servira à automatiser les procédures. Fiable ou pas fiable ?
  • Les hash générés et déclarés illégaux seront ils vérifiés un par un ? Par manque de temps et de budget j'en doute.

Quel sont les niveaux d'interaction humaine que les gouvernements successifs (tous partis confondus), et les entreprises privés auront avec cet outil ?

En partant des ces informations, pouvons-nous craindre de voir des accusations basées sur des preuves fictives ou informelles ?
C'est malheureusement une éventualité, et pas des moindres, à prendre en considération !

Les personnes visées pourrait être :

  • Les blogeurs.
  • Les journalistes d'investigation.
  • Les artistes (coluche en son temps).
  • Les ONG.
  • Les associations.
  • ...

Vous avez reçu un avertissement !
Pourquoi ? Parce qu'il faut vous réveiller ! Sous son idéologie qui parait charitable, le projet de loi hadopi cache de graves dérives potentielles, mais malheureusement certaines aussi qui sont bien réelles.