Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Hadopi : une analyse juridique et technique

Hadopi : une analyse juridique et technique
2009-05-132013-02-11actualités et événementsfr
mise au point : Je tiens à préciser que cet article est le résultat d'une analyse factuelle qui ne comporte pas d'opinion personnelle. Dans cet article je ne donne pas d'avis positif ni négatif sur le fond de la loi Hadopi. Les informations factuelles qui ont servi à l'élaboration de cet...
Publié le 13 Mai 2009 par Blogger Anonymous dans actualités et événements
mise au point : Je tiens à préciser que cet article est le résultat d'une analyse factuelle qui ne comporte pas d'opinion personnelle. Dans cet article je ne donne pas d'avis positif ni négatif sur le fond de la loi Hadopi. Les informations factuelles qui ont servi à l'élaboration de cet article ont été élaborées en collaboration avec des experts juridiques. Une version antérieure de cet article a été reprise par d'autres sites avec des interprétations ou des commentaires ne reflétant pas mon opinion exprimée dans ce post. J'ai donc pris la décision de le publier à nouveau en changeant le titre (plus proche du texte) et quelques termes dont l'imprécision pouvait prêter à confusion, sans pour autant changer le sens de mon texte. Afin de vous permettre de visualiser les passages que j'ai modifiés, ces derniers ont été mis en gras.

Ca y est, à coup de bélier, le texte Hadopi a fini par être adopté. Mais en réalité, faut-il se méfier de la Loi qui en découlera ? On ne sait pas encore comment la détection des pratiques illégales va se faire, mais cela semble très mal parti car la collecte de la preuve est soumise à des règles très stricte, et le fait doit être caractérisé sinon il s'agira d'une pratique abusive...punie par la Loi...
Avant de pouvoir signaler à un client Internet (personne physique ou morale) qu'il a été pris en flagrant délit d'un téléchargement illégal, il faut être sûr du fait. Cela s'appelle disposer de la "preuve caractérisée du délit".

A ce jour, rien n'est spécifié quant à la méthode pour prouver les faits.
Comment cela peut-il se faire?

Ecouter le réseau ?
Dans la mesure où c'est au niveau de l'opérateur que la preuve doit être collectée, la méthode va donc vraissemblement reposer sur une solution technique de type sniffer. L'équipement écoutera le réseau, détectera un flux correspondant à un outil connu de peer to peer (P2P), pourra éventuellement décoder le flux en cours et par conséquent déduire ce qui transite.
Admettons que l'outil P2P soit un classique : eDonkey et autres clients compatibles... Tout ce qui pourra être constaté à l'instant t est qu'un infime morceau d'un fichier de quelques kilos octets (appelé chunk), dont le nom est en réalité un nombre hexadécimal, vient de passer. Ceci ne saurait constituer une preuve acceptable pour un caractériser un téléchargement de données illegal car d'une le P2P permet aussi de télécharger des données parfaitement légales, et de deux, la Loi ne saurait considérer un outil comme illégal.
Par conséquent, à ce stade : la plainte est infondée.
Pour pouvoir caractériser les faits, il faudrait que l'outil d'écoute du réseau mémorise les données, tel le client P2P lui-même, jusqu'à ce que cette quantité suffisante existe et que, par des outils quelconques, il soit possible d'en reconstituer suffisamment pour constater l'illicité du contenu du fichier (divx, mp3, ...)

Neutralité
Il faut savoir qu'un opérateur de télécom a une obligation de neutralité. Cela signifie qu'il ne peut pas focaliser sur un flux particulier pour constituer des preuves (sans procédure de justice associée), mais ne peut que réagir à un flux suspect qui est ressorti comme tel lors d'une analyse générale d'un lien réseau ou de traces par exemple.

Signalement
Une fois que l'Officier de Police Judiciaire chargé de surveiller l'équipement de détection de téléchargement illégal aura constaté les faits, la procédure visant à demander l'arrêt de la pratique pourra être enclenchée. Mais alors, si cette demande n'est pas envoyée en recommandé accusé-réception, celle-ci n'aura aucune valeur juridique, particulièrement en cas de courriel dont la remise est connue pour ne pas être fiable.

Mais alors Hadopi ?
Comme nombre de spécialistes le criaient à corps et à cri, Hadopi est potentiellement criticable d'un point de vue juridique, la jurisprudence le dira. A l'heure où la Communauté Européenne envisage de placer l'accès à Internet comme un droit civique (empêchant ainsi la coupure), on peut souligner que la France se verra probablement soumise à l'application de la loi Européenne, comme c'est la coutume.

De plus, malgré ce qui a pu être lu dans la presse ici et là, une solution technique pour lutter contre le fléau du piratage sera complexe à mettre en oeuvre, et le moyen de lutte devra  sans cesse essayer de se mettre au niveau des évolutions techniques des logiciels pirates de téléchargement. Déjà des outils de P2P fonctionnent sur du port 443 en SSL, laissant à penser qu'un flux HTTPS classique est en transit. Même en sniffant, le flux sera indéchiffrable par l'équipement d'écoute et le téléchargement illégal ne pourra donc jamais être caractérisé.

A ce jour et en l'état actuel, toute plainte reçue par un Internaute (rappel: personne physique ou morale) sera une procédure qui pourrait être considérée comme abusive (voir notre commentaire ci-dessous sur la jurisprudence) pouvant déboucher sur une plainte auprès des pouvoirs compétents. Si ces plaintes débouchent sur une procédure en justice, nul doute qu'au final toutes les plaintes émises par la méthode Hadopi (pour l'appeler ainsi, car par Hadopi on entend ici les moyens techniques mis en oeuvre pour l'appliquer) seront nulles et non advenues.

En attendant, quid des méthodes actuellement utilisées ?

Attirer en étant un serveur de données illégales
L'ancienne méthode consiste à mettre sur le réseau un serveur partageant une donnée illégale et détecter tous ceux qui viendrait la prendre. Mais à ce niveau, nul ne peut se prévaloir de sa propre turpitude. En d'autres termes, le procédé est illégal.
De plus, par la magie des 'fakes' (fichier nommé comme ce qu'on pense télécharger mais qui contient en réalité autre chose, le plus souvent un film pornographique), le seul moyen de caractériser la preuve ici consistera à aller chez le téléchargeur et constater que la donnée est bien celle récupérée. Mais le fait de demander une enquête reposant sur une simple supposition peut être également considéré comme une procédure abusive, la certitude du fait étant indispensable.

Une autre approche efficace contre le piratage : constater un partage illicite.
Une autre approche plus intéressante consistera à se connecter sur un partageur (souvent le client P2P partage également ce qu'il a déjà pris, c'est la base du succès de ce principe), lister le contenu des fichiers à télécharger, puis prendre celui qu'on veut et, une fois qu'assez de données sont arrivées, reconstituer toute ou partie du fichier pour pouvoir enfin caractériser la preuve du délit, à savoir un contenu illégal. Une fois fait, plainte pourra être déposée afin qu'une perquisition soit effectuée et que constat soit fait de la présence d'autres données illégales.

A ce jour, avec cette méthode, (NDA au 15/05/2009 une autre hypothèse pourrait également être envisagée ultérieurement),  la Loi n'est à aucun moment transgréssée par le plaignant. L'internaute pourrait, en toute bonne foi, arguer qu'il pensait télécharger un contenu licite mais, qu'à cause des 'fakes', le nom du fichier a débouché sur un contenu illégal qu'il ne pouvait pas arrêter de télécharger avant que celui-ci soit complètement arrivé.
Mais si la perquisition révèle une bibliothèque de MP3 sans les documents originaux, ça ne résistera pas comme argumentation.

mise au point : Je tiens à préciser que cet article est le résultat d'une analyse factuelle qui ne comporte pas d'opinion personnelle. Dans cet article je ne donne pas d'avis positif ni négatif sur le fond de la loi Hadopi. Les informations factuelles qui ont servi à l'élaboration de cet article ont été élaborées en collaboration avec des experts juridiques. Une version antérieure de cet article a été reprise par d'autres sites avec des interprétations ou des commentaires ne reflétant pas mon opinion exprimée dans ce post. J'ai donc pris la décision de le publier à nouveau en changeant quelques termes dont l'imprécision pouvait prêter à confusion, sans pour autant changer le sens de mon texte. Afin de vous permettre de visualiser les passages que j'ai modifiés, ces derniers ont été mis en gras.

11 Commentaires

  • 14 Mai 2009
    2009-05-14
    par
    Philippe GREGOIRE
    Petite question

    L'internaute peut être poursuivi pour non sécurisation de sa ligne. Dans le cas d'une Livebox louée que se passe t'il?

    Est ce que le loueur, en l'occurence Orange doit mettre à la disposition (location) de ses client un matériel suffisament sécurisé pour éviter tout piratage?

    Je pense que la situation entre le fournisseur et le client risque d'être ambigue sur ce point.
  • 14 Mai 2009
    2009-05-14
    par
    Guillaume
    Bon alors, puisqu'on parle technique, parlons technique ...

    Pour que le système fonctionne, il faudrait :
    - Que les ayants-droits fournissent la liste des titres qu'ils veulent surveiller.
    - Que le logiciel d'Hadopi fasse une recherche textuelle sur ces titres et télécharge l'intégralité des différents fichiers correspondant à ces noms
    - Qu'il fasse ensuite une vérification pour voir si ces fichiers sont bien des fichiers correspondants aux titres (éviter les fakes) et ne s'intéresse qu'aux hashs des fichiers valides.
    - Qu'il tente le téléchargement de ces hashs sur le réseau
    - Qu'il considère responsable, l'IP de ceux chez qui il aura réussi à télécharger quelques octets (pour prouver la mise à disposition)

    Méthode assez complexe mais faisable.

    Concernant la possibilité d'IP Spoofing, elle n'est pas évidente. Mais il y a tellement d'autres moyens !
    - Pirater le WiFi de son voisin : WEP et WPA ne sont pas sûrs. WPA2 résiste encore un peu, mais tous les matériels ne sont pas compatibles (Nintendo DS, carte wifi en 802.11B sur les PDA ou les vieux Psions...). Que mettre en place ? Un filtrage Mac ? Un serveur Radius ? Tout ça n'est plus à la portée du commun des mortels.
    - Utiliser du P2P chiffré et anonyme, iMule par exemple ...
    - Utiliser des troyens ? Vous croyez que les plus vils vont se priver de tenter de vous infecter pour se servir de vos PC comme relais ?
    - Utiliser les services de sociétés peu regardantes ou carrément sans scrupules ? Usenet, VPN chiffrés (IPredator par exemple), services premium Rapidshare ou MegaUpload ...
    - Se monter son réseau de confiance : F2F (OpenSwarm...), échange de FTP persos, Gigatribe...
    - Revenir aux anciennes méthodes : échanges de clefs USB ou de disques durs, DCC sur IRC, envois par messagerie instantannée (MSN et autre)...

    Bref tant de façons de faire qui ne sont pas surveillables et qui rendent cette loi obsolète et dangeureuse pour beaucoup. Je pense que nous allons assister à une explosion du nombre de piratages de lignes WiFi et de tentatives d'infection de PC... avec bien sûr les sanctions Hadopi qui vont avec...
  • 14 Mai 2009
    2009-05-14
    par
    Laurent Levier
    En effet, mais, sauf erreur de ma part, l'obligation est de demontrer que les mesures ont ete prises.

    Celles-ci peuvent etre simplement de nommer un responsable qui veillera a mettre en place des moyens selon ses competences.

    Cette seule action dedouane le responsable...
  • 14 Mai 2009
    2009-05-14
    par
    Eh non, pour Hadopi toute personne a eu un doctorat d'informatique et est responsable de son accès, même les chefs d'entreprise...
    citation « La personne titulaire de l'accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin ». C'est assez clair. Pas de décharge sur ce point, ni de question de taille d'entreprise.

    Pour Hadopi seul le hash du fichier va prouver l'infraction. un point c'est tout

    Tu as raison sur un point, il va y avoir pas mal de jurisprudences. Mais peut être pas sur les points "techniques"

    Et même Johnny sera "protégé", Florent
  • 14 Mai 2009
    2009-05-14
    par
    Gourmet
    "Seules les françaises les intéresseront" : c'est là que le bât blesse.
    En ressortant à l'étranger et dans un pays qui ne risque pas de suivre la voie de la France, le tour est joué. La démarche nécessite un abonnement complémentaire : encore de l'argent qui n'ira pas à la création !

    Ensuite, même en créant un pot de miel et en relevant toutes les adresses françaises qui viennent s'y coller quelle preuve constitue le fait d'avoir vu apparaître quelques secondes telle ou telle adresse (qui n'ont pu dès lors récupérer que quelques ko à l'occasion) ?
    Cela vaut-il vraiment la peine de lancer une procédure d'interpellation pour quelques ko ?
    Tout ça pour ne rien trouver lors d'une perquisition parce que tout est chiffré ?


    Ensuite il y a tous les protocoles de transfert point à point : scp, sftp, https, ftps, nttp, nttps notamment. Dans nombre de ces cas, l'abonnement est payant (Giganews à $12 par mois par exemple, encore 9 EUR qui n'iront pas à la création). Dans ce cas, à moins de taper à la porte du fournisseur quand c'est possible (en Allemagne c'est possible) impossible de retrouver les clients.

    Et je ne parle pas des réseaux privés (assemblée de plusieurs centaines d'internautes qui se cooptent et panachent les protocoles : aucun risque qu'un chasseur ne s'introduise dans le groupe).

    db

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage