2. Blogs

Hadopi : une analyse juridique et technique

13 mai 2009 Blogger Anonymous , Sécurité

mise au point : Je tiens à préciser que cet article est le résultat d'une analyse factuelle qui ne comporte pas d'opinion personnelle. Dans cet article je ne donne pas d'avis positif ni négatif sur le fond de la loi Hadopi. Les informations factuelles qui ont servi à l'élaboration de cet article ont été élaborées en collaboration avec des experts juridiques. Une version antérieure de cet article a été reprise par d'autres sites avec des interprétations ou des commentaires ne reflétant pas mon opinion exprimée dans ce post. J'ai donc pris la décision de le publier à nouveau en changeant le titre (plus proche du texte) et quelques termes dont l'imprécision pouvait prêter à confusion, sans pour autant changer le sens de mon texte. Afin de vous permettre de visualiser les passages que j'ai modifiés, ces derniers ont été mis en gras.

Ca y est, à coup de bélier, le texte Hadopi a fini par être adopté. Mais en réalité, faut-il se méfier de la Loi qui en découlera ? On ne sait pas encore comment la détection des pratiques illégales va se faire, mais cela semble très mal parti car la collecte de la preuve est soumise à des règles très stricte, et le fait doit être caractérisé sinon il s'agira d'une pratique abusive...punie par la Loi...
Avant de pouvoir signaler à un client Internet (personne physique ou morale) qu'il a été pris en flagrant délit d'un téléchargement illégal, il faut être sûr du fait. Cela s'appelle disposer de la "preuve caractérisée du délit".

A ce jour, rien n'est spécifié quant à la méthode pour prouver les faits.
Comment cela peut-il se faire?

Ecouter le réseau ?
Dans la mesure où c'est au niveau de l'opérateur que la preuve doit être collectée, la méthode va donc vraissemblement reposer sur une solution technique de type sniffer. L'équipement écoutera le réseau, détectera un flux correspondant à un outil connu de peer to peer (P2P), pourra éventuellement décoder le flux en cours et par conséquent déduire ce qui transite.
Admettons que l'outil P2P soit un classique : eDonkey et autres clients compatibles... Tout ce qui pourra être constaté à l'instant t est qu'un infime morceau d'un fichier de quelques kilos octets (appelé chunk), dont le nom est en réalité un nombre hexadécimal, vient de passer. Ceci ne saurait constituer une preuve acceptable pour un caractériser un téléchargement de données illegal car d'une le P2P permet aussi de télécharger des données parfaitement légales, et de deux, la Loi ne saurait considérer un outil comme illégal.
Par conséquent, à ce stade : la plainte est infondée.
Pour pouvoir caractériser les faits, il faudrait que l'outil d'écoute du réseau mémorise les données, tel le client P2P lui-même, jusqu'à ce que cette quantité suffisante existe et que, par des outils quelconques, il soit possible d'en reconstituer suffisamment pour constater l'illicité du contenu du fichier (divx, mp3, ...)

Neutralité
Il faut savoir qu'un opérateur de télécom a une obligation de neutralité. Cela signifie qu'il ne peut pas focaliser sur un flux particulier pour constituer des preuves (sans procédure de justice associée), mais ne peut que réagir à un flux suspect qui est ressorti comme tel lors d'une analyse générale d'un lien réseau ou de traces par exemple.

Signalement
Une fois que l'Officier de Police Judiciaire chargé de surveiller l'équipement de détection de téléchargement illégal aura constaté les faits, la procédure visant à demander l'arrêt de la pratique pourra être enclenchée. Mais alors, si cette demande n'est pas envoyée en recommandé accusé-réception, celle-ci n'aura aucune valeur juridique, particulièrement en cas de courriel dont la remise est connue pour ne pas être fiable.

Mais alors Hadopi ?
Comme nombre de spécialistes le criaient à corps et à cri, Hadopi est potentiellement criticable d'un point de vue juridique, la jurisprudence le dira. A l'heure où la Communauté Européenne envisage de placer l'accès à Internet comme un droit civique (empêchant ainsi la coupure), on peut souligner que la France se verra probablement soumise à l'application de la loi Européenne, comme c'est la coutume.

De plus, malgré ce qui a pu être lu dans la presse ici et là, une solution technique pour lutter contre le fléau du piratage sera complexe à mettre en oeuvre, et le moyen de lutte devra  sans cesse essayer de se mettre au niveau des évolutions techniques des logiciels pirates de téléchargement. Déjà des outils de P2P fonctionnent sur du port 443 en SSL, laissant à penser qu'un flux HTTPS classique est en transit. Même en sniffant, le flux sera indéchiffrable par l'équipement d'écoute et le téléchargement illégal ne pourra donc jamais être caractérisé.
A ce jour et en l'état actuel, toute plainte reçue par un Internaute (rappel: personne physique ou morale) sera une procédure qui pourrait être considérée comme abusive (voir notre commentaire ci-dessous sur la jurisprudence) pouvant déboucher sur une plainte auprès des pouvoirs compétents. Si ces plaintes débouchent sur une procédure en justice, nul doute qu'au final toutes les plaintes émises par la méthode Hadopi (pour l'appeler ainsi, car par Hadopi on entend ici les moyens techniques mis en oeuvre pour l'appliquer) seront nulles et non advenues.

En attendant, quid des méthodes actuellement utilisées ?

Attirer en étant un serveur de données illégales
L'ancienne méthode consiste à mettre sur le réseau un serveur partageant une donnée illégale et détecter tous ceux qui viendrait la prendre. Mais à ce niveau, nul ne peut se prévaloir de sa propre turpitude. En d'autres termes, le procédé est illégal.
De plus, par la magie des 'fakes' (fichier nommé comme ce qu'on pense télécharger mais qui contient en réalité autre chose, le plus souvent un film pornographique), le seul moyen de caractériser la preuve ici consistera à aller chez le téléchargeur et constater que la donnée est bien celle récupérée. Mais le fait de demander une enquête reposant sur une simple supposition peut être également considéré comme une procédure abusive, la certitude du fait étant indispensable.

Une autre approche efficace contre le piratage : constater un partage illicite.
Une autre approche plus intéressante consistera à se connecter sur un partageur (souvent le client P2P partage également ce qu'il a déjà pris, c'est la base du succès de ce principe), lister le contenu des fichiers à télécharger, puis prendre celui qu'on veut et, une fois qu'assez de données sont arrivées, reconstituer toute ou partie du fichier pour pouvoir enfin caractériser la preuve du délit, à savoir un contenu illégal. Une fois fait, plainte pourra être déposée afin qu'une perquisition soit effectuée et que constat soit fait de la présence d'autres données illégales.

A ce jour, avec cette méthode, (NDA au 15/05/2009 une autre hypothèse pourrait également être envisagée ultérieurement),  la Loi n'est à aucun moment transgréssée par le plaignant. L'internaute pourrait, en toute bonne foi, arguer qu'il pensait télécharger un contenu licite mais, qu'à cause des 'fakes', le nom du fichier a débouché sur un contenu illégal qu'il ne pouvait pas arrêter de télécharger avant que celui-ci soit complètement arrivé.
Mais si la perquisition révèle une bibliothèque de MP3 sans les documents originaux, ça ne résistera pas comme argumentation.

mise au point : Je tiens à préciser que cet article est le résultat d'une analyse factuelle qui ne comporte pas d'opinion personnelle. Dans cet article je ne donne pas d'avis positif ni négatif sur le fond de la loi Hadopi. Les informations factuelles qui ont servi à l'élaboration de cet article ont été élaborées en collaboration avec des experts juridiques. Une version antérieure de cet article a été reprise par d'autres sites avec des interprétations ou des commentaires ne reflétant pas mon opinion exprimée dans ce post. J'ai donc pris la décision de le publier à nouveau en changeant quelques termes dont l'imprécision pouvait prêter à confusion, sans pour autant changer le sens de mon texte. Afin de vous permettre de visualiser les passages que j'ai modifiés, ces derniers ont été mis en gras.
Blogger Anonymous

-