Aller au contenu | Aller au menu | Aller à la recherche

mercredi, mars 18 2009

HADOPI: en route vers un internet enfin sur !

HADOPI ? !

Non, je ne suis pas en train de vous dire bonjour en inuit, mais de vous parler du projet de loi Création et Internet, plus communément appelé loi Hadopi, pour Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet.

Pour ceux qui ne connaitraient pas du tout (sortez un peu de chez vous, il fait beau, pourtant, et faites un effort: on en parle partout !), il s'agit d'un projet de loi qui voudrait pouvoir endiguer le piratage informatique (c'est à dire des flibustiers qui attaquent des ordinateurs depuis leur goélette, vraisemblablement....), et plus précisément la copie illicite (qui n'est pas licite, donc, c'est à dire qui ne rapporte pas un maximum de pognon à un gros éditeur).
Et c'est de notoriété publique, si l'industrie du disque en particulier va mal, c'est la faute aux téléchargement illégaux, et ca n'a aucun rapport avec (par exemple et par hasard) la diversité et la qualité exemplaire des productions de ces dernières années, le prix des CDs dans les bacs qui a su s'adapter au marché moderne, l'évolution meme du contenu de ces médias, le bon fonctionnement garanti dans n'importe quel lecteur de CD, etc.....


Comment donc proposent-ils d'endiguer ainsi ce fléau des temps modernes, qui est à n'en pas douter à l'origine de la crise économique mondiale, du retour de la malaria et de la gonorrhée, de l'augmentation du chomage, du retour de ma belle mère et de l'arret de la série Coupling ?
C'est très simple, comme expliqué dans ce schéma, extrait du pré-appel d'offre pour un système mettant en oeuvre HADOPI (oui, la loi n'est pas encore passée, et alors ?): HADOPI-Usine

On voit donc clairement le méchanisme somme toute assez simple, qui consiste à autoriser des entités privées (comprendre "les gros éditeurs qui ne touchent du coup plus un max de pognon") à:

  • surveiller les échanges de fichiers P2P (note pour ma soeur: il ne s'agit PAS du nouveau groupe de Boys band qui remplace les 2B3).
  • recouper ces informations pour tracer ceux qui téléchargent des contenus (le dernier Celine Dion, le dernier Johny, le dernier épisode de 24h, le dernier blockbuster pas encore sorti au ciné en France, je dernier album de la Starac', le dernier Samaritain, etc....) de facon illégale (sans raquer, quoi).
  • contacter les fournisseurs d'accès à Internet (Orange, Free ou Neuf/SFR, pour le commun des mortels) pour qu'ils donnent le nom des personnes tracées.
  • Envoyer un premier mail d'avertissement, pour dire "je t'ai vu, c'est pas bien ce que tu fais !"
  • Envoyer un second mail, pour dire "oh, attention, chérie, ca va couper !", et dire à votre FAI de vous couper votre accès au net, la, maintenant, tout de suite.

Tout ca à un rythme annoncé de 10 000 (dix mille) messages d'avertissement par jour, soit, par an, environ 6% de la population francaise, ou, puisque c'est de ca qu'il s'agit, environ 25% des foyers connectés à internet !

Présomption de culpabilité

Car oui, pour HADOPI, dès qu'un Major audio-visuel (ou plus précisément un programme informatique qui tourne pour eux) l'a décreté, vous etes présumé coupable (vous aurez bien sur repéré dans le schéma du dessus que vous avez une possibilité de recours, qui n'est cependant PAS suspensive....).
Mais bon, ca ne change pas beaucoup par rapport à d'autres joyeusetés comme la redevence sur la copie privée, qui part du postulat que, quand vous achetez un CD vierge, c'est pour graver dessus une copie illicite d'un album de Lara Fabian ou de la Nouvelle Star.....

Bien sur, ce débat (voire plutot l'absence de débat, très visible au Senat, un peu plus ambigue à l'Assemblée Nationale, ou les amendements pleuvent aussi vite que leurs refus en masse) génère de nombreux mouvements de contestation, eux-meme largement étouffés par les plus gros médias (quelqu'un a vu au JT sur TF1 ou France Television un reportage qui n'allait PAS dans le sens de cette loi ?).

Une bonne intention au départ

Je l'assume haut et fort, cette loi a particulièrement bon fond.

Déjà, elle permettrait éventuellement à la plèbe de se poser des questions sur l'intéret et la qualité d'un titre avant de consommer une partie de leur pouvoir d'achat pour en acquérir un droit d'écoute, au lieu de directement aller le télécharger puis l'écouter en boucle, tout ca avec le cerveau en mode "off".
Certes, au début, il y aura un risque de claquage de neurones massifs, ces pauvres petites choses n'étant plus habituées à fonctionner, mais avec un peu d'échauffement, qui sait, nos chers concitoyens pourraient meme se surprendre à faire refonctionner leur matière grise pour d'autres activités, comme le choix du programme télé de ce soir, le remplissage du caddie dans le supermarché, voire qui sait pour les prochaines élections (oui, je sais, je me fais du mal.....).


Ensuite, comme je l'évoquais dans le titre (non, je n'avais pas oublié), cette loi permettra à terme de rendre internet plus sur. Comment ? tout simplement en donnant aux gens une très bonne raison de se préoccuper de la sécurité de leur accès internet, et en fournissant un moyen quasi automatique de débrancher ceux qui ne le font pas !

HADOPI en action

Car pour HADOPI, l'important n'est pas vraiment qui a fait l'action illégale, mais qui est légalement responsable de la ligne sur laquelle l'infraction a été constatée.
Bien sur, tout le monde pense d'abord à la personne qui prend un accès internet, qui branche dessus un PC, installe des logiciels de téléchargement et commence gaiement à télécharger plein de choses à s'en faire péter le disque dur !


Bien sur, ce cas existe. Bien sur, c'est mal: faire ca, c'est s'autolobotomiser le cerveau à forte dose (alors que, dans le modèle commercial classique, il y a au moins une mécanique qui limite la dose de débilité encaissée chaque jour: le solde du compte en banque).

OpenWifi

Mais il y a d'autres cas. Vous avez une machinbox chez vous ? Vous utilisez l'accès Wifi qui va avec (ou vous avez un routeur Wifi derrière) ? Vous etes vous déjà demandé qui d'autre que vous peut utiliser cet accès ?
Parceque, au risque de vous faire peur en vous apprenant ca, les murs ne bloquent pas les ondes des Wifi (ou alors vous vivez dans une cage de Faraday, ce qui est peu probable), votre réseau Wifi est donc probablement à portée de vos voisins, voire d'un parfait inconnu qui se ballade dans le quartier avec son ordinateur portable.

Vous avez mis en place un filtrage par adresse MAC ? ou par adresse IP ? Il n'y a rien de plus facile que de changer ces valeurs (oui, meme l'adresse MAC....), ca ne sert à RIEN.

Vous avez activé le mode WEP ? Manqué, ca se casse de nos jours en quelques minutes, montre en main, avec n'importe quel ordinateur portable.

Vous avez activé le WPA ? On peut commencer à envisager le fait que votre réseau Wifi ne soit pas squatté par une quantité impressionante de gens que vous ne connaissez pas, mais la encore, ca n'est pas forcément garanti, surtout si votre mot de passe WPA est "soleil" (note pour ma soeur: je t'ai bien activé le WPA, et ton mot de passe n'est pas "soleil").

Vous n'utilisez pas le Wifi de votre machinbox, et vous pensez donc naturellement etre à l'abri ?
Vous devriez peut etre d'abord aller vérifier que ca n'est pas activé par défaut à l'insu de votre plein gré, vous risquez d'etre surpris......

"Ils" sont là.... dans votre PC......

Vous n'avez pas du tout de Wifi dans votre machinbox, et de toutes facons votre salon est effectivement une cage de Faraday ? tant mieux pour vous.....
Mais etes vous pour autant le seul utilisateur de votre PC ?

Légende urbaine pour certains, dure réalité pour d'autres, un PC sous Windows fraichement acheté au magasin, déballé et connecté à internet est généralement contaminé par un virus/ver/etc... dans les 5 premières minutes.... soit avant que l'utilisateur n'ait eu le temps de télécharger les correctifs de sécurité.
En supposant que vous ayez réussi à passer ce cap délicat, le même PC aura dans sa vie toutes les chances de subir les attaques de plusieurs virus/vers/autres.

Bref, votre PC est peut etre (probablement ?) plus utilisé que ce que vous croyez, par des gens que vous ne connaissez toujours pas, et qui cette fois ci habitent peut etre à l'autre bout du monde.....


Quel rapport avec cette loi HADOPI ?
Comme je l'ai dit au dessus, c'est à priori le détenteur de la ligne incriminée qui va morfler, parcequ'il faut bien un coupable, de préférence un qui ne gigotte pas trop, c'est plus facile à taper.
Et ca va faire mal, puisqu'on parle ici de la pire des déchéances possibles pour un Homo Sapiens Informaticus, pire que le gibet moyenâgeux: la résiliation de l'accès à Internet, purement et simplement, pour une durée qui peut devenir importante en cas de ré-ré-récidive, et l'affront subi dès lors à chaque fois que vous devrez affronter le regard d'un collègue ou ami à qui vous venez de répondre "non, désolé, je n'ai pas d'adresse email" ou "je n'ai pas d'accès à Internet".....
Rien que d'y penser, ca fait froid dans le dos !

C'est affreux !!!

Mais les Johnsons arrivent ce soir, et je ne veux pas qu'ils voient la maison dans cet état.
Que faire, du coup ?

Bah justement, enfin commencer à vous préoccuper de la sécurité de votre machine/réseau, et considérer ca comme "un truc chiant mais nécessaire", et non comme "un truc chiant".

Bien sur, dans un premier temps, ca va se traduire par repayer l'abonnement à l'antivirus qui était fourni avec l'ordinateur.
Quelques mois plus tard, quand les utilisateurs commenceront à se retourner en masse contre les éditeurs d'antivirus et de firewalls personnels parceque les dits outils n'ont pas réussi à protéger efficacement le PC, quand les utilisateurs en arriveront à se retourner contre Microsoft parceque leur système d'exploitation est troué de partout, quand tous ces gens se seront fait refouler au tribunal, tout simplement parceque c'est précisé dans leur EULA (End User Licence Agreement, rien à voir avec un 36 15 similaire, si ce n'est qu'on la met bien profond dans les deux cas.....), et après un temps de désespoir absolu, ces utilisateurs se verront contraints et forcés de commencer à vraiment se renseigner sur d'autres solutions, qui fonctionnent et qui ne sont pas (ou en tout cas nettement moins) des invitations à venir squatter un ordinateur....

En cas d'urgence, brisez la glace...

Pour ceux qui ne veulent pas s'embéter avec des trucs gratuits qui fonctionnent, qui préfèrent cliquer sur démarrer pour pouvoir eteindre leur ordinateur, et qui veulent pouvoir continuer à faire Open CPU/Bande passante pour le monde entier, rassurez-vous, il y a une autre solution....

Parceque, comme je l'ai déjà signalé au dessus, et comme la loi francaise le permet, vous avez la possibilité de contester, et de prouver votre bonne foi et votre innocence.
Comment ? Comme l'explique elle même notre chère ministre de la culture et de la communication, en fournissant son disque dur exempt de toute donnée illicite comme preuve de son innocence.

Il vous suffit donc d'investir dans un disque dur quelconque et premier prix (voire en recyclant un vieux disque dur encore vaguement fonctionnel), d'installer un système d'exploitation tout frais, de ne SURTOUT PAS brancher ca sur le grand méchant ternet, d'y installer quand meme un ou deux vagues outils, pour faire style genre ca sert vraiment comme disque, et de le mettre sous verre, en attendant le jour ou vous recevrez votre lettre vous informant de la coupure de votre accès.

Et les téléchargements illicites dans tout ca ?

Ne vous en faites pas pour eux, ils ont la peau dure, et contrairement à vous, les experts (rien à voir avec la série télé) du téléchargement utilisent déjà d'autres outils, qui laissent moins de traces, qui sont plus difficiles à filtrer, qui anonymisent tout, bref, ils sont déjà à l'abri d'une loi qui n'est pas encore votée.....

jeudi, juillet 19 2007

La sécurité pour ma soeur.....

Le titre peut surprendre (surtout quand on connait ma soeur, mais ca marche quand meme sinon), qu'est-ce que j'ai bien pu fumer pour mettre les mots "sécurité" et "ma soeur" dans la meme phrase ??

Mais revoyons la meme scène, au ralenti:

La sécurité (sous entendu sécurité informatique, surtout, mais pas forcément seulement) est une partie importante de mon travail, voire de ma facon de penser, et que vous le vouliez ou non, j'en parle, j'ai meme fait une catégorie exprès ici, et elle se remplira.

"ma soeur" (attention, il y a un piège: j'ai plusieurs soeurs !!!) est passée chez moi il y a quelques semaines (oui, je sais, à peu près tout le monde s'en fout, mais vous avez décidé de lire MON blog, alors va falloir assumer, maintenant, si vous etes pas contents, z'avez qu'a faire votre propre blog, mettre dedans des trucs que vous avez envie de lire, puis mettre un lecteur de flux RSS sur votre propre blog.....), et lors d'une discussion tardive et arrosée, on en est venus à parler de mon blog. Ma soeur est donc devenue lectrice de mon blog (enfin, si ca passe sur un MAC ;-). Ca peut paraitre anodin en soi, mais c'est en fait une première mondiale: il y a maintenant un lecteur (enfin, une lectrice, pour etre exact) de ce blog qui le lit parceque je lui en ai donné l'adresse !!!

Eh oui, c'est comme ca, le temps ou ce blog était réservé à l'élite des hackeurs capables de découvrir seuls son adresse est révolue, on avait déjà eu connaissance de sombres histoires de divulgation de l'URL il y a quelques temps, et maintenant, meme ma soeur sait lire mon blog, vous vous rendez compte ?

Mais continuons notre analyse au ralenti, à peu près au moment ou Xor a presque fini d'enfiler son scaphandre de combat:

J'ai rien fumé, et mon haleine fétide de ricard digne d'un représentant des forces de l'ordre exercant sur la cannebière n'est due qu'a l'excès de bonbons à la réglisse.

Le contexte est éclairci, Xor est pret à aller botter le cul du super méchant de l'épisode d'aujourd'hui, il reste quand meme le point essentiel de cette séquence: pourquoi "sécurité" et "ma soeur" dans la meme phrase ???

Bah tout simplement parceque ca me choque que ca vous choque. Revenons à l'épisode précédent: pendant que Steven déclarait sa flamme a Sandy, que l'infame JR se bourre la gueule à la vodka frelatée et au mélange 2 temps sans plomb, et que Cruz se demande ou a bien pu passer Pamella qui lui avait pourtant donné rendez vous sur la jetée, et qui va bientot avoir 2 jours de retard, j'étais aux Rencontres Mondiales du Logiciel Libre avec un super bagde marqué "Directeur de thème Sécurité" (enfin, c'est ce qui aurait été marqué si j'avais pris le temps de remplir correctement un truc).

D'habitude, un thème sécurité dans ce genre d'évènements, c'est:

  • des développeurs venus présenter la dernière super fonctionnalité de la mort qui déchire tout d'une application de sécurité,
  • des "hackeurs" (promis, je ferai un billet sur "hacker" un jour, et meme que je viendrai rééditer ce billet pour mettre un lien) venus présenter le super top méga dernier virus/ver/machine à café, spécialement concu pour contourner les applications elles memes spécialement concues pour détecter les vers/virus/autres.
  • d'autres hackeurs venus présenter leur super top méga dernier "0 Day exploit" (en gros, un truc pour faire des machins pas bien sur des bidules, et qui n'est encore connu par personne).
  • des gens dans la salle qui écoutent plus ou moins (les deux paramètres importants qui influent sur la qualité d'écoute sont la puissance de la voix du conférencier et la qualité de réception du réseau Wifi).
  • Quelques gars qui essaient de pourrir le réseau Wifi, soit en saturant le point d'accès, soit en faisant d'autres trucs presque pas connus depuis des années. Des fois, ils arrivent quand meme à récupérer des logins/mots de passes d'autres personnes......
  • Pour les grosses confs, quelques gens discrets qui bossent pour des agences de gouvernements en 3 lettres (au hasard, NSA, CIA, DST, DGSE (ah, zut, la ca fait 4 lettres....), etc....), et qui sont a peu près les seuls à se placer de facon précise dans la salle (de préférence juste derrière ou juste à coté d'une personne dite "intéressante").
  • Parfois, l'armée, qui se place traditionnellement en "rangs".
  • Accessoirement, un gars qui s'est perdu, et qui attend poliment la fin de la conf avant de sortir.

Cette description assez précise (très fortement inspirée d'une excellllllente rump session des SSTIC de 2006, malheureusement pas dispo sur le site des actes du SSTIC) laisse une question en suspens: ils sont ou les autres, les gens "normaux", ceux de la vie de tous les jours ?

Déjà, que les choses soient claires tout de suite: ils ne sont pas dans mon cul, j'ai vérifié.

Non, ces gens, ils sont en train d'acheter des tshirts de geek a l'accueil, ils sont dans d'autres confs quand il y en a, ils sont au bar, chez eux, au boulot, en vacances, bref, ils sont effectivement AILLEURS !

Pourquoi ? Bah d'abord parcequ'ils n'y comprennent rien à un bout de code assembleur, ne savent pas ce que c'est qu'un "buffer overflow", et sont persuadés qu'ils n'y comprendront rien à toutes ces conférences des gars qui font de la sécurité. Et ils ont raison !!!!

Ensuite, parcequ'ils sont persuadés que, de toutes facons, la sécurité est l'affaire des gens qui bossent dans la sécurité, et que ca ne les concerne pas. Et la, ils ont TORT !!!

La, je vous vois venir, vous etes déjà en train de vous dire "ouhla, le VANHU il dérive encore de ses sujets, ils doivent etre bien chargés, ses bonbons". Et pourtant, non. Je vous parlais de ma présence aux RMLL cette année, et cette description des conférences de sécurité est très exactement le début de la conférence/débat que j'ai animé cette année aux RMLLs.

Pourquoi ? Parceque justement, la sécurité n'est pas que le problème des gens qui font de la sécurité, mais c'est bien l'affaire de tous, y compris de ma soeur. CQFD......

Alors forcément, c'est bien gentil d'en arriver à cette conclusion, mais comme disait un grand philosophe, c'est pas le tout de remonter les problèmes, faut aussi apporter des solutions.

Et c'est la que ca se complique. J'apportais volontairement un problème épineux sur la table ronde des RMLLs (bon, ok, elle était pas "ronde", et était déjà a peine "table", mais bon) sans proposer mes solutions, parceque c'était justement un débat ouvert, et que je ne voulais pas imposer mes solutions.

Entre autres choses qui se sont dites (avec un peu de chances, vous aurez bientot ici ->>>> <<<<- la un lien vers la vidéo de la conf), la discussion a amené un problème intéressant: est-ce que les gens ont envie de savoir à quel point ils vivent dans un monde non sécurisé ?

Ont-ils vraiment envie de savoir à quel point il est parfois facile de prendre le controle de leur ordinateur, de récupérer leurs mots de passes, de lire leurs mails, de voir leurs photos de vacances, d'utiliser leur ordinateur pour attaquer d'autres machines (et ca au moins, tout le monde devrait se sentir concerné, et le sera quand la police viendra faire une perquisition chez eux a 6h du matin.....) ?

Mais ont-ils aussi envie de savoir que leur carte de crédit n'est pas du tout aussi sure que les banques l'affirment ? Ont ils envie de savoir à quel point il est facile de forcer la plupart des serrures, pourtant utilisées pour fermer leur porte de maison ? Ont ils envie de savoir qu'il est assez facile d'ouvrir leur super méga top voiture récente, pourtant équipée d'une alarme qui fait "bip bip" (non, l'alarme ne fait pas "beep beep", mais bien "bip bip". regardez de plus près, elle a bien été fabriquée en chine) dès qu'on s'éloigne un peu avec la clé "qui marche sans qu'on aie besoin de la mettre dans le contact" ?

Soyons lucides, la réponse est: NON, ils n'ont pas envie de savoir.

Mais un certain "Theo de R.", utilisateur anonyme d'un système d'exploitation obscur, et personne pas forcément très recommandable sur le plan social et humain, a dit quelquechose qui pourrait a peu près se traduire par "ma sécurité dépend de la sécurité de tous".

Il est donc peut etre temps que tous les "experts en sécurité" arretent un peu de se toucher entre eux, et (re?)commencent un travail important, lourd, pénible, et qui ne sera probablement jamais achevé: expliquer aux gens "normaux" que la sécurité informatique (et la sécurité en général) les concernent, eux aussi, et que s'il est tout à fait compréhensible que tout le monde ne s'intéresse pas forcément à tous ces détails techniques, tout le monde devrait au moins essayer d'acquérir un minimum de culture générale en sécurité.

La prochaine fois, on parlera d'un autre sujet épineux et hautement philosophique: SuperTomate !