Le logiciel de sécurisation HADOPI est malsain

audiophileC’est le sentiment que j’ai eu en lisant la Consultation Publique, pourtant marquée « Confidentiel – Ne pas diffuser » sur le projet de Spécifications Fonctionnelles des moyens de sécurisation de la HADOPI (SFH). Ce document, long de 36 pages et qui a échappé à tout contrôle, contient des paragraphes vraiment dérangeants.

Il vise à rassembler tous les critères que devront valider les logiciels labellisés.

Je n’avais jamais pris part au débat. Je me contentais de donner divers moyens de contournement les plus évidents. Mais aujourd’hui, ce document me pousse à réagir, car objectivement les choses vont vraiment très loin. Il est nécessaire d’en parler.

Le P2P mis à pied

C’est ce que voudrait nous faire croire la HADOPI. Page 5, je cite :

Affichage de notifications et d’alertes pédagogiques (ex : « Vous
allez téléchargez un fichier en utilisant le protocole pair à pair « nom du protocole » : voulez-vous continuer ? »).

Avec obligation de valider. Le protocole, c’est une norme qui défini comment transitent les données par le réseau. Le schéma pair à pair – le P2P – est jugé fondamentalement nocif, alors que sa fonction première est de partager directement entre utilisateurs.

Au contraire, ce protocole simplifie les choses ! Il évite à l’utilisateur d’être dépendant d’un hébergeur de fichier. Le P2P est la nature même d’Internet.

C’est notamment ce qui permet au logiciels libres et gratuits d’exister, car ces logiciels ne rapportent aucun bénéfice. En limitant les coûts de mise en ligne, on permet à la plupart de ces projets d’exister. J’espère sincèrement que le Lobbying n’est pas passé par là (sans conviction).

Restrictifs, même sur la banquise

Un logiciel labellisé devra être compatible sur des systèmes d’exploitations libres. C’est écrit page 6. On ne sait toujours pas qui seront les heureux élus. « Des » systèmes vous avez retenu ? Pas tous. Certains.

L’Ordre 66

Page 33, avec un peut de modestie on peut lire :

L’application doit être sécurisée et digne de confiance : elle doit fonctionner correctement (intégrité et disponibilité). Le responsable (ou l’administrateur) est souverain de son patrimoine numérique et responsable de son comportement. Il doit donc connaître les conséquences de ses choix en matière de politique de sécurité. Il peut installer l’application ou pas ; l’installation sera basée sur le volontariat.
Il peut la désinstaller.

J’ai donc du mal à comprendre la page 9 :

noboxLorsque l’application est sous la forme de composants informatiques embarqués dans les instruments de communication (modem, routeur, boitier ADSL), l’application est alors plus simple et plus efficace. Pour le moment le parc des boitiers ADSL est très hétérogène, et les boitiers sont dimensionnés de telle manière qu’il est difficile de loger des applications supplémentaires dans ces boitiers. Pourtant, on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc.

Une seule chose me vient alors à l’esprit : WTF ? ! Utilité pour le consommateur ?
A t-il le choix maintenant ?

Des mises à jour entrainent des failles, quoi qu’on en dise. Les opérateurs vont nous surtaxer la hausse de la TVA, je ne suis pas d’accord non plus pour payer le surplus de consommation.

La fin du Wifi facile

Je n’habite pas chez mes parents et HADOPI ne va pas me payer à faire le support technique.

Page 23 :

La configuration du Boitier ADSL/Routeur. Si l’utilisateur se connecte à Internet par le biais d’un Boitier ADSL ou d’un routeur (et si ceux-ci permettent une introspection), l’analyse doit vérifier que la configuration du boitier ou du routeur ne facilite pas une éventuelle usurpation de ligne/identité sur internet (pas de sécurisation WPA, SSID en clair, routeur avec aucun contrôle sur les adresses MAC des appareils se connectant à lui, etc.). En cas de découverte d’une configuration fragile, une notification de bas niveau est générée.

La génération HADOPI qui cohabite avec des smatphone va être belle : vous invitez des amis en vacances. Première chose à faire, collecter les adresses MAC. On y est ? C’est bien maintenant, ne cherchez pas le Wifi il est caché. Comment on le trouve ? Alors là… Bon ben pas de Wifi.

On me dis dans l’oreillette que des abonnements 4G seront proposés par Orange pour à peine 100€/mois. Je ne parle pas des gens qui ont leur propre couple modem/routeur/AP à la maison, bande de terroristes.

Le contrôle parental pour les parents

Ha, les grands parents séniles sont de plus en plus jeunes, regardez ces adultes de 50 ans qui ne savent plus ce qu’ils font. Irresponsables !

Je vais arrêter là les citations, vous aurez tout le loisir de vous farcir les 36 pages dudit document. Mais une chose est sûre, ce logiciel ressemblera beaucoup à un Contrôle Parental finalement, avec une liste blanche, une noire et une grise (celle où on trouvera les sites de P2P Libres).

Les internautes majeurs attendent toujours une réponse de la part de l’industrie légale. Rappelez vous « Une idée contre le téléchargement illégal ». Ce qui est envisagé à travers cette loi c’est le retour aux DRM.

Rappelez vous, ces fichiers vendu 1€ par mégaoctet, des fichiers illisibles sur un baladeur MP3, incompatibles avec VLC. Et ce Contrôle pour Adulte, payant de surcroît, est-que c’est ca l’avenir de la musique ? J’ai bien peur que certains se fassent des illusions.

Avec le parefeu OpenOffice, on a pas pensé à…

N°1 : Ce que deviennent les PC portables ? Si je change entre maison / école / amis / stage / boulot / hôtel ?

N°2 : Un logiciel pour Android / Mumble / Jolicloud / Chrome OS / iPad ? Quid des ressources système ?

N°3 : Le cas des machines virtuelles en mode Bridged (avec leur propre interface) ? VMWare sera dit « à risque » ?

Télécharger la Consultation Publique officielle.
Le fichier peut devenir indisponible, n’hésitez pas à me contacter.

9 commentaires sur “Le logiciel de sécurisation HADOPI est malsain

  1. Whaaa, je te respecte, tu l’as finalement lu !!

    Alors, déja, pour compléter, il n’y a pas que les anachro communistes qui font du logiciel libre qui mettent à disposition leurs logiciels en P2P (souvent via le protocole bittorrent), contrairement à ce que peuvent penser certains (les pro-hadopi qui pensent qu’on peut interdire les protocoles P2P en gros). Il y a aussi, et ce n’est qu’un exemple, Blizzard qui utilise ça pour la distribution des Mises à jour (et même du jeu complet en téléchargement) de son jeu phare : World Of Warcraft. Avec les millions de joueurs, je ne sais pas quelles sont les économies qu’ils réalisent grâce à ça, mais ils doivent certainement pouvoir diviser au moins par deux le coût de la bande passante par rapport à une distribution plus classique.
    D’après ce que tu dis, le logiciel de sécurisation devra signaler à chaque mise à jour de WoW si l’utilisateur en est bien sûr. Je peux déja pas blairer windows pour ça (demande de confirmation en triple exemplaire pour faire un simple truc), ça va pas arranger l’usabilité des systèmes. De plus, ce message, on le voit 2 ou 3 fois, après, on (enfin, le couillon standard qui aura le logiciel de « sécurisation ») cliquera machinalement sur oui, agacé par ce message.
    Utilité : 0.

    Ensuite, il faut que le logiciel espion (oui, ce n’est clairement pas de la sécurisation) détecte l’utilisation d’un protocole P2P … Euh, par quel miracle il va faire ça ? Liste blanche des applications ? Un nom ça se change, une signature de binaire, aussi (lisez là dessus des tutos sur la création de vers/virus indétectables pour voir le principe, applicable a une application normale).

    Ensuite, protection du wifi, euh, whaouh ! À l’heure où numericable distribue encore ses modems avec du wifi activé par défaut chiffré avec du WEP, vouloir imposer du WPA (faillible lorsqu’il utilise PSK pour l’authentification : attaques par brute force possibles, failles dans le chiffrement avec TKIP, …) en plus de filtrage par adresse mac et de SSID hidden, c’est stupide. On peut dire aujourd’hui qu’environ 20 millions de français peuvent être attaqué pour négligence caractérisée. Entre les PCs vérolés, les accès wifi sans toutes les protections conseillées (perso, j’utilise pas de SSID caché), je pense que la HADOPI a bien prévu son coup.
    Personnellement, je pense qu’avant d’accuser Mme Michu de pas utiliser de filtrage par adresse mac, on devrait peut être faire une loi de négligence caractérisée pour les entreprises et institutions qui balladent des base de données contenant des données personnelles sans les chiffrer et en oubliant leurs valises à droite à gauche (si si, ça arrive et assez souvent, pas forcément dans notre pays mais ya pas mal de banques ou d’hopitaux, entre autre, qui paument des informations sur leurs clients, informations bien évidemment, très confidentielles).

  2. Que maintenant ^^ ça fait quelques mois déjà que la bestiole est dans la nature (enfin 2 mois). Ce doc est quand même sacrément intéressant car il montre qu’il y a eu une consultation avec des gens qui s’y connaissent un peu pus le firewall Openoffice.

    De toute façon il est aisé de contourner un tel logiciel, le plus flippant c’est qu’a terme il risque d’aller dans … la box internet. Pour avoir du vrai web dans quelques années il faudrat bidouiller sa box.

    La conclusion que j’avais fait après la lecture du papier:
    1- Flicage
    2- Fichage
    3- Censure
    4- On vous demande d’être limite admin réseau
    5- Tu fermes ta gueule.

  3. @ Sebastienb : Et toi, l’as tu lue ? 🙂

    Le P2P sert en effet à tout un tas d’applications ! Hamachi pour faire des VPN, Skype pour faire de la voIP, les logiciels SIP (il me semble), Wow comme tu disais bref beaucoup de logiciels grand public qu’on ne soupçonne pas forcément.

    Alors bon, je vais faire un renvoi vers la chronique de David Abiker « Le net repaire de bandits ! » qui souligne une chose importante : le manque de diplomatie des actions engagées par le gouvernement. Personnellement je n’achèterais jamais un fichier UN EURO et encore moins avec du DRM, ce n’est pas le produit que j’attends. Hors on ne me propose pas ce produit, donc je n’achète pas. En revanche si on nous avait expliqué simplement pourquoi c’est le choix du DRM qui est retenu et pas autre chose, on aurait eu la possibilité d’en débattre.

    Oui l’industrie du disque doit changer, non pas n’importe comment. Et sanctionner une attente différente du consommateur n’a pas résolu le problème, ca a été une évidence dès le premier débat.

    Les pop-up « voulez vous vraiment … ? » seront très mal perçus sous Mac et Linux. J’ai hâte de lire les premières critiques à ce sujet. Si on ajoute ca sous Windows, aux fenêtres « Voulez vous vraiment exécuter ce logiciel ? », les pop up Avast & co ca va devenir infernal.

    La gestion des données personnelles est un autre débat je pense. Les entreprises doivent se protéger de l’espionnage industriel avant tout, si des infos personnelles sont dérobées je pense qu’il faut se poser la question suivante : est-ce que l’entreprise déplore aussi le vol de ce qu’elle produit ? Sinon en effet, ca devient suspect.

    Madame Michu 😀 La pauvre, dans les pages jaunes elle est pourtant facile à trouver…

    @ Dhoko : Ouai j’avais pas la motivation de la lire -_- » Je tiens à rappeler (quand même) que SFR a donné le code source de sa Neuf Box et que le premier firmware alternatif est sorti cette semaine !

    Alors là deux options, soit on continuera à profiter des avantages offerts par nos machinBox sur des firmwares alternatifs, soit on pourra toujours acheter des modems nous même. Mais je pense que Free va devoir se plier à cette pratique s’ils ne veulent pas perdre leurs g33ks, car personnellement j’irais chercher la facilité chez SFR.

    C’est surtout flippant pour les cousins, oncles, grands parents qui n’y connaitront rien.

  4. Ces spécifications présentent d’autre lacunes graves

    A aucun moment je n’ai vu mensionné que le module de traitement devait indiquer la nature des fichiers téléchargés. Tout est focalisé sur l’utilisation d’un protocole déchange pair à pair, et l’exemple d’un journal généré par le logiciel va aussi dans ce sens.
    A ce moment là, nous sommes tout aussi coupables d’avoir téléchargé une distribution Debian, qu’un album musique ou encore un DVD illégalement rippé. En gros nous ne sommes plus jugés pour avoir téléchargé un quelconque contenu copyrighté, mais d’avoir utilisé un protocole « déplaisant » pour quelques majors et politiciens.

    Autre point, il me semblait qu’Hadopi n’était qu’un dispositif d’espionnage servant à punir les gens méchants qui ont téléchargés illégalement des fichiers appartenants à des gentils majors à but philanthropiques.
    Toutefois on vois bien dans ce rapport que nous sommes aussi observés sur les mots clés que nous utilisons dans nos recherches web. Ah bon? Et depuis quand il était question de regarder ce que nous tapons dans nos moteurs de recherche?
    Et combien même mon doigt glisserait sur un site comme la baie des pirates par exemple, tant que je ne télécharge pas et ne fais que regarder les liens, en quoi dois-je faire l’objet d’une surveillance en dehors du cadre de cette loi?

  5. Moi c’est simple le logiciel de sécurisation sera considéré comme un vrai spyware, c’est à dire PAS d’autorisation d’accès au net( interdiction de se connecter que je vais paramétrer dans le pare feu) ah non surtout pas pour éviter qu’il aille balancer au gugus des maisons de diques ce que je fais sur le PC.

  6. @PPmarcel: Le but affiché est aussi clairement le fichage… Ce n’est pas un procédé nouveau en France. La sécurité le mot d’ordre numéro 1 dans une société qui ne comprend pas la notion de Respect.

    @heroik : Dans ce cas là autant ne pas l’installer, car tu ne les roules pas dans la farine là 😉

    Lance une VM quelques heures par jours en surfant un peu avec pour être crédible et le tour est joué. ^^

  7. Petit passage sur influence =). J’ai pas trop le temps en ce moment =S

    Comme il l’a été crié depuis le début Hadopi ne sert à rien à part ce rapprocher de nos foyers, nous surveiller, nous espionner.
    Et quoi qu’il feront de cette manière sans maitriser le sujet ou même essayer de comprendre, ça ne marchera pas. Mettre le programme dans les box ? A part Free la plupart des FAI utilisent le standard ADSL, il suffirait de remplacer la box par un simple modem ADSL. Il vont imposer aux constructeurs l’intégration de leur programme ?
    Dans tout les cas quand une loi est votée dans ces conditions et fait polémique, c’est qu’il y a un problème, que l’on soit pour ou contre. Et affirmer l’inverse et vouloir l’imposer de force sans essayer de la modifier montre que notre démocratie va mal. On le vois tout les jours dans les actualités. La façons dont la politique est faite aujourd’hui montre une non maitrise des sujets, un travaille bâclé, précipité. Tout le reste s’en découle. Regardez l’hadopi aujourd’hui, les dossiers, la façon de faire tout ça découle du fait que cette loi a été imposé, bâclée sans réfléchir.

    Tenez, un exemple de lettre d’hadopi

  8. Aucune volonté de rouler qui que ce soit!!! Je ne suis pas du tout d’accord avec cette loi et le logiciel servira de preuve de bonne foi, c’est tout . De toute façon j’ai déjà trouvé un moyen de la contourner leur loi débile et leur spyware n’y pourra absolument rien ( de toute façon il
    sera interdit d’accès au réseau) comme ça, il ne m’enkikinera pas.
    A quand ces logiciels seront ils considéré par les anti virus comme des LPIs? ( je me marrerais bien)

L'espace de discussion de cet article est désormais fermé.