vendredi 22 mai 2009

Un avis d'expert sur HADOPI

Déjà être expert ça n'est pas grand chose - après tout il y en a environ 325 millions d'après Google. Pas comme les Senior Experts, les Executive Experts ou les Technical Evangelists :)


Ensuite le débat est clos, puisque la loi a été votée. L'avenir est à la LOPPSI 2 (avec deux 'P', puisque cela signifie Loi d'Orientation et de Programmation Pour la Sécurité Intérieure).

Enfin je n'ai pas lu le texte de loi, car le juridique est un domaine rébarbatif au possible pour les non-juristes (sauf ceux qui aiment à placer quelque locution latine au milieu d'un slide PowerPoint, mais ils se font rares).

Mais comme les trolls restent nombreux et poilus en cette saison, essayons de réfléchir 5 minutes aux moyens techniques d'empêcher le téléchargement d'oeuvres dites "protégées" (essentiellement films et musiques) - dont l'objet est par ailleurs d'être diffusées le plus largement possible.

Le texte de loi semble orienté à l'encontre du téléchargement. C'est une méthode comme une autre, car dans les années 80 circulaient déjà dans les cours de récréation disquettes Atari ou Amiga. Dans les années 90 ce furent les "LAN parties" qui favorisaient les échanges, puis au début des années 2000 il n'était pas rare de voir circuler pochettes ou spindles de CD dans les soirées. Depuis, tout le monde s'est converti au disque externe de 1 To (ou plus). Une taxe a d'ailleurs été votée en son temps sur les supports de stockage. L'échange via Internet avec des inconnus est certes plus pratique, mais finalement moins socialisant ...

Notons que le "téléchargement" reste une notion assez vague, le peer-to-peer (P2P) ne représentant qu'une partie de l'iceberg composé du streaming, des newsgroups, du téléchargement direct (ex. RapidShare) parfois payant, voire du piratage de iTunes par des chinois.

Il serait donc techniquement nécessaire de contrôler tous les usages d'Internet. Pour cela, il existe 3 solutions (non mutuellement exclusives):
  1. Contrôler le serveur source (par exemple, mettre en place un faux serveur eDonkey). Cette solution - pratiquée par des sociétés comme MediaSentry - est légalement douteuse et ne passe pas à l'échelle, vu la prolifération de l'offre.
  2. Contrôler le réseau. Une solution très alléchante, mais qui présente deux inconvénients: elle ne supporte pas la cryptographie ; et elle nécessite une infrastructure technique de filtrage et de journalisation (à valeur probante) considérable, pour laquelle ni l'Etat ni les FAI ne sont prêts à payer.
  3. Contrôler le client final. Cette solution résout les deux problèmes précédents. C'est un peu le Cloud Computing appliqué à la cyber-surveillance :)
La solution #2 est moins coûteuse à mettre en place si le système de contrôle est implanté directement dans la fameuse "box" Triple-Play que fournissent tous les FAI français. Et quoi qu'en dise Rani, peu de gens la remplacent par un modem standard, sous peine de perdre la téléphonie et la télévision. Ce dernier point est d'ailleurs assez surprenant, car il serait assez simple de prendre une carte ATM et d'y ajouter les couches logicielles "qui vont bien" (SIP, etc.) pour récupérer la fonctionnalité Triple-Play. Ou de modifier une box existante pour y intégrer un firmware libre.

Mais la solution #2 est globalement inapplicable, car si elle se sait, tout le monde installera son modem ADSL de secours "spécial téléchargements".

La solution #3 est celle qui semble explorée par HADOPI. Elle présente de nombreux défis techniques qui me semblent impossibles à relever en l'état actuel.

Le système de contrôle peut être logiciel ou matériel. Cette dernière solution n'est pas totalement aberrante techniquement, puisque des constructeurs intègrent déjà des solutions comme CompuTrace, ou un deuxième système d'exploitation virtualisé, dans leur BIOS. Mais elle imposerait d'acheter un matériel agréé par l'Etat pour accéder à Internet, ce qui est délicat du point de vue de la concurrence ... sauf si les spécifications sont publiques et largement implémentées, ce qui ne va pas se faire en un jour (et probablement jamais).

Et puis en 2009, on voit mal l'Etat distribuer un PC à chaque foyer comme on a pu distribuer des Minitel :) - d'autant qu'il n'existe plus aucun constructeur de matériel français.

Enfin rien ne saurait empêcher un français d'acheter son matériel n'importe où dans la communauté européenne. Il faut donc partir du principe que le matériel connecté n'est pas maitrisé.

Une solution intermédiaire serait de disposer d'un matériel additionnel permettant le contrôle des usages sur tout PC standard. Pourquoi ne pas envisager un crypto-processeur intégré à la future carte d'identité électronique par exemple ? Les coréens (du Sud) le font bien pour poster des commentaires sur YouTube (chacun ses problèmes). On peut aussi distribuer un Globull à chaque français, pour faire travailler l'industrie nationale :)

Notons que le problème de l'authentification ne se pose pas vraiment, puisque le titulaire de la ligne est réputé responsable de toute activité Internet depuis celle-ci, sauf s'il apporte une preuve contraire. Il n'est donc pas nécessaire de déployer du 802.1x avec authentification par carte d'identité à l'échelle de l'Internet français :)

En ce qui concerne l'idée d'un mouchard logiciel, elle est vouée à l'échec pour plein de raisons, dont les principales sont: compatibilité et sécurité.

Tout d'abord des cris d'orfraie ont été entendus du côté de l'Open Source lorsqu'il a été question de fournir un mouchard compatible avec Windows uniquement. Mais il s'agit d'un combat d'arrière-garde, car le système qui va dépasser le PC sous Windows en terme d'unités connectées à Internet c'est ... le téléphone portable !

Et là, entre Symbian, Windows Mobile, BlackBerry, Android et l'iPhone, cela devient un casse-tête logiciel, d'autant que la plupart de ces plate-formes sont "fermées" aux développements "bas niveau" principalement pour des raisons de ... DRM (notez l'ironie de la situation).

Ensuite d'un point de vue de la sécurité, l'idée d'un mouchard logiciel laisse rêveur. L'industrie informatique grand public ces 20 dernières années est partie de systèmes non sûrs pour les rendre non sécurisables. En gros, la sécurité est un échec.

Parmi les catastrophes qui pourraient advenir à ce mouchard logiciel, on peut citer le fait que sa sécurité soient contournée (ce qui lui enlèverait toute valeur probante), qu'il soit victime de bogues logiciels mettant en danger la machine sur laquelle il est installée (ça s'est déjà vu avec les antivirus), voire qu'il soit détourné de sa fonction première (le rootkit Sony, ça vous rappelle quelquechose ?).

Et malgré tous les efforts de développement et de certification possibles (que ce soit CSPN ou EAL), le WDK n'est pas écrit en ADA.

La catastrophe majeure serait que le backoffice de l'infrastructure soit compromis. C'est presque ce qui est arrivé au gouvernement australien, qui avait mis en place un filtrage du Web.

L'informatique de confiance est une idée poursuivie par Microsoft depuis longtemps avec le projet Palladium. Bien que Microsoft soit probablement l'acteur le mieux placé pour influencer la sécurité de l'informatique personnelle, une thread récente sur la liste Daily Dave démontre encore que la bataille est loin d'être gagnée, et pas seulement pour des raisons techniques.

Microsoft est effectivement en position idéale pour rendre les services de filtrage attendus sur son propre système, entre Windows Defender (qui pourrait bloquer tout logiciel de téléchargement grand public) et les listes noires intégrées au navigateur Internet Explorer 8. Mais pour des raisons d'image évidentes, je vois mal Microsoft activer une telle infrastructure au service du gouvernement français ...

Enfin se pose anecdotiquement le problème du point de connexion. Je ne parle pas des cyber-cafés, car il est facile de les fermer administrativement, ou de leur imposer un système d'accès à Internet comme en Chine.

Je parle de toutes les connexions qui ne sont pas de l'ADSL opéré par un FAI français. Cela inclut les abonnés AOL (dont les proxies Web ne sont pas en France), les utilisateurs de 3G+ (et bientôt 4G) d'un opérateur étranger en roaming, les utilisateurs du service FON ou Neuf WiFi, voire d'un futur mesh network WiMAX reprenant le concept de feu Paris Sans Fil.

Voilà, je ne doute pas que les commentaires seront nombreux, mais tant qu'ils restent courtois et avisés je suis preneur :)

19 commentaires:

Kevin a dit…

Un point de détail concernant l'implantation d'un mouchard dans la box d'accès à internet:
Cela ne résoud toujours rien non plus. De plus en plus de personnes téléchargent en chiffré (SSL) sur de l'https ou sur du NNTPs.
Et là, le mouchard ne voit absolument rien. La seule solution pour éviter cela est bien d'être sur la machine elle-même. D'où le mouchard hadopi.
Cela soulève énormément d'autres problèmes, bien sur.
Mais en conclusion, le mouchard dans la BOX m'apparait comme une idée 'broken by design'.

jpgaulier a dit…

En fait, de mémoire, c'est LOPSI 2 ou LOPPSI. Et je dirai, bien a propos : Quis custodiet ipsos custodes? Je pense que j'aurai le temps de reparler de tout ce problème, la réalité se limitant finalement à une binarité accessible : liste blanche, liste noire.

À vos crayons.

mr potatoe a dit…

etant donner que thales aide a filtrer le web chaiiinoye , la technologie pour filtrer le web francais est deja la non!!!!

y a plus qu'a , faut qu'on....

de plus H.E.R.I.S.S.O.N et les mesures hadopiennes , lopsi 1 , lcen blahblahblah...........

c'est une question de temps avant de voir de plus en plus de proxy SSL fleurir , un reseaux dans le reseaux (tor en mieux )

Julien a dit…

Excellent post Nico!

Un point qui m'inquiète avec toutes ces lois à la noix, est qu'on va finir par se retrouver avec des proxys HTTP transparents avec liste noire.

Ca ne servira évidemment rien pour protéger qui que ce soit de quoi que ce soit, mais en revanche cela risque de mettre en danger la plupart des utilisateurs authentifiés sur des sites web tels que Live.com, Yahoo.com ou Google.com.

Il y aura en effet inévitablement des problèmes liés au cache (cela se voit fréquemment) ou des méthodes corrompant les listes noires pour blacklister les codes javascript censés sécuriser l'utilisateur (frame busting etc..).

Les FAIs rêvaient de ne plus être de simple tuyaux, ca va finir par arriver, mais je doute qu'ils en soient satisfaits!

coper a dit…

Je veux pas chicaner mais il y a Alcatel-Lucent href="http://fr.wikipedia.org/wiki/Alcatel-Lucent" commme constructeur de matériel "semi" français je crois.

MeiK a dit…

Une société spécialisée dans les équipements de monitoring réseau&co (ipoque) a balancé un document, y'a quelque temps, sur d'hypothétiques techniques à envisager pour empêcher les gens de télécharger comme des gorets.
ici: http://blog.ipoque.com/2009/01/copyrights-and-the-internet/
Ils expliquent diverses techniques, ainsi que pourquoi elles sont pas viables, au cas (genre comment ça se contourne, ou les problèmes que ça pose)
Par contre ils ont jamais été consultés :-)

F. a dit…

J'attends simplement qu'ils le fassent leur mouchard, et là, j'imagine pas ce que ferai un bon reverser dessus :D

newsoft a dit…

@Kevin: je suis d'accord avec toi, d'ailleurs je l'ai écrit :) "Cette solution ne supporte pas la cryptographie" (que ce soit au niveau réseau avec SSL/TLS ou IPSEC, ou au niveau applicatif).

Mais de nombreux sites de streaming ou de dépôt de fichiers ne passerons pas au SSL pour faire plaisir aux français. Et puis il suffit d'enlever à la volée le "s" de "https" pour duper une majorité d'utilisateurs, comme ce fut démontré récemment par Moxie :)


@MrPotatoe: les technologies sont là depuis longtemps, je me souviens d'une présentation de la société RetSpan à l'OSSIR en ... 2005 !

Le problème, c'est de savoir qui va payer pour déployer et opérer de telles usines à gaz à l'échelle de 10 millions d'utilisateurs x 20 Mb/s par personne.

Quant à HERISSON, il faut se calmer. Je ne pense pas que ça puisse égaler Facebook :)


@Julien: nous sommes bien d'accord que l'empilement de couches de sécurité ajoute de l'insécurité :)


@Coper: Alcatel ne fabrique pas de PC ni de matériel grand public (à part des téléphones), il me semble.

Kevin a dit…

Mais de nombreux sites de streaming ou de dépôt de fichiers ne passerons pas au SSL pour faire plaisir aux français. Et puis il suffit d'enlever à la volée le "s" de "https" pour duper une majorité d'utilisateurs, comme ce fut démontré récemment par Moxie :)
Les sites comme RapidShare etc.. offrent déjà un accès SSL payant.
A ce niveau, HADOPI est plutôt une bonne nouvelle pour eux, ca va leur faire plein de clients français.

Les sites NTTPs ne vont pas non plus redescendre en NNTP pour faire plaisir à Mme Albanel.

Enfin une transformation à la volée des liens HTTPs en HTTP est très séduisante sur le papier, mais me parait difficile à mettre en oeuvre sur une Box: pas assez puissante, à mon avis, et inutile pour tout ce qui ne passe pas par un navigateur (NNTPs, autres outils travaillant en chiffré, etc..)

totoiste a dit…

Bonjour Newsoft,

Dommage que tes prises de position soient nettement plus nuancées dans les nombreux trolls sur le même sujet et en particulier sur celui de l'OSSIR en ce moment.

Hadopi nous place face à un problème de conscience. Pour ma part, j'ai le sentiment que l'on détourne l'usage des outils que je maitrise à des fins discriminatoires (inégalité entre Mme Michu et M. Newsoft par exemple). Cela nous touche en tant qu'expert et militant.

Je ne vais pas paraphraser mes Posts dans le troll mais il est temps à mon avis d'entrer dans l'action. Les débats peuvent continuer mais le temps jouent contre nous... Le sujet est encore chaud dans les esprits de chacun pour initier un mouvement qui montrerait que techniquement ce projet n'est pas viable. Le combat contre ce premier bastion nous positionnerait aussi pour le futur qui je l'espère se construira avec nous, les experts (et j'ai compris pas les parasites ;-)

Si l'OSSIR n'est pas la meilleure place pour échanger sur ce sujet, peut être peux tu m'orienter ?

totoiste (hacking challenger) mais aussi professionnel de la sécurité depuis quelques années... On s'est d'ailleurs croisé à quelques Securitech, JSSI, JRES et autres conf...

newsoft a dit…

@totoiste: le contexte entre un blog perso et une liste de diffusion de professionnels est assez différent.

Mais dans tous les cas, je ne compte pas du tout faire "d'hacktivisme" contre HADOPI.

Le premier avocat qui va se faire couper sa connexion portera l'affaire devant la Cour Européenne de Justice. Problem solved.

uyojimbo a dit…

Un détail de chez "Maître Eolas" La loi va insérer dans le Code de la propriété intellectuelle un nouvel article L. 336-3 ainsi rédigé :

"La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise."Or le simple constat qu'une atteinte à une œuvre protégée a eu lieu depuis son abonnement démontre que cette obligation n'a pas été respectée, ce qui constitue la faute. CQFD.

Anonyme a dit…

Désolé mais le deuxième P de LOPPSI est pour "Performance"... ahahah (véridique).

nymous42 a dit…

Je travaille actuellement pour une boite qui crée des box pour divers FAI, aujourd'hui il est question d'un module permettant au FAI de prendre le controle totale de la box, pas simplement afin de mettre a jour le firmware, non un accès web "root" a la box. inutilité qui en sera faite est laisse a l'appréciation du FAI, l'idée numéro 2 n'est peut être pas totalement a exclure ainsi.

newsoft a dit…

@nymous42: j'aurais pensé que cela existait sur toutes les "box" depuis longtemps.

En tout cas quand j'avais regardé (il y a plusieurs années déjà), il y avait un accès Telnet sur la Freebox, accessible depuis le circuit d'administration de Free. Et un Telnet ouvert sur Internet sur les Livebox (mais sur un port non standard).

nymous42 a dit…

Les accès actuels sont censé avoir uniquement pour but la mise a jour du firmware.
Aujourd'hui il est question de helpdesk a distance, et donc d'avoir un accès total a la box.

sur les box triple play, il sera possible de pouvoir afficher sur la TV des bandeaux publicitaires en fonction de la chaine a l'écoute, de l'heure et de l'historique TV par exemple.

newsoft a dit…

@nymous42: intéressant ... tu serais dispo pour discuter en "off" de tout ça ?

Jean nicolas a dit…

intéressante ta synthèse Nicolas.

2 remarques :
1/ il serait intéressant de préciser que tout ce toin toin sur Lopsi/hadpi serait réglé depuis longtemps par la license globale (forfait internet à faire payer par tous pour accéder à la "culture") si le gouvernement français n'avait pas en vue de contrôler internet.fr

Personnellement c'est cette question qui me taraude : A qui cela va t il profiter ? un thalès ? une négociation avec les US ? faire plaisir à Carla ?

2/ si tu mentionne globul, tu peux parler aussi des 2 ou 3 solutions françaises intéressantes que sont everbee ou skyrecon. ;-)

1 remarque : un dossier confidentiel aurait été présenté à Lagarde et ferait mention de l'impossibilité technique d'appliquer Lopsi. (source non vérifiable, en tous les cas je ne l'ai pas)

A noter le post très intéressant d'un ami qui avait reçu le CC de l'hadopi : http://blog.toutantic.net/index.php?post/2009/05/20/Le-cahier-des-charges-d-Hadopi

newsoft a dit…

@jean: je ne sais pas s'il y a un plan derrière HADOPI, ou juste une méconnaissance complète d'Internet ...

Evidemment le vol dans les supermarchés doit être réprimé. Mais on ne vole pas de l'information comme on vole des saucissons. Il est beaucoup plus facile de mettre des portiques RFID pour contrôler les saucissons que des solutions de DLP pour contrôler les emails !

En ce qui concerne les produits de sécurité français, il en existe plein: il suffit de suivre le prix de l'innovation aux Assises de la Sécurité. Le Globull n'est qu'un exemple, je l'ai choisi car il a fait fantasmer beaucoup de gens :)