novembre 9th, 2010

La Computer & Communications Industry Association (CCIA), nous apprennent nos confrères de Numérama, vient d’envoyer une lettre relativement « fraîche » à l’Hadopi, lui reprochant trois points techniques qui entraîneraient une dérive autoritariste et liberticide et constitueraient une entrave à l’exercice du métier d’éditeur de logiciels notamment.

Ces trois points sont respectivement :

La quasi obligation pour l’usager d’installer des moyens de sécurisation par le biais de menaces pénales. « While the proposal is set out as voluntary, it is likely to act as a de facto mandate » déclare la lettre de la CCIA, accusant ouvertement de tartufferie l’attitude de l’Hadopi. « Users may perceive that they are presumed guilty of piracy » continue la missive. Un sentiment qui ne semble pas effleurer le Secrétaire Général de l’Hadopi, puisque qu’au fil d’un « chat » sur le Monde.fr, l’on pouvait lire l’échange suivant :

ChristineA : Etant donné qu’il n’y a encore aucun logiciel labellisé Hadopi pour l’instant, quel est notre moyen de défense, puisqu’il y a, dans le cas de votre loi, présomption de culpabilité ?
Eric Walter : Il n’y a pas présomption de culpabilité, donc comment voulez-vous que je vous réponde puisque votre question est faussée ?

Démonstration de dialectique remarquable, puisque le sentiment de l’usager est par défaut considéré comme « biaisant » la question, et donc la rendant caduque. Art de jouer sur les mots en général, sur les mot-clef en particulier, la CCIA dénonce les méthodes de flicage mentionnées dans le « module 3 » du « Projet de spécifications fonctionnelles des moyens de sécurisation ». « Si l’on peut légitimement estimer qu’il est légitime de surveiller une requête comprenant les mots « site de piratage », d’autres autorités sont intéressées par des sujets très différents. L’on peut prendre comme exemple le fameux « grand barrage vert » de la République Populaire de Chine, censé lutter non pas contre des activités politiques subversives, mais contre les contenus pédo-pornographiques. L’installation de tels logiciels « par défaut », sans condamnation préalable pour activité criminelle, n’est pas franchement une attitude très démocratique » dit en substance la lettre des industriels de l’informatique. A ces considérations s’ajoute que ces programmes de surveillance « labellisés » sont contraires à l’idée que les industriels de l’informatique se font d’un « libre marché ».

Le second point qui heurte la sensibilité des membres de la CCIA concerne le principe de blocage de certains sites sur la demande de tiers, via une autorité judiciaire, sans que l’usager puisse avoir connaissance des sites ainsi censurés. Le filtrage doit relever de la décision de l’administrateur réseau ou d’un partenaire commercial et non pas d’une autorité administrative. C’est là encore une question de liberté et de neutralité du Net.

Le troisième point discutable soulève une fois de plus la confusion créée entre le protocole utilisé et sa légalité. En d’autres termes, l’équation P2P=piratage est une erreur fondamentale, et le fait que de tels protocoles soient utilisés à des fins discutables ne doit pas pour autant faire perdre de vue qu’ils sont également employés dans le cadre d’échanges tout à fait légaux. Sachant que les échanges P2P relèvent, à de très rares exceptions, de développements Open Source et non commerciaux, qu’est-ce qui fait que soudain, des Microsoft, des Google, des Yahoo s’inquiètent de l’avenir du peer to peer ? Parce que quelques programmes commerciaux utilisent ce genre d’architecture (Skype, Microsoft Groove…). Mais également parce que ce genre d’interdit peut, comme le prévoit le « projet de spécifications » « compromettre toute autre innovation de manière générale ». Ce n’est pas le type de plateforme, par définition « ouverte » à tous types d’usages –du forum au serveur d’échange vidéo- qui fait le crime, c’est ce que l’on en fait. « Si le logiciel hadopi venait à catégoriser de tels programmes dans une « liste grise », cela impacterait immanquablement les usages « légitimes » de ces plateformes.

Les trois points soulevés s’appuient donc dans l’ensemble sur les mêmes arguments que ceux avancés par les « anti-hadopi » regroupés sous la bannière des défenseurs des libertés individuelles. Mais avec une optique radicalement différente. Il ne s’agit pas là de préserver un Internet neutre et ouvert, mais d’éviter de voir imposées des contraintes techniques ou juridiques qui pourraient avoir des conséquences néfastes sur le business des membres de la CCIA. L’on se retrouve là dans une logique très proche des opérateurs et FAI qui s’opposent aux politiques de filtrage ou de délation des internautes « coupables de piratage », non pas par excès de zèle libertaire, mais tout simplement parce que tout ceci coûte cher et qu’il serait nécessaire que l’Etat participe financièrement à l’établissement de ces outils de surveillance et de répression.

La lettre du CCIA soulève cependant un aspect important du problème, rarement mis en avant par les associations de défense : l’usage à long terme de ces dispositions restrictives dans une perspective historique. Ce qui peut être considéré aujourd’hui comme une légère gêne d’usage, une petite contrainte nécessaire pour sauver de la famine les professionnels de la variété et du divertissement, pourrait, sous la férule d’un gouvernement totalitariste, se transformer en une formidable arme de répression politique. Hors, depuis 1789, le balancier de l’histoire a constamment oscillé entre des périodes de liberté relative et des années de dictature parfois sanglantes. Terreur, premier Empire, Restauration, second Empire, gouvernements Thiers, parenthèse Vichyssoise… la véritable question n’est hélas pas de savoir si de telles périodes sombres risquent d’arriver à nouveau, mais quand elles arriveront.

Non, ce n’est pas Graham Clueley, pour une fois, mais Chester Wisniewski de Sophos, qui vient de publier une note critique à l’égard des points d’accès WiFi gratuits. Pourquoi, se demande-t-il, les mots « Hotspot gratuit » sont-ils toujours associés aux vocables « Hotspot non chiffré » ? Bien sûr, à l’usager de savoir ce qu’il fait… et l’inciter à employer forces protocoles dédiés, qui sur une liaison Imap sécurisée, qui sur une connexion ftp « tunnellée ». Mais ces conseils sont une bonne réponse à une mauvaise question. Il pourrait être, pour éviter de voir s’envoler des mots de passe par simple sniffing de la liaison station/point d’accès, opportun de forcer les usagers à employer un protocole de chiffrement unique du tuyau d’accès… Et Wep dans le pire des cas (ndlr : c’est toujours mieux que rien, et il est peu probable qu’un « black hat » se fatigue ou même parvienne à récupérer assez d’« iv »(initialization vector) au cours d’une session de quelques secondes de récupération d’email). Il serait plus subtil, estime Wisniewski, de généraliser l’usage de WPA2. Comment ? Mais de manière très simple, en forçant ce protocole au niveau de tous les points d’accès gratuits, et d’accueillir chaque nouveau venu avec une page indiquant clairement le mot de passe du jour. Par exemple « free » pour chaque hotspot gratuit, suggère l’auteur. Sous WPA2, le « mot de passe » n’est pas la clef. La clef, pour sa part, est unique et aléatoire pour chaque ouverture de session. Et l’auteur d’imaginer une sorte d’Internationale du Chiffrement WiFi qui unirait dans un même élan de solidarité et de sécurité les Starbuck, McDonald et autres temples de la haute gastronomie industrielle. Une initiative intéressante, même si elle ne correspond pas exactement aux critères fixés par une hadopi, le Great Firewall of China ou les lois Iraniennes.

Le site de la Navy britannique est « tagué » depuis 24 heures par un pirate Roumain répondant au nom de Timkode. Son arme favorite , utilisée de nombreuses fois, semble être l’injection SQL et le XSS