Le piratage de Wi-Fi, point faible de la loi Hadopi ?

livaste a écrit:Certains n'ont pas l'air de comprendre grand chose , si vous vous faites pirater , le pirate ne va pas rester scotché sur sa connection pirate , il va faire ses peties affaires et s'en aller pirater ailleurs .
Et les services de controles ( qui est ce d'ailleurs , qui le fera ) , vous toperont , et vousne pourrez plus rien démontrer !
Rien à voir avec les radars , où tu reçois une photo de ta voiture au moment de l'infraction !

Aurélie a écrit:Bof, un pirate expérimenté peut très bien effacer et reformater son DD. Et quand on te pique ta bagnole, sauf scoumoune particulière (genre ça se produit alors que tu es en vacances), tu t'en aperçois très vite et tu portes plainte dans la foulée.

plume a écrit:Et puis le gars qui est innocent et qu'on prive de web pendant des mois, bin pas de bol, hein Sarkonaute ?

sarkonaute a écrit:

plume a écrit:Et puis le gars qui est innocent et qu'on prive de web pendant des mois, bin pas de bol, hein Sarkonaute ?

personne n'est privé de web pendant des mois, puisqu'on reçoit préalablement deux avertissements. s'ils ne sont pas fondés, il est grand temps de prendre des mesures de sécurité appropriées.
vous défendez l'indéfendable, comme le gauchiste défend le délinquant ou l'islamiste.

Risques de détournement et de contournement de la loi

Au-delà des critiques générales (voir la note de François Pellegrini) et d'ordre juridique qu'on peut émettre sur le projet de loi (voir à ce sujet le dossier de la Quadrature du Net (PDF)), sa pertinence face à l'état de la technique est à remettre en cause profondément ; l'April l'avait d'ailleurs signalé à la mission Olivennes dès son audition le 12 octobre 2007.5
Tout d'abord, le dispositif prévu par HADOPI sera inefficace parce qu'il sera rapidement, facilement et massivement contourné. En effet, le dispositif prévoit que des agents assermentés agissant pour le compte d'organismes de défense des auteurs, éditeurs et producteurs de musique et de films procèdent à une recherche pro-active d'infractions. Lorsque des internautes seront repérés en train d'échanger des œuvres sans autorisation par ces agents, leur adresse IP sera relevée avec la date, l'heure et les œuvres concernées. Ce constat sera ensuite transmis à l'HADOPI, qui identifiera les internautes via les fournisseurs d'accès à Internet grâce aux adresses IP relevées, et pourra dès lors engager le processus d'avertissement et de sanction prévu par le projet de loi.
Or l'adresse IP n'est pas à la base une donnée d'identification fiable des internautes. Elle peut de plus être usurpée, empruntée ou modifiée par les utilisateurs. Ainsi, le fameux tracker de torrents The Pirate Bay a d'ores et déjà annoncé que des adresses IP fictives (notamment françaises) seraient injectées afin de tromper les agents assermentés.6 Des chercheurs de l'Université de Washington ont par ailleurs démontré qu'il était possible de faire croire qu'une imprimante avait téléchargé des fichiers sur internet !7 Prétendre accuser et sanctionner sur la base d'une telle donnée n'est donc pas sérieux.
Il faut également songer au recours aux procédés d'anonymisation et de chiffrement. Un logiciel d'échange de pair à pair (ou peer-to-peer) comme OneSwarm rend totalement impossible l'identification des émetteurs et des récepteurs, chaque ordinateur anonymisant les transmissions qu'il relaie. Par ailleurs, déjà plus de 20% du trafic de pair à pair est chiffré et le chiffrement est de plus en plus proposé en standard dans les logiciels de pair à pair. On peut aussi citer le service TorrentPrivacy qui permet aux utilisateurs moyennant quelques euros par mois de télécharger en affichant une adresse IP américaine ou canadienne tout en chiffrant leurs données.
Avec des solutions aussi simples et disponibles que le chiffrement et l'anonymisation, le dispositif HADOPI aura bien du mal à repérer les internautes français qui échangent des œuvres sans autorisation. Quant aux "contre-logiciels" que la ministre Albanel imagine pour éviter le contournement,8 soyons certains que les services de police du monde entier rêveraient de pouvoir en disposer. La puissance de calcul requise pour casser un chiffrement comme celui utilisé par ces logiciels fait que seuls des services de renseignement s'y essaient et uniquement de façon ciblée. Les "contre-logiciels" de Mme Albanel utilisables pour lutter massivement contre le chiffrement relèvent donc simplement de la science-fiction.
Ajoutons que la généralisation des échanges chiffrés causerait un dommage collatéral fâcheux, en rendant « aveugles » les services de police : les échanges chiffrés des criminels qu'ils observent se retrouveraient alors noyés dans la masse immense des échanges d'œuvres entre particuliers. Les utilisateurs développeraient par ailleurs un sentiment d'impunité et on peut s'interroger sur la pertinence d'inciter toute une génération à basculer dans la clandestinité.
Mais ce n'est pas tout. Il existe également un réel risque de détournement de la loi au profit de la cybercriminalité.
Avec les volumes gigantesques de courriels que l'HADOPI va envoyer chaque jour (10 000 courriels d'avertissement par jour9), il est évident que des délinquants vont envoyer de faux courriels estampillés HADOPI et contenant une pièce jointe que l'utilisateur sera invité à ouvrir pour connaître les faits qu'on lui reproche. En réalité, la pièce jointe pourra bien être un cheval de Troie qui transformera son ordinateur en machine zombie, les expéditeurs de tels leurres misant sur le fait qu'un courriel de menaces d'apparence officielle à plus de chances de tromper l'utilisateur.
C'est sans doute pourquoi aucune autorité ne devrait menacer massivement par courriels les citoyens et l'État devrait le faire savoir au lieu de se risquer à cette grande première.10
Ensuite, le dispositif HADOPI va créer un appel d'air pour des services commerciaux d'anonymisation ou offrant tout moyen d'échapper à la recherche pro-active d'infraction et à la répression de masse autorisées par le projet de loi. Le service russe Torrent Privacy déjà évoqué en est un bon exemple : il cible explicitement les utilisateurs français dans la vidéo de démonstration disponible sur son site.
En plus de contribuer à développer une économie off-shore, le développement d'une telle offre s'adressant à un public qui cherche à échapper à l'autorité publique sera également un moyen aisé pour récupérer des identifiants bancaires et/ou infecter des milliers de machines pour agrandir un parc de "machines zombies".11 Tout comme la peur de l'autorité, le désir de continuer à partager sera en effet sans nul doute exploité par les émetteurs de pourriels : des courriels malveillants avec une pièce jointe contenant soi-disant un logiciel d'anonymisation, en fait un virus, apparaîtront ainsi à peine la loi adoptée, les véritables cyberdélinquants étant particulièrement réactifs, comme l'actualité le démontre chaque jour.
Pour ces raisons, la loi risque de s'avérer totalement inefficace dans la lutte contre les échanges d'œuvres non autorisés entre particuliers, et contre-productive pour la sécurité informatique de chacun et la lutte contre la cybercriminalité. Alors que jusqu'à présent ces échanges ne bénéficient pas aux organisations criminelles - puisqu'étant réalisés sans intermédiaire, ni but lucratif, directement par les utilisateurs - la loi créera en fait un marché pour le crime organisé.
Sécurisation de la connexion ou dispositif de contrôle d'usage ?

La nature des « moyens de sécurisation » - qui sont censés exonérer les titulaires d'un accès à Internet de la responsabilité démesurée qu'on veut leur faire porter - est désormais claire : il s'agit de dispositifs visant à faire obstacle à certains usages et certains protocoles, et qui font en outre un renvoi d'information à un serveur distant pour vérifier s'ils sont activés. En clair : des mouchards filtrants.
Si le projet de loi était adopté en l'état, consacrant des dispositifs de filtrage avec (ou sans) mouchards comme « moyens de sécurisation exonérant valablement le titulaire de l'accès à un service de communication au public en ligne de la responsabilité visée à l'article L.336-3 », alors chaque abonné à Internet se trouvera très fortement incité à installer ces dispositifs réduisant arbitrairement leur droit à l'information, à la communication et à la vie privée. On peut toutefois douter que ces dispositifs soient effectivement installés par les particuliers mais on peut en revanche parier sur un tollé généralisé conduisant in fine à l'inapplicabilité de la loi, exactement comme ce qui a pu être constaté avec les DRM et la loi DADVSI.
Rappelons cependant une nouvelle fois que l'accès à des contenus ou applications sur Internet ne peut être limité que suite à une décision de l'autorité judiciaire.12 De plus il est reconnu que les techniques de filtrage quelles qu'elles soient présentent deux défauts intrinsèques majeurs : elles empêchent des usages légaux et il est toujours possible de les contourner. Cela fait d'ailleurs l'objet de 4 pages d'annexe dans le rapport Olivennes, reprises à titre informatif par Franck Riester dans son rapport pour la commission des lois de l'Assemblée nationale.
La solution la plus raisonnable d'un point de vue du respect des droits fondamentaux des utilisateurs consisterait donc, comme le préconise Bruno Retailleau dans son amendement adopté par le Sénat, en un dispositif de sécurisation de la connexion de type chiffrement WPA2 pour le wifi. En revanche, le principal inconvénient de cette solution est qu'elle ne suffit pas en elle-même à sécuriser une connexion (nécessité d'un mot de passe fort régulièrement changé) et la discrimination qui pourrait en résulter, notamment pour toutes les personnes disposant d'un matériel ne supportant pas ces technologies de chiffrement, et tous les professionnels qui les commercialisent. La Commission européenne ne manquerait pas alors de sanctionner la France pour atteinte à la libre concurrence. Elle a d'ailleurs d'ores et déjà annoncé qu'elle sera particulièrement attentive sur cet aspect prévisible de la loi HADOPI.13

sarkonaute a écrit:bien, je constate que, nos contradicteurs n'apportant plus d'arguments, il convient de déclarer le sujet clos.
ravi d'avoir pu concourir à votre édification et votre formation intellectuelle en vous expliquant cet excellente loi du président d'amour.
à bientôt et n'oubliez pas : le téléchargement c'est du vol.

ps plume : c'est ton problème, la justice n'a rien à voir là-dedans (son boulot c'est de juger les délinquants). démerde-toi un peu.

livaste a écrit:

sarkonaute a écrit:bien, je constate que, nos contradicteurs n'apportant plus d'arguments, il convient de déclarer le sujet clos.
ravi d'avoir pu concourir à votre édification et votre formation intellectuelle en vous expliquant cet excellente loi du président d'amour.
à bientôt et n'oubliez pas : le téléchargement c'est du vol.

ps plume : c'est ton problème, la justice n'a rien à voir là-dedans (son boulot c'est de juger les délinquants). démerde-toi un peu.

tu ne sais même plus de quoi tu parles , dans un même post tu affirmes que le téléchargement est du vol , et aussitôt d'affirmer que la justice n'a rien à voir la dedans !
En tant que juriste je rappelle que si c'est du vol , c'est un délit et seule la justice doit être compétente pour apprécier le délit et juger le coupable !!!!

Notons par ailleurs qu'en pratique l'obligation d'utiliser WPA2, si tant est qu'elle soit envisageable, n'empêchera pas le développement de pratiques de contournement pendant de longues années au regard de l'état du parc existant. Une récente étude parue dans la revue de sécurité MISC soulignait que dans le 5ème et le 13ème arrondissements de Paris, sur 31 000 points d'accès étudiés, plus de 2 000 étaient totalement ouverts et plus de 40% utilisait le protocole WEP, notoirement inefficace en terme de sécurité (cassables en moins de 4 minutes). Rompus au partage d'information, les téléchargeurs les moins responsables ne manqueront donc pas de s'échanger des listes de points d'accès utilisables dans leurs quartiers, multipliant d'autant les accusations envers des innocents.

Aurélie a écrit:Honnêtement, je pense quand même que la police a d'autres chats à fouetter sarkonaute. Cette loi, en plus du fait d'être conçue dans un esprit très éloigné de ma conception de la justice (on doit prouver la culpabilité d'untel et pas l'inverse) va donner lieu à une bureaucratie de type soviétique. Alors bon, moderne je sais pas...

Or l'adresse IP n'est pas à la base une donnée d'identification fiable des internautes. Elle peut de plus être usurpée, empruntée ou modifiée par les utilisateurs. Ainsi, le fameux tracker de torrents The Pirate Bay a d'ores et déjà annoncé que des adresses IP fictives (notamment françaises) seraient injectées afin de tromper les agents assermentés.6 Des chercheurs de l'Université de Washington ont par ailleurs démontré qu'il était possible de faire croire qu'une imprimante avait téléchargé des fichiers sur internet !7 Prétendre accuser et sanctionner sur la base d'une telle donnée n'est donc pas sérieux.