Identification des adresses IP

Comme tous ceux qui suivent le dossier, j'ai lu dans la presse que la HADOPI était prête pour envoyer des mails. Enfin, pour respecter le droit, pour transmettre à la CPD[1] les dossiers, pour qu'elle décide s'il y a lieu, ou pas, d'envoyer des mails.

Je lis dans la presse que la HADOPI raconte, à longueur de conférence de presse de d'interviews, qu'un long et beau travail a été fait avec les FAIs. Comme nous, FDN, n'avons pas été contactés, et n'avons travaillé sur rien, deux pistes s'ouvrent.

Piste 1: une Haute-Autorité administrative, supposément indépendante, ment, ouvertement, sciemment, délibérément, à la presse. Et en fait, ils n'ont produit aucun travail, avec aucun FAI. Dans le dossier HADOPI, on en a tellement vu, que l'hypothèse est plausible, même si franchement osée.

Piste 2: la Haute-Autorité administrative a pris la liste des FAIs (où?) et a fait un choix stratégique dedans (comment?) de FAIs auxquels la loi s'imposerait (pas aux autres?), et a travaillé avec eux pour définir les protocoles techniques permettant l'identification des adresses IP, ainsi que le merveilleux protocole prévu par l'article 4 du décret 2010-236 attaqué par FDN devant le Conseil d'État. C'est-à-dire que la HADOPI aurait décidé que les abonnés de certains FAIs, étant plus égaux que les autres sans doute, sont dispensés de ses foudres.

Je le dis tout net: FDN n'a pas été contacté, et n'est pas connecté à la HADOPI pour identifier les adresses IP.

Tout me laisse à penser que d'autres FAIs sont dans le même cas (Neuronnexion? France-Wireless? Numéo? Nomotech?). Tout me laisse également à penser que les hébergeurs n'ont pas été contactés (OVH? Absolight? SdV? etc).

Bien entendu, si FDN était contacté dans les jours suivant la publication de ce billet, nous ne manquerions pas, d'abord, de le faire savoir, et ensuite, de franchement rigoler...

Questions de sécurité

Sur ce sujet précis, je ne peut que spéculer, puisque (il faut suivre, un peu) FDN n'a pas été contacté sur le sujet.

Il existe donc, probablement, chez certains FAIs malchanceux, une interface automatisée, informatique, permettant à partir d'une adresse IP et d'un horodatage, d'obtenir des données personnelles (nom, prénom, adresse postale, coordonnées téléphoniques, adresses mail, etc) sur les abonnés. Il est absolument évident qu'une telle interface doit être protégée, et que seules quelques rares autorités spécialement habilitées doivent y avoir accès.

D'où la question, toujours amusante, de savoir comment c'est sécurisé. En toute logique, il doit y avoir les 4 niveaux de sécurité habituels:

  • une protection par la source (toute demande de connexion venant d'une adresse IP qui n'est pas spécialement identifiée comme autorisée doit être refusée), je ne doute pas que les spécialistes des systèmes d'information des différents opérateurs l'aient fait;
  • une protection par identifiants, probablement un login et un mot de passe, par exemple pour différencier les systèmes de test utilisés dans les phases de développement, d'intégration et de validation, du vrai système de production;
  • une signature explicite et solide des demandes, au sens où on l'entend classiquement en informatique (signature et chiffrement par clefs asymétriques des demandes et des réponses pour s'assurer de l'identité des deux interlocuteurs en bout de chaîne), ça par contre, je redoute qu'ils l'aient oublié, ce qui pourrait leur valoir des ennuis en cas de défaut de sécurisation de l'accès aux données personnelles de leurs abonnés;
  • un chiffrement des communications pour éviter les oreilles indiscrètes en chemin (bref, simplement un peu de SSL).

J'aime à croire que ça a été fait comme ça, mais, je ne peut pas en être certain. Alors, à toutes fins utiles, je le publie. Au moins, ça pourra servir de questions pour des journalistes, au plus, ça pourra alerter nos confrères FAIs sur les risques. Orange, par exemple, s'est fait allumer en public, en grand, sur la sécurisation de l'interface de management de son vaporware (relire bluetouff sur le problème et sur la conclusion). Il semble chaudement recommandé de faire dans le fiable et dans le solide...

Échange des informations

L'interface d'interconnexion entre la HADOPI (ou la CPD, on s'y perd...) pour identifier les abonnés qui sont derrières les adresses, est prévue à l'article 8 du décret 2010-236[2]. Cet article 8 stipule en particulier que Cette interconnexion est effectuée selon des modalités définies par une convention conclue avec les opérateurs et prestataires concernés ou, à défaut, par un arrêté conjoint du ministre chargé de la culture et du ministre chargé des communications électroniques..

Comme il n'y a pas de convention conclue avec FDN, j'en déduis qu'un arrêté conjoint du ministre de la culture et du ministre de l'industrie définira tout ça, sous peu. Pour le moment, je n'ai pas eu connaissance de cet arrêté. Si quelqu'un de plus attentif que moi l'a vu, je suis preneur.

Pour le moment, l'arrêté en question n'ayant pas été pris, ça semble bien confirmer que nos abonnés ne sont pas concernés.

Notes

[1] Oui. C'est du droit. Pénible, lourd, et procédurier. Mais intéressant. Comme l'explique très clairement Eolas dans son dernier billet, la HADOPI n'a pas de pouvoir. C'est la CPD (commission de protection des droits) qui a ce pouvoir. Elle n'est composée que de trois personnes, trois magistrats. Et plutôt dans le haut de gamme. Très loin des nominations politiques qu'on retrouve dans la HADOPI: au hasard, Toubon ou Riester, pour une autorité indépendante, ça peut préter à sourire...

[2] Celui qui est attaqué par FDN devant le Conseil d'État. Il faut suivre un peu, quand même...