Égalité devant la loi?

Ce papier, court (enfin, on va essayer) fait un petit point rapide, vu par un FAI, sur le sujet de rigolade du moment: HADOPI et le (bientôt) premier mail.

Identification des adresses IP

Comme tous ceux qui suivent le dossier, j'ai lu dans la presse que la HADOPI était prête pour envoyer des mails. Enfin, pour respecter le droit, pour transmettre à la CPD[1] les dossiers, pour qu'elle décide s'il y a lieu, ou pas, d'envoyer des mails.

Je lis dans la presse que la HADOPI raconte, à longueur de conférence de presse de d'interviews, qu'un long et beau travail a été fait avec les FAIs. Comme nous, FDN, n'avons pas été contactés, et n'avons travaillé sur rien, deux pistes s'ouvrent.

Piste 1: une Haute-Autorité administrative, supposément indépendante, ment, ouvertement, sciemment, délibérément, à la presse. Et en fait, ils n'ont produit aucun travail, avec aucun FAI. Dans le dossier HADOPI, on en a tellement vu, que l'hypothèse est plausible, même si franchement osée.

Piste 2: la Haute-Autorité administrative a pris la liste des FAIs (où?) et a fait un choix stratégique dedans (comment?) de FAIs auxquels la loi s'imposerait (pas aux autres?), et a travaillé avec eux pour définir les protocoles techniques permettant l'identification des adresses IP, ainsi que le merveilleux protocole prévu par l'article 4 du décret 2010-236 attaqué par FDN devant le Conseil d'État. C'est-à-dire que la HADOPI aurait décidé que les abonnés de certains FAIs, étant plus égaux que les autres sans doute, sont dispensés de ses foudres.

Je le dis tout net: FDN n'a pas été contacté, et n'est pas connecté à la HADOPI pour identifier les adresses IP.

Tout me laisse à penser que d'autres FAIs sont dans le même cas (Neuronnexion? France-Wireless? Numéo? Nomotech?). Tout me laisse également à penser que les hébergeurs n'ont pas été contactés (OVH? Absolight? SdV? etc).

Bien entendu, si FDN était contacté dans les jours suivant la publication de ce billet, nous ne manquerions pas, d'abord, de le faire savoir, et ensuite, de franchement rigoler...

Questions de sécurité

Sur ce sujet précis, je ne peut que spéculer, puisque (il faut suivre, un peu) FDN n'a pas été contacté sur le sujet.

Il existe donc, probablement, chez certains FAIs malchanceux, une interface automatisée, informatique, permettant à partir d'une adresse IP et d'un horodatage, d'obtenir des données personnelles (nom, prénom, adresse postale, coordonnées téléphoniques, adresses mail, etc) sur les abonnés. Il est absolument évident qu'une telle interface doit être protégée, et que seules quelques rares autorités spécialement habilitées doivent y avoir accès.

D'où la question, toujours amusante, de savoir comment c'est sécurisé. En toute logique, il doit y avoir les 4 niveaux de sécurité habituels:

  • une protection par la source (toute demande de connexion venant d'une adresse IP qui n'est pas spécialement identifiée comme autorisée doit être refusée), je ne doute pas que les spécialistes des systèmes d'information des différents opérateurs l'aient fait;
  • une protection par identifiants, probablement un login et un mot de passe, par exemple pour différencier les systèmes de test utilisés dans les phases de développement, d'intégration et de validation, du vrai système de production;
  • une signature explicite et solide des demandes, au sens où on l'entend classiquement en informatique (signature et chiffrement par clefs asymétriques des demandes et des réponses pour s'assurer de l'identité des deux interlocuteurs en bout de chaîne), ça par contre, je redoute qu'ils l'aient oublié, ce qui pourrait leur valoir des ennuis en cas de défaut de sécurisation de l'accès aux données personnelles de leurs abonnés;
  • un chiffrement des communications pour éviter les oreilles indiscrètes en chemin (bref, simplement un peu de SSL).

J'aime à croire que ça a été fait comme ça, mais, je ne peut pas en être certain. Alors, à toutes fins utiles, je le publie. Au moins, ça pourra servir de questions pour des journalistes, au plus, ça pourra alerter nos confrères FAIs sur les risques. Orange, par exemple, s'est fait allumer en public, en grand, sur la sécurisation de l'interface de management de son vaporware (relire bluetouff sur le problème et sur la conclusion). Il semble chaudement recommandé de faire dans le fiable et dans le solide...

Échange des informations

L'interface d'interconnexion entre la HADOPI (ou la CPD, on s'y perd...) pour identifier les abonnés qui sont derrières les adresses, est prévue à l'article 8 du décret 2010-236[2]. Cet article 8 stipule en particulier que Cette interconnexion est effectuée selon des modalités définies par une convention conclue avec les opérateurs et prestataires concernés ou, à défaut, par un arrêté conjoint du ministre chargé de la culture et du ministre chargé des communications électroniques..

Comme il n'y a pas de convention conclue avec FDN, j'en déduis qu'un arrêté conjoint du ministre de la culture et du ministre de l'industrie définira tout ça, sous peu. Pour le moment, je n'ai pas eu connaissance de cet arrêté. Si quelqu'un de plus attentif que moi l'a vu, je suis preneur.

Pour le moment, l'arrêté en question n'ayant pas été pris, ça semble bien confirmer que nos abonnés ne sont pas concernés.

Notes

[1] Oui. C'est du droit. Pénible, lourd, et procédurier. Mais intéressant. Comme l'explique très clairement Eolas dans son dernier billet, la HADOPI n'a pas de pouvoir. C'est la CPD (commission de protection des droits) qui a ce pouvoir. Elle n'est composée que de trois personnes, trois magistrats. Et plutôt dans le haut de gamme. Très loin des nominations politiques qu'on retrouve dans la HADOPI: au hasard, Toubon ou Riester, pour une autorité indépendante, ça peut préter à sourire...

[2] Celui qui est attaqué par FDN devant le Conseil d'État. Il faut suivre un peu, quand même...

Commentaires

1. Le mercredi 30 juin 2010, 14:10 par Ludwig

Bravo, bel article qui démontre une fois de plus l'incapacité du gouvernement à mettre en place cette loi ridicule.
Ca donne envie de s'abonner chez les "petits" FAI ;-)

2. Le mercredi 30 juin 2010, 16:06 par Jokernathan

Quand j'entends quelque part "les FAIs" ça me fais toujours sourire parce que je suis sur que, dans 9 cas sur 10, FDN et les autres "petits" ne sont pas inclus !
Merci Benjamin pour ce court billet d'info qui une fois de plus pose les bonnes questions.

3. Le mercredi 30 juin 2010, 17:40 par foo

Comment, il y a plus de 4 FAI en France ? ;-)

Pure hypothèse : on peut imaginer que la HADOPI/CPD négocie lesdits points techniques avec les gros FAI, pour ensuite les imposer à tout le monde (si besoin par l'arrêté prévu à cet effet).

On peut aussi imaginer qu'on a affaire à une bande d'amateurs qui font leur boulot un peu n'importe comment, à raison de 10 millions d'euros par an aux frais du contribuable...

4. Le mercredi 30 juin 2010, 18:33 par Spyou

Je confirme, pas contacté par qui que ce soit.

5. Le mercredi 30 juin 2010, 18:34 par Cld

foo: Ouaip, mais dans tous les cas ça pose deux problème:
1) Dire qu'ils ont travaillé avec «les» FAI, alors que c'est fait avec «des» FAI... Ce qui en soit ne pose pas forcement problème, tu ne peux que rarement travailler avec tous les intervenants, que ça soit en industrie ou en fourniture de service, juste la façon de le dire est assez cavalière...
2) Et surtout encore une fois le problème d'égalité devant la loi puisque la détection aurait parait-il déjà commencer chez les «gros» FAI...

En plus c'est un peu moyen de ne pas travailler avec un petit FAI qui possède une couverture médiatique assez importante, notamment avec le dépôt d'un recours devant le conseil d'État... Forcement ça ce vois...

6. Le mercredi 30 juin 2010, 22:13 par Kairo

"une protection par la source (toute demande de connexion venant d'une adresse IP qui n'est pas spécialement identifiée comme autorisée doit être refusée), je ne doute pas que les spécialistes des systèmes d'information des différents opérateurs l'aient fait;"

Oh mais je croyais que l'adresse IP n'était pas un indice fiable??!?!
Vous auriez menti quand vous avez dit qu'Hadopi avait tort de faire confiance aux adresses ip?

En réponse: c'est bien pour ça que cette mesure, seule, ne suffit pas à s'assurer que c'est bien la Haute Autorité qui fait la demande, et qu'il est donc nécessaire que la communication soit chiffrée, et que les demandes soient authentifiées par une signature à clefs asymétrique.

7. Le jeudi 01 juillet 2010, 08:35 par Nicolas S

Éric Walter a répondu dans les colonnes de Silicon.fr :
« Contacté, Eric Walter dément formellement les propos de Benjamin Bayart. " C’est à la FDN de nous contacter, indique ce dernier, la loi s’impose à tous. Nous sommes à son entière disposition. On a déjà travaillé avec la Fédération Française des Télécoms FFT, qui nous avait écrit avant même mon arrivée, le 1er mars 2010, et avec Free." »

Est-ce à dire que l'Hadopi s'attend à recevoir des demandes de tous les dépositaires d'une délégation IP situés ou opérant en France ?
Vu la liste http://www-public.int-evry.fr/~maig... , ça va faire un bon entraînement pour automatiser les traitements.

8. Le jeudi 01 juillet 2010, 11:24 par Loup Vaillant

@Kairo: La fiabilité d'une adresse IP dépend fortement de la manière dont elle est utilisée.

Dans le cadre de la surveillance Hadopi, il semble que les IP peuvent facilement être spoofées, entre autres parce que les surveillants ne cherchent pas spécialement à contacter les ordinateurs correspondants (cela les ferait télécharger et distribuer l'œuvre qu'ils sont sensés « protéger », c'est moyen, et légalement glissant).

Lors d'une connexion persistante entre deux ordinateurs, en revanche, c'est plus difficile. Je peux facilement faire une requête de connexion TCP en spoofant l'IP de l'Élysée, mais il me sera difficile de recevoir la réponse, à moins d'intercepter les paquets sortant de la machine que je veux tromper, d'une manière (pirater son FAI) ou d'une autre (pirater l'Élysée, mais là le spoof ne sert plus à rien).

Si j'ai bien compris, le contrôle de l'adresse IP lors d'une connexion sécurisé est là juste pour permettre une vérification rapide. J'imagine que ça limite les attaques DOS (mais là je spécule).

9. Le jeudi 01 juillet 2010, 12:01 par Cld

Kairo: Si tu a la bonne IP tu ne peux pas être sur que ça soit la bonne machine, mais si tu as pas la bonne IP tu peux être sur que ça ne soit PAS la bonne machine :)

Nicolas S: AHAHAHAHA... Il est drôle... Oui la loi s'impose à tous... Quand elle existe ! :) Et puisque l'arrêter qui définis hors accord n'existe pas... bin elle existe pas :)

10. Le vendredi 02 juillet 2010, 09:34 par Shandra

Quelle case tête en perspective pour les FAI qui vont devoir se mettre leur clients à dos.

En réponse: je me suis permi de supprimer le lien qui, étant sans rapport avec le sujet du billet, aurait pu être considéré comme du spam.

11. Le vendredi 02 juillet 2010, 17:38 par Kévin Hinault

"Éric Walter a répondu dans les colonnes de Silicon.fr :
« Contacté, Eric Walter dément formellement les propos de Benjamin Bayart. " C’est à la FDN de nous contacter, indique ce dernier, la loi s’impose à tous. Nous sommes à son entière disposition. On a déjà travaillé avec la Fédération Française des Télécoms FFT, qui nous avait écrit avant même mon arrivée, le 1er mars 2010, et avec Free." »"

Hum peut on considérer qu'un FAI n'ayant pas contacté la HADOPI devient hors la loi de facto ? Y a t'il une obligation de création d'une interface avec elle ? Je n'en ais pas le souvenir...

12. Le vendredi 02 juillet 2010, 19:27 par Mlle Ellute

Petite question de détail, Nicolas S donne dans son commentaire un lien vers le site du RIPE qui a l'air de donner la liste de tous les fournisseurs d'adresse IP et je n'y vois pas FDN. Est-ce normal?

En réponse: c'est parce que tu regardes mal. FDN a deux blocs d'adresses IP qui sont réservées à son nom, la réservation étant faite par un LIR (Local Internet Registry). Et ce n'est pas FDN, qui est LIR, c'est Gitoyen, opérateur réseau dont FDN est membre fondateur. Donc, si tu veux nous chercher dans les listings du RIPE, si c'est dans la liste des LIR, c'est Gitoyen qu'il faut chercher. Si c'est dans la liste des blocs d'adresses distribués, il y a bien un bloc (un INETNUM, pour reprendre les termes du RIPE) au nom de FDN, pris dans les assignations de Gitoyen.

13. Le samedi 03 juillet 2010, 11:29 par mitch

A propos d'égalité, existe-t-il une liste exhaustive des adresses IP de ces polices privées ? afin que iptables les considèrent de base comme vachement moins égales que les autres.

En réponse: cette liste existe forcément, sous un nom ou sous un autre. Certaines adresses ont probablement été enregistrées au nom de TMG. D'autres ont pu être enregistrées à d'autres noms (en infraction avec les règles de gestion du RIPE). Bien entendu, apprendre à les repérer toutes, rapidement, sera un des jeux distrayants pour les mois et années à venir.

14. Le mercredi 07 juillet 2010, 21:27 par DoubleSpy

mode provoc on/

Mais alors si j'ai bien tout compris, comme on doit être égaux devant la loi, ça veut dire qu'on va aussi tracer proprement les IP des lignes "de test" des grandes entreprises de notre beau pays, lesquelles lignes sont actives sur une base 24/7 pour alimenter comme il se doit les ftp privés des mêmes grandes entreprises, ce qui en fait soit dit en passant le premier pourvoyeur de téléchargement illégal ? C'est ça, hein, on va vraiment être tous égaux ? Allez, quoi, dis moi que j'ai bien compris...

/mode provoc off (mais ça fait du bien :o) )

15. Le jeudi 08 juillet 2010, 12:13 par Eng

Bonjour, merci pour ce billet, très intéressant comment toujours. On attend de voir la suite de ce grand roman qu'est Hadopi.

Je me permet de signaler une faute que j'ai vu 2 fois :
s/Je ne peut/Je ne peux/