HADOPI et sécurisation: des incohérences de fond

Pour faire suite à mon billet précédent, un peu laconique sur le fond, voici quelques détails supplémentaires expliquant pourquoi le document de travail de la HADOPI sur les moyens de sécurisation semble, une fois encore, mener à une impasse.

Rappel des épisodes précédents...

Suite à la publication du décret n° 2010-695 du 25 juin 2010 instituant une contravention de négligence caractérisée protégeant la propriété littéraire et artistique sur internet, le Code de la propriété intellectuelle s'est vu ajouter l'article R335-5 qui dispose qu'un internaute doit, sur recommandation de l'autorité (la Commission de Protection des Droits), mettre en œuvre de façon diligente un moyen de sécurisation de son accès à internet. J'insiste sur le terme accès.

La hadopi souhaite donc interroger des experts publiquement, mais discrètement, afin de préciser concrètement ce que doivent être ces moyens de sécurisation. C'est ici que le document de travail, en principe confidentiel mais opportunément diffusé par Numerama, entre en jeu.

#fail

À sa lecture, nous voyons que la hadopi passe largement à côté du problème. En effet, selon ce document, le moyen de sécurisation consisterait in fine en un journal infalsifiable, listant des actions effectuées par l'internaute avec son ordinateur et permettant, le cas échéant, de montrer que cet ordinateur n'a ni été utilisé pour échanger des fichiers figurant sur des listes, ni fait usage d'applications figurant elles aussi sur des listes. Il ne semble pourtant pas très compliqué de comprendre qu'un tel journal ne montre en rien que l'accès internet de cet utilisateur a ou n'a pas été utilisé à son insu.

Pour cette raison, un tel moyen de sécurisation ne remplit certainement pas les conditions prévues par l'article R335-5 II 1° du CPI, à savoir:

prévenir le renouvellement d'une utilisation de celui-ci [l'accès] à des fins de reproduction, de représentation ou de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits prévus aux livres Ier et II lorsqu'elle est requise

En d'autres termes, le scénario catastrophe que se prépare la haute autorité est le suivant: un internaute qui n'a pas pour habitude d'échanger des fichiers protégés reçoit le fameux mail d'avertissement lui indiquant que son adresse IP à été prise en flagrant délit de contrefaçon. Inquiet que sa connexion wifi ait été utilisée à son insu, et suivant la recommandation qui lui est faite par le mail, il se dote d'un moyen de sécurisation. Las, le voisin indélicat poursuit ses activités et voici notre internaute à nouveau dans le collimateur de la hadopi.

Si l'on suit le raisonnement du document de travail, le simple fait de pouvoir montrer que l'ordinateur dont l'abonné est propriétaire n'est pas celui avec lequel l'infraction a été commise est suffisant pour exonérer l'abonné des poursuites. Autrement dit, point n'est besoin de mettre de mot de passe pour protéger son réseau wifi, il suffit d'installer le logiciel mouchard sur un ordinateur pour échapper aux poursuites. Cela ne me paraît guère ressembler à la volonté du législateur.

Conclusion

Le moyen de sécurisation envisagé par la hadopi ne couvre que la moitié des besoins, c'est à dire celle permettant à un internaute de montrer qu'il n'utilise pas son ordinateur pour échanger des fichiers protégés. À ce stade, de nombreuses interrogations demeurent, principalement en ce qui concerne la protection de la vie privée car ce n'est pas l'accès à internet qui est ici surveillé mais l'utilisation qu'un individu fait de l'ordinateur dont il est propriétaire, ce qui est très, très différent.

Ce projet souffre également de nombreuses lacunes sur la façon dont ce logiciel pourrait de lui-même déterminer s'il est contourné, par exemple par le fait que l'abonné utilise plusieurs ordinateurs matériels ou virtuels. En outre, les applications d'échange sont le plus souvent des logiciels libres dont le code source est accessible, ce qui est de nature à permettre l'individualisation de chaque exemplaire du programme de manière à le rentre indétectable par le programme mouchard. Les écueils sont donc légions sur cette voie.

En s'en tenant de plus près aux dispositions précitées du Code de la propriété intellectuelle, on pourrait imaginer un "kit de sécurisation hadopi" comportant deux composants, l'un matériel et l'autre logiciel. Le composant matériel serait en fait un routeur wifi. L'abonné devrait désactiver la fonction wifi de la box de son fournisseur et relier le routeur hadopi à celle-ci par un câble ethernet. La partie logicielle serait installée sur chacun des ordinateurs de l'abonné permettant d'autoriser l'accès à internet. Tout ordinateur ne disposant pas de ce logiciel et n'ayant pas été déclaré au routeur ne pourrait obtenir l'accès. C'est aussi à cet endroit que pourrait s'effectuer le contrôle parental sur les horaires d'utilisation.

Ainsi, l'abonné dont l'adresse IP aurait été prise dans les filets de la haute autorité montrerait que c'est bien par un ordinateur dûment autorisé à accéder à son réseau wifi que l'infraction a été commise.

Cela dit, il est clair que nous verrons alors rapidement apparaître des techniques pour se faire passer pour un des ordinateurs autorisés, car tous ces braves gens oublient encore et toujours qu'internet a été conçu très précisément pour que l'on ne puisse pas empêcher un message de passer...

Tags: