Posts Tagged ‘loi’

Faisabilité d’un filtrage anti téléchargement de fichiers sous copyright à l’échelle de la France: Le cas du DDL (Rapidshare/Megaupload)

Tuesday, January 26th, 2010

Comme je l’ai expliqué dans de nombreux billets précédents, la mise en place d’HADOPI est voué à l’échec car elle a déjà un train de retard. En effet, la plupart des personnes qui téléchargent et qui n’ont pas de connaissances techniques en informatique i.e. la cible d’HADOPI n’utilise plus ou de moins en moins les services P2P comme Edonkey, Kazaa ou autres protocoles de P2P. Ce qui est désormais à la mode, c’est majoritairement (d’après plusieurs grands organismes publics et privés en France) le téléchargement direct ou direct download (DDL).

Le plus connu des sites de DDL et l’un des premiers est RapidShare qui doit son succés aux dizaines de teraoctets de données sous copyright qui sont stockées sur leurs serveurs. Mais, il ne sont pas les seules, megaupload est en pleinne extension, en effet, ce dernier se trouvant en Asie, il est plus difficile à atteindre pour les lois européennes alors que RapidShare se trouve lui en Allemagne. De plus, RapidShare a déjà donné les IP et comptes (donc les noms) de personnes ayant uploader du contenu sous copyright sur leur serveur alors que megaupload ne l’a pas encore fait (à ma connaissance). Un des autres intérêts de ces sites de DDL est la simplicité d’utilisation, en effet, les utilisateurs ont juste à cliquer sur un lien hypertexte ce qui est au niveau de n’importe qui. De plus, de plus en plus de logiciels permettent d’automatiser le processus et de faciliter l’utilisation de tels sites.

Mais comment ces sites fonctionnent ? Contrairement aux alternatives sous P2P, ces sites stockent réellement les fichiers sous copyright. Les sites P2P comme PirateBay ne stockent qu’une sorte de lien hypertexte qui permet aux utilisateurs partageant ou voulant le même fichier de se retrouver et d’échanger le fichier. Aucun transfert ne passe par le site P2P et aucun fichier n’y est stocké. Contrairement, les sites de DDL recoivent le fichier depuis un utilisateur unique, le stocke sur leur disque et le renvoi aux utilisateurs. Tous les transferts passent donc par les serveurs du site de DDL. Résultat, pour garder des vitesses élevées, il faut que le site est une bande passante très grande (plusieurs gb/s). Pour cela, les sites comme megaupload achétent des dizaines de serveurs à bas cout pour stocker les fichiers et avoir de grandes bandes passantes dans virtuellement tous les pays demandeurs de ce genre de fichiers. Pour l’Europe, il est simple de voir que Megaupload loue majoritairement ces serveurs chez OVH. Cela doit être identique dans les autres pays.

Comme je viens de l’expliquer, les demandes en matériel et en bande passante sur les sites de DDL (et de streaming puisque le fonctionnement est similaire) sont très fortes et ont donc un cout très élevés. Ces sites survivent en fournissant des abonnements payants qui ne sont ni plus ni moins qu’un droit de téléchargé a très haut débit des fichiers sous copyright. Contrairement à 99% des sites de P2P, ces sites sont gérés par des sociétés commerciales qui font de très large profit. La personne téléchargeant est de plus contrairement aux personnes utilisant le P2P uniquement un consommateur et ne fournit en échange que son argent à la société du site de DDL. Au niveau éthique, nous sommes donc très loin du principe de partage cher au communauté de partage de fichiers. C’est belle et bien des sociétés faisant de l’argent sur le téléchargement de fichiers sous copyright. Mais cela, nos chers gouvernements ne semblent pas s’y intéresser après tout si ces sociétés font de l’argent c’est que leur buisness plan doit être bon et donc qu’elles sont légitimes dans une société ultra libéraliste où tout doit être dérégulé, non ?

Mais revenons sur les possibilités de filtrage, de détection, etc, bref de pouvoir appliquer HADOPI (4,5,6 ou autres que le gouvernement ne tardera pas à nous sortir) à ces sites de DDL. La première approche sera surement de réutiliser la structure actuelle prévue par HADOPI. Mais comment relever les IP de personne téléchargeant sur de tels sites ? En effet, contrairement aux P2P, où les échanges se font entre internautes, la il n’y a pas de possibilité de savoir pour une personne téléchargeant qui a envoyé le fichier. En effet, tout ce qui est possible de connaitre, c’est l’adresse IP du serveur du site de DDL contenant le fichier. Il faudrait donc que la société fournissant le service de DDL donne le fichier de logs contenant l’intégralité des IPs ayant télécharger et/ou uploader des fichiers sous copyright. Comme je l’ai expliqué, ces sociétés se trouvent à l’étranger et font leur argent sur le téléchargement de fichiers sous copyright, elles n’ont donc aucun intérêt à dénoncer leurs propres clients. Cela reviendrait à se tirer une balle dans le pied! De plus, n’étant pas contraint à la législation française, cela risque de poser problème. Le gouvernement pourrait donc essayer de saisir physiquement les serveurs de ces sites se trouvant en France mais cela ne fonctionnerait qu’à un moment t et il faudrait refaire cela chaque jour avec chaque serveur pour avoir des nouvelles IP tous les jours. Même si ce genre d’approche était appliquée, les sociétés de DDL louerait tout simplement des serveuers dans d’autres pays et/ou chez des providers dit bulletproof (leaseweb, theplanet, etc) ce qu’ils font déjà.

Puisque le modéle HADOPI ne peut pas fonctionner sur les sites de  DDL, pourquoi ne pas réutiliser le modéle qui va être mise en place via LOPPSI2 et d’autres lois pour le blocage des sites pédophiles et des sites de jeux d’argents ? Tout d’abord, il faut expliquer comment va fonctionner ce filtrage/blocage. Le principe sera de rerouter des IP s contenant ces contenues illégaux vers des serveurs maintenus par le gouvernement. Résultat, si vous accédez à de tels IPs vous serez rediriger vers un site du gouvernement vous disant que ce site est bloqué en France. Ce filtrage se faisant au niveau BGP, il sera en effet très efficace même si il ne va pas bloquer des sites Internet mais des adresses IP. Vu la simplicité de migrer un site vers une autre adresse IP cela risque d’être peu efficace.

Mais revenons à l’application de ce filtrage pour les sites de DDL. Il faut savoir que ces sites disposent de centaines (milliers?) de serveurs partout dans le monde et donc il faudrait bloquer ces centaines d’IP. Mais cela ne suffirait pas, en effet, ces serveurs changent souvent pour éviter justement ce type de filtrage et il faudrait donc maintenir à jour des listes d’IP à bloquer très conséquentes. De plus, ces serveurs étant souvant louer dans des salles serveurs classiques, il se retrouve au milieu de serveurs de sociétés totalement légitimes. On risquerait donc de se retrouver avec beaucoup de blocage abusifs et donc une très forte déterioration de la qualité d’Internet. En plus, ce filtrage serait simple à passer outre en passant par un mirroir/proxy à l’étranger (cela coutant quelques euros, ça ne semble pas être un facteur bloquant même pour Madame Michu).

Notre président, Nicolas Sarkozy, a parlé de filtrage comme expérimenter dans d’autres pays. Je suppose qu’ils parlent de DPI expérimenté en Australie (et en voie d’abandon). Le principe du DPI ou Deep Packet Inspection ou Inspection Profonde de Packet est d’analyser le contenu des packets transitant sur Internet. Contrairement au filtrage par IP, le DPI ne va pas uniquement analyser l’adresse IP source et destination du packet mais la totalité de son contenu. Il va donc pouvoir extraire des données comme l’URL, le fichier transitant, etc. Il serait donc théoriquement possible de bloquer tous les packets contenant comme URL megaupload ou rapidshare par exemple. Mais cela ne fonctionne que si le packet est en clair, il est impossible d’appliquer ce fonctionnement sur un packet crypté. En plus, cela reviendrait à bannir la totalité de ces sites ce qui ne semble pas possible par la loi française vu que ces sites fonctionnent tout à fait légalement. Il faudrait donc analyser la totalité de l’URL pour ne bloquer que le téléchargement de fichiers sous copyright. Pour cela, il faudrait faire une liste de tous les fichiers sous copyright sur ces sites soit des millions (milliards) de liens ce qui est impossible.  La methode de passer par un mirroir/prpxy chiffré permetterait à moindre cout de passer outre ce type de filtrage. Sachant que pour quelques euros, vous pouvez passer outre un système à plus de 150 millions d’euro, cela sert-il réellement de le mettre en place? En plus, la DPI aménerait un ralentissement globale de tout l’Internet en France.

Il faut savoir que le DPI est utilisé actuellement pour le great wall of china (GWC) avec plus ou moins de succés mais il coute des dizaines de millions d’euro et des centaines de personnes travaillent dessus. Faut-il arriver à un tel armement en France pour protéger les intérêts privés de quelques compagnies alors que nous ne sommes même pas sur que le partage de fichiers leur fait vraiment perdre de l’argent ? Leur CA et leur profit ont l’air de très bien se porter dans cette période de crise. La liberté d’expression serait aussi largement attaqué par ce genre de système, voulons-nous en arriver là ?

Il faut trouver une alternative, il faut que la créativité et les oeuvres d’arts continuent mais il faut réfléchir à un nouveau modéle qui permettra à tout le monde de bénéficier de la culture et à la culture de se développer.

Tags: , , , , , , , , ,
Posted in news | No Comments »

La société chargée de relever les IP des Internautes téléchargeant des fichiers sous Copyright a été choisi: Trident Media Guard

Monday, January 25th, 2010

La société TMG (Trident Media Guard) avait déjà fait parler d’elle de part le nom célébre d’un de ces administrateurs: T. Lhermitte. Maintenant, c’est sur la Société civile des producteurs phonographiques (SCPP) a annoncée que TMG serait chargé pour eux (mais également pour l’industrie du film) de relever les IP des Internautes téléchargeants.

En pratique, ce sera 10000 oeuvres de musiques dont 5 000 anciennes et 5 000 nouveautés qui seront surveillées. Par contre, on ne sait pas comment et où sera surveillé le téléchargement sur ces oeuvres. En effet, autant il est simple de relever la liste des IP listés dans un tracker pour un torrent donné, autant, cela demande déjà plus de ressources de relever toutes ces IP dans l’ensemble des trackers torrents puis de localiser celle se trouvant en France. Même dans ce cas, il faudrait qu’ils expliquent comment ils seront capable de relever les IP sur des téléchargement non P2P. En effet, sous Emule, Ed2K, torrent ou autres, cela est du domaine du possible, autant sur des sites de streaming ou direct download cela est impossible sans un filtrage global au niveau des FAI (et encore cela reste largement non trivial). Hors, actuellement, c’est largement plus de 50% des téléchargement qui sont fait sur ce type de service et cela ne fait qu’augmenter exponentiellement car l’utilisation du DDL est très simple (Mme Michu y arrive).

Malgré que le contrat soit passé, cela ne veut pas dire que la récolte d’adresse IP va commencer tout de suite et cela pour plusieurs raisons. Tout d’abord, la CNIL doit donner son accord sur deux decrets puis sur le contract en lui-même. En effet, le processus de collecte automatique de donnée tel que les IPs est régie par la CNIL et il faut donc leur accord.

Le même type de contract est actuellement en cours pour l’industrie du films et devrait porter sur la surveillance d’une centaine de films.

Alors que nous attendons toujours le decret expliquant le fameux logiciel de sécurisation et où la mission Zelnik (ou HADOPI3) est bloqué de par les divergences des différents acteurs du secteur de l’industrie du disque, la partie répressive elle avance bien. Mais cela sera-t-il réellement efficace ? Non et cela pour plusieurs raisons: tout d’abord au niveau de la musique mdiême si le catalogue est assez large, il visera clairement la musique commerciale à production industrielle et en aucun cas les oeuvres musicales en elle-même. Cela sera également vrai pour l’industrie du film et encore plus car sur 100 films, il faudra s’attendre à de la grosse production et pas à des oeuvres cinématographiques. Deuxièment, cette loi devait ralentir le téléchargement en insitant les personnes téléchargeants de s’orienter vers d’autres alternatives. Mais, puisque la majorité des personnes ne sera pas touché car ils téléchargent via DDL ou autres méthodes où relever les IP ne rentrent pas dans le cadre d’HADOPI, ce volet ne fonctionnera. De plus, les personnes téléchargeant par P2P (majoritairement torrent) sont maintenant des personnes ayant un bon niveau technique, les autres ayant migré vers des solutions plus simple comme le DDL. Hors, ces personnes sont déjà (ou seront) équipé de VPN ou autres solutions permettant d’avoir une adresse IP non française et échappant donc totalement à HADOPI.

Au final, comme cela était prévisible, on va vers une loi inapplicable qui va taper sur deux trois personnes sans réellement fonctionner. Et comme d’habitude avec les lois liées aux technologies, le texte est déjà largement en retard. En plus, comme on pouvait l’attendre, c’est l’industrie du divertissement qui sera protégé et pas l’art.

Tags: , , , , , , , ,
Posted in news | No Comments »

USENIX LEET’08: Conducting Cybersecurity Research Legally and Ethically

Monday, April 21st, 2008

Abstract

Les premiers obstacles légaux quand l’on souhaite effectuer des recherches en sécurité informatique ne sont pas du aux interdictions mais plutôt, la difficulté a determiné qu’est ce qui dans un très large ensemble de status complexes régit un certain projet de recherche. Les lois sur la bie privé, abus des systèmes informatique, torts et contract sont toutes potentiellement applicable. De plus, même quand une loi permet une activité de recherche, les chercheurs doivent également se demander si leur recherche est ethiquement valable. Le but de l’auteur est de clarifier ces difficultés en expliquant les zones de la loi qui sont généralement applicable à la recherche en sécurité informatique et d’offrire des lignes directrices pour évaluer les risques éthiques que peuvent provoquer des études dans un tel domaine de la recherche.

(more…)

Tags: , , , , ,
Posted in conference, news | No Comments »

Le retour du baton ou comment un avocat est puni pour harcellement

Friday, April 11th, 2008

Un avocat (travaillant pour Logistep, une société spécialisé dans la “chasse” au pirate) qui avait envoyé des dizaines de milliers de lettres de menaces à des gens qui avaient été pris à télécharger des fichiers et leur demandant 400€, a été suspendu pendant 6 mois par le tribunal parisien.

(more…)

Tags: , , ,
Posted in news, security | No Comments »

Allemagne: Le nouveau big brother ?

Thursday, November 15th, 2007

Le parlement allemand vient de décider que pendant 6 mois tout ce que vous avez fait sur Internet doit être stocker afin qu’en cas d’enquête, la police puisse avoir une idée précise de ce que vous avez fait. Les données qui seront désormais stocker sont:

  • les appels téléphoniques: date, temps, numéro de téléphone impliqué que ce soit une ligne fixe, portable ou VoIP).
  • dans le cas des téléphones portables, il est ajouté la localisation du téléphone au moment de l’appel, le numéro de série complet du téléphone et toutes les données relatives aux SMS.
  • les accés internet: votre addresse IP quand vous l’aviez, pendant combien de temps et sur quelle ligne (ils ne vont pas stocker l’ensemble des addresses IP avec lesquels vous avez intéragi).
  • E-Mail: toutes les addresses impliquées dans le email ainsi que l’entête de chaque email.

En pratique, c’est un véritable flicage des moyens de communication en allemagne mais également de toutes les personnes étant en relation avec un allemand ou un dispositif de télécommunication et/ou réseau se trouvant en allemagne.

Malgré une forte résistance politique et individuelle, la loi est passé et sera mise en place dès début 2008. Alors comme d’habitude, ils vont dire que c’est pour lutter contre le terrorisme et les pédophiles mais une telle masse de donnée peut être utilisé à tellement de choses et la plupart reléve de la violation de la vie privée. De plus, malgré les belles promesses, il a été prouvé récemment que les USA via la NSA ne se génait plus pour faire de la recherche sur des masses de données similaires.

En bref, un superbe instrument de censure qui risque de poser de nombreux problémes quand à son utilisation par le gouvernement mais également, car aucun système n’est parfait par définition, son utilisation par des personnes mal intentionnées.

En esperant qu’après cette loi allemande et son équivalent américain plus ou moins clair (Patriot Act), une telle loi n’arrive pas à passer en France, même si certains la proposent déjà (comme le PDG de la FNAC afin de filter et ficher tous les internautes téléchargeants des fichiers ne respectant pas les propriétés privés).

Big brother n’a jamais été aussi réel et même finalement, la réalité va peut être dépasser la fiction et cela ne peut pas être bon pour la liberté d’expression et la vie privée.

Tags: , , , ,
Posted in news | No Comments »