Cette étonnante stratégie consistant à réserver le cahier des charges aux seules entreprises approuvées par Hadopi du très attendu spyware Hadopi, censé garantir la sécurisation devenue obligatoire de la connexion internet des citoyens français, est riche d’enseignements.
Le premier d’entre eux, quelques jours à peine après que 90.000 documents secrets de l’armée américaine aient fuités sur Wikileaks, est la confirmation que l’on a à faire à une administration qui n’a toujours pas saisi ce à quoi elle fait face.
Une mise à disposition du public du document aurait évité un énième couac de communication à Hadopi – quitte à contourner la loi des appels d’offres, ce n’est pas comme si cette administration et les législateurs qui l’ont mis en place n’avaient pas, à de très nombreuses reprises, pris des libertés avec le droit.
Top départ
A peine quelques heures après avoir annoncé que ce cahier des charge serait tenu secret, ce dernier faisait le tour de nombreuse organisations de hackers, qui bien évidemment se sont empressé de les communiquer à la presse (en tout cas à RWW et Numérama, et probablement à Korben et PCinpact).
Au sein des différentes organisations, c’est l’annonce d’un départ imminent. Le premier qui réussira à torpiller le dispositif est assuré d’une gloire mondiale et d’un statut de demi Dieu au sein de l’internet Français. Hacker Croll a visiblement suscité des vocations, et nombreux sont les frenchies sur les rangs, mais on peut parier sans risques que les Russes et les Américains ne resteront pas inactifs. La France, avec Hadopi, est considérée par la plupart comme étant le beta test de ACTA ce qui lui donne une exposition mondiale, et motive les pirates de tous les pays.
Un peu partout dans le cahier des charges, on retrouve d’ailleurs cette crainte d’être la cible d’attaques informatiques, et certaines sont évoquées ça et là, laissant aux malheureux prestataires qui s’aventureraient à apporter une réponse le soin de palier au problème.
«l’application devra se protéger contre les différentes attaques qui ne manqueront pas de surgir contre elle- même. Elle devra détecter des logiciels de contournement, etc.» [...] «les mises à jour sont un problème crucial. Elles doivent être sécurisées et le service de mise à jour ne doit pas pouvoir être victime d’une attaque DDoS (déni de service distribué).»
Dans la mesure où l’on peut parier sur l’apparition de plusieurs solutions labellisées Hadopi, les failles seront nécessairement multiples, et les attaques faisant l’objet d’une compétition internationale, tout laisse à croire que l’année à venir sera riche en désagréables surprises pour les malheureux internautes apeurés qui auront installé un spyware Hadopi. Les sociétés ayant collaboré avec l’administration en charge de lister les internautes coupables de partage ne devraient pas être en reste non plus.
Le grand retour des DRM annoncé en filigrane
Plus surprenant, alors que ces derniers étaient censés avoir été définitivement abandonnés lors du vote de la loi Hadopi, le document fait allusion à plusieurs reprises au retour prochain des DRM. Les promesses n’engagent que ceux qui les écoutent, et il semble que l’abandon des DRM n’ait été au final qu’un carotte destiné à calmer la colère des opposants à la loi (sans grand succès).
« tant qu’il n’y a pas de DRM standard, ou de technologie d’identification de signature standard et largement développée, cette application n’appartient pas à cette catégorie [des logiciels antispam]« et plus loin : « Ce module [d’analye dynamique des flux] réalise en temps réel une analyse contextuelle et syntaxique des flux du contenu (sans analyser le contenu sémantique des fichiers, dans la mesure où ne sont pas analysés à ce jour les attributs de DRM ou les empreintes des contenus des fichiers légaux) »
Le rédacteur de ce document, le très controversé scientifique qui collabore avec la Haute Administration et qui est le principal détenteur (et potentiellement bénéficiaire) de brevets permettant de faire usage du Deep Packet Inspection pour filtrer le réseau français des contenus pirates, Michel Riguidel, semble bel et bien considérer que l’impossibilité de baser la technologie du spyware Hadopi sur les DRM n’est que temporaire, et qu’une version ultérieure pourrait tirer parti des DRM.
L’intégration des DRM au sein des dispositifs matériels, un vieux fantasme de l’industrie de la culture, ressurgit en France.
Une grande confusion de ce que l’on peut et ne pas faire avec du libre
La liberté (et le logiciel libre) n’est visiblement pas un concept bien maitrisé par l’Etat. Albanel avait déjà marqué l’histoire avec le firewall OpenOffice, Riguidel pourrait, pour les rares idiots le suivant à la lettre, mener devant un tribunal de nombreux développeurs. Commercialiser un logiciel fait à partir de composants ‘libres’ ne lui pose de toute évidence aucun problème.
« Les moyens peuvent être réalisés à partir de logiciels libres et/ou fonctionner sur des systèmes d’exploitation libres » et plus loin : « Lorsque l’application est sous la forme de composants installés dans les ordinateurs, les téléphones portables, les consoles de jeux, ces composants peuvent comporter des logiciels (propriétaires ou libres) qui peuvent être installés sur des systèmes d’exploitation propriétaires (de type Windows ou autres), ou bien sur des systèmes d’exploitation libres de type Unix ou Linux. »
Un spyware indétectable
Le spyware Hadopi devra contourner les antivirus et les anti spywares édités par les sociétés qui fournissent déjà, depuis belle lurette, des solutions de sécurisation. C’est un challenge supplémentaire, car ces derniers étant mis à jour régulièrement, et l’administration Française ne pouvant pas vraiment compter sur la collaboration des éditeurs de logiciels de sécurité internationaux, il est à prévoir qu’à chaque mise à jour d’un soft de chez Norton ou Kaspersky, il faille potentiellement mettre à jour le spyware Hadopi.
La encore, la multiplicité des offres de spywares labellisés Hadopi, des configurations matérielles, et des suites de sécurisations disponibles sur le marché, donne une idée tragi-comique de la cacophonie et de la panique qui s’emparera des utilisateurs, persuadé d’avoir été infectés par un Trojan, quand Norton confondra un spyware publicitaire faisant apparaitre des popups de façon intempestive, avec le système de surveillance des citoyens imposé par l’administration française.
Parler à Mme Michu
Tout spécialiste de la sécurité vous le confirmera, le problème réside la plupart du temps entre le clavier et l’écran. L’utilisateur, en particulier de nos jour où le PC est répandu dans tous les foyers, ne comprend la plupart du temps absolument rien à la technicité de l’outil qu’il utilise au quotidien.
Pourtant le cahier des charges du spyware Hadopi est clair : il faudra en cas de faille de sécurité détectée par le logiciel de surveillance, donner des indications claires sur la façon d’y remédier à l’utilisateur final.
«Simone, la configuration de votre routeur présente une faille de sécurité, veuillez fermer le port 6996 du routeur intégré à votre box ADSL»
Pas gagné. Sur ce point, Riguidel semble avouer son impuissance puisqu’aucune solution à ce jour pour communiquer en français courant avec Madame Michu n’est envisagée.
Les moyens de sécurisation préviennent l’utilisateur que les modes et les outils de communication utilisés (les URLs, les piles protocolaires, les ports, les adresses, etc.) sont potentiellement à risque. Une règle de sécurité se compose de :
- Une combinaison de notifications (bas et haut niveau) couplées au contexte dans lequel ces notifications ont été générées ;
- Une ou plusieurs actions qui permettent de corriger l’anomalie pointée du doigt par la règle ;
- Une description pédagogique permettant à tout utilisateur de comprendre l’anomalie pointée du doigt par la règle (et ce peu importe son niveau).
Ces règles doivent être écrites dans une norme commune à tous les fournisseurs des applications. Le format de ces règles reste encore à définir. Le langage est aussi à définir.
Une disparité des environnements qui donne le tournis
Particuliers, PME, grandes entreprises, cybercafés, lieux public… Windows 95, XP, Vista, Seven, MacOSX Tiger, Leopard, Snow Leopard, et une variété de systèmes libres… Si vous vous souvenez de vos cours de probabilités au lycée, on approche de l’infinie en terme de combinaisons possibles. Ajoutez à cela que le spyware Hadopi est censé détecter de façon automatisée, sans l’intervention d’un expert, l’environnement réseau dans lequel il est installé, qui lui aussi peut s’avérer d’une diversité infinie, et vous avez probablement ce qui fait que 99% de ces cas de figures ne trouveront pas de réponse, et qu’aucune entreprise ne va prendre le risque de développer un tel monstre pour une plateforme Linux sachant qu’elle n’en vendra que 3 exemplaires à des hackers qui s’empresseront de le décompiler.
Hadopi semble toutefois assez conscient de l’aberration à vouloir disposer de Spyware en mesure de s’adapter à toutes ces configurations, et se concentre à l’évidence sur un objectif à long terme : installer le spyware au cœur même de l’installation domestique, les box ADSL.
Les configurations sont également complexes et très variées, mais Hadopi fait le pari du long terme (c’est à dire de son existence même après 2012), et envisage : «l’ intégration aux boitiers adsl dans le cadre ‘d’un renouvellement complet du parc’» et plus loin : «on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc.»
Cerise sur le gâteau, TorrentFreak nous apprend ce matin que l’iPad et Android disposent désormais de leurs applications P2P, ajoutant à la multiplicité des configurations qui s’offrent au pirates pour télécharger (d’autant qu’Android sera vraisemblablement au cœur de la Google TV).
Orwell avait raison… ou pas.
Le logiciel étant prévu pour se mettre à jour automatiquement afin de regarder de plus en plus précisément tout ce qui se transmet au sein du foyer, on s’approche au plus près du cauchemar Orwellien d’un système de surveillance installé dans chaque foyer.
Comme les responsables de la Hadopi s’y attendaient, c’est un grand éclat de rire qui traverse en ce moment le monde des spécialistes de la sécurité informatique et des hackers, doublé d’un frisson d’effroi quant aux intentions Orwellienne révélées par ce cahier des charge.
Mais c’est également le départ d’une compétition internationale où une gloire mondiale attend les vainqueurs, car pour reprendre Cory Dotorow, la vision Orwellienne qui se lit dans la politique numérique de l’Etat Français se base sur une approche erronée des technologies.
Orwell percevait la technologie comme étant au service des puissants, et sur ce point, il avait fondamentalement tort (en même temps, l’ordinateur individuel n’était pas même imaginé à l’époque). Face à cette prédiction, s’oppose désormais une armée de l’ombre, prête à déferler sur les wanabe dictatures, et qui lui opposeront une résistance farouche.
voir également l’article de Numérama
30 juillet 2010 à 11:54
« Cerise sur le gâteau, TorrentFreak nous apprend ce matin que l’iPad et Android disposent désormais de leurs applications P2P »
C’est juste un accès à l’interface, les vraies applications de P2P sont payantes par contre.
Nan mais c’est collector ce truc, « vous n’êtes pas obligés de l’installer mais comme c’est fortement conseillé et que vous êtes un particulier, vous l’installerez sur toutes les machines* »
* versions de copie différente, et peut-être préinstallée sur Netbook (hahaha).
30 juillet 2010 à 11:58
Et si je chroot le bidule ? Si je l’enferme dans une machine virtuelle isolée du réseau ? Si j’utilise tout bètement une autre machine que celle faisant tourner le bidule ? Si par mégarde mon antivirus / firewall / anti-spyware / anti-possession démoniaque plombe le bidule ?
Petite info quel ingénieur avec un semblant de déontologie va accepter de travailer sur le bidule.
Une dernière en cas de problème (genre le bidule est un déploiement national de botnet) qui est responsable ?
30 juillet 2010 à 12:09
@UnChieurBarbu
Dans le doc, on trouve un passage sur l’utilisation par l’internaute de VPN crypté, ils semble bien être conscient des trous. Ceci dit, ‘chooter’ le bidule n’est pas à la porté de Madame Michu, le véritable enjeux désormais est d’offrir à Simone une solution pour lui permettre de préserver sa vie privée, quelque chose qu’elle puisse utiliser sans avoir besoin de passer une licence d’informatique au préalable…
Soyons clair, ceux qui maitrisent la technologie seront parfaitement à l’abri de tout ce bordel, le problème touche ceux qui n’y comprennent pas grand chose, c’est à dire la majorité des internautes français. C’est bien d’un problème fondamentalement démocratique auquel on fait face. L’élite, quelle soit financière, politique ou numérique, est au dessus des lois qui sont censé la gouverner, ce n’est pas nouveau.
30 juillet 2010 à 12:12
@UnChieurBarbu
Sinon, effectivement, une certaine déontologie liée au numérique est très répandue chez les ingénieurs et les geeks, ajoutée à l’auto régulation du groupe, cela ne va pas être évident de trouver des traitres, mais TMG a montré que c’était possible…
Pour ce qui est de la responsabilité en cas de détournement sous forme de botnet d’un spyware Hadopi, ce qui a toutes les chances d’arriver, je n’ai aucune idée des responsabilités, il faut demander cela à un juriste, mais comme les sites de l’Etat Français seront les premiers visés par ces botnets, il est probable que la justice soit rendue par ces même botnets, donc l’un dans l’autre, il n’y a pas forcément de quoi s’inquiéter…
30 juillet 2010 à 12:38
Merci pour vos réponses.
TMG a en effet prouvé que les traitres existent. Je doute fort de leurs chances de trouver un autre emploi dans le milieu avec ce type de références, le karma, la déontologie, les compétences, une telle entrée dans un CV n’est pas exactement un plus lors d’un recrutement…
Dans le même ordre d’idées : les pertes en réputation des fous qui oseraient proposer un tel logiciel seraient-elles de nature à limiter le nombre de réalisations ?
P.S. : J’ai décelé une étourderie? dans votre article, à ma connaissance il est parfaitement possible de vendre un logiciel libre : http://www.gnu.org/licenses/gpl-faq.html#DoesTheGPLAllowMoney
Merci encore
30 juillet 2010 à 12:53
Le libre va bien au delà du GPL, mais même dans ce cas, cela imposerait d’en redistribuer les sources ;-)
30 juillet 2010 à 13:05
Orwell a du se tordre de rire en voyant qu’il avait fondamentalement /tord/. Par contre, il aurait pu avoir tort effectivement ;)
30 juillet 2010 à 13:27
arg… corrigé ;-)
30 juillet 2010 à 14:02
/TMG à moins que TMG la joue IA3 (infernal affairs 3) infltrage en poupée russe et neutralise son action en jouant double.
« Traite » signifie retournement de veste, quels sont les éléments pour girouetter ?
30 juillet 2010 à 14:17
dans un climat de doutes et de suspicions, la stratégie de communication d’HADOPI est vraiment mal faite voir pas réfléchit du tout. il faudrait revoir ses classiques, les cibles ne sont plus les mêmes…
30 juillet 2010 à 14:19
Traitre à ce qu’il est communément admit d’accepter comme l’éthique du hacker, et par extension de ceux qui comprennent la techno, mais en effet, il ne s’agit pas tant de traitres que d’ennemis, il ne faut pas tout confondre, effectivement.
30 juillet 2010 à 14:21
La presence/invasion du mouchard pour surveiller les mechants dans tous les coins de la ville, voila le reve de nos nouvelles democraties. Bravo pour l’utilisation de l’argent public. Qui a parle de crise financiere? La France prospere, les droits humains fondamentaux, au premier rang desquels, la presomption d’innocence, en patissent.
30 juillet 2010 à 14:44
[quote]le problème réside la plupart du temps entre le clavier et l’écran[/quote]
On dit « entre la chaise et le clavier ». La blague est tombée à l’eau pour le coup
30 juillet 2010 à 15:01
fabrice, concernant le cryptage VPN, il semblerai que tous les fournisseurs soient déjà passés à un système de cryptage plus puissance: l’OPEN VPN. cela signifie, encore une fois, que la technologie aura toujours un temps d’avance. ca ne sert donc à rien de toujours vouloir s’acharner sur des vieux business model…
30 juillet 2010 à 15:11
Yep, openVPN est la voie à suivre, ce qui disqualifie pas mal des offres actuelles. Ceci dit, il faut également que la boite qui propose tout cela soit en mesure d’offrir un qualité de service à la hauteur, et là, il s’agit de connecter une meute d’ados qui téléchargent, il faut une infrastructure de malade mental que bien peu pour l’instant sont en mesure d’offrir. Cela devrait changer rapidement ceci dit…
30 juillet 2010 à 15:12
Il y a en effet de quoi rire
Mémé Hadopi a fait quelques progrès depuis le fameux «firewall d’Office»
Il reste néanmoins de multiples lacunes
(1) OS virtualisés
(2) Obligation de garantie de l’usine à gaz de «sécurisation»
(3) Le risque financier que prendront les fournisseurs de telles applications (Indemnités dues en cas de perte d’exploitation due à une défaillance du biduale «SFH»
Extrait du document – Exemple Journal
Jeudi Mai 20 12 : 30 : 48 2010 : Mise en marche du logiciel
Jeudi Mai 20 12 : 30 : 49 2010 : Lance l’Écoute de l’interface : \Device\NPF_{A0160E28-0054-4824-
BB02-3658DA127EAB} 0 : c : 29 : f8
Jeudi Mai 20 12 : 30 : 50 2010 : Rapport (Signale programme sur liste grise : aMule)
Jeudi Mai 20 12 : 30 : 50 2010 : Notification programme sur liste grise aMule lancée
Jeudi Mai 20 12 : 30 : 50 2010 : Rapport (Signale programme sur liste grise : eMule)
Jeudi Mai 20 12 : 30 : 50 2010 : Notification programme sur liste grise eMule lancée
Jeudi Mai 20 12 : 30 : 52 2010 : Continue malgré Notification : programme sur liste grise : eMule
Jeudi Mai 20 12 : 30 : 53 2010 : Continue malgré Notification : programme sur liste grise : aMule
Détection
des
programmes
sur Liste
grise
Jeudi Mai 20 12 : 42 : 50 2010 : Changement de profil : Admin + 19h00-22h00
Jeudi Mai 20 12 : 44 : 09 2010 : Rapport (Signale hors de la plage horaire : 19h00-22h00)
Jeudi Mai 20 12 : 44 : 09 2010 : Notification heure hors plage horaire lancée
Jeudi Mai 20 12 : 44 : 57 2010 : Arrête après Notification : heure : hors plage horaire
Jeudi Mai 20 12 : 44 : 58 2010 : Bloque les connexions
Jeudi Mai 20 12 : 49 : 02 2010 : Changement de profil : Admin + 12h00-17h00
Jeudi Mai 20 12 : 49 : 03 2010 : Débloque les connexions
Plage
horaire non
respectée
Jeudi Mai 20 13 : 29 : 28 2010 : Rapport (Signale site sur liste grise)
Jeudi Mai 20 13 : 29 : 28 2010 : Notification site sur liste grise lancée
Jeudi Mai 20 13 : 29 : 28 2010 : Rapport (Signale site sur liste grise)
Jeudi Mai 20 13 : 29 : 29 2010 : Rapport (Signale site sur liste grise)
Jeudi Mai 20 13 : 29 : 30 2010 : Rapport (Signale site sur liste grise)
Sites sur
Liste grise
Jeudi Mai 20 14 : 12 : 56 2010 : Rapport (Signale connexion ed2k)
Jeudi Mai 20 14 : 12 : 59 2010 : Notification connexion ed2k lancée
Jeudi Mai 20 14 : 13 : 03 2010 : Arrête après Notification : connexion ed2k
Jeudi Mai 20 14 : 13 : 03 2010 : Connexion bloquée : ed2k
Jeudi Mai 20 14 : 32 : 27 2010 : Rapport (Signale connexion ed2k)
Jeudi Mai 20 14 : 32 : 28 2010 : Notification connexion ed2k lancée
Jeudi Mai 20 14 : 13 : 03 2010 : Continue après Notification : connexion ed2k
Jeudi Mai 20 14 : 22 : 27 2010 : Rapport (Signale connexion ed2k)
Jeudi Mai 20 14 : 22 : 57 2010 : Rapport (Signale connexion ed2k
Jeudi Mai 20 14 : 23 : 27 2010 : Rapport (Signale connexion ed2k)
Jeudi Mai 20 14 : 23 : 57 2010 : Rapport (Signale connexion ed2k)
Jeudi Mai 20 14 : 24 : 27 2010 : Rapport (Signale connexion ed2k)
Jeudi Mai 20 14 : 24 : 57 2010 : Rapport (Signale connexion ed2k)
Jeudi Mai 20 14 : 25 : 27 2010 : Rapport (Signale connexion ed2k)
Connexion
P2P
Jeudi Mai 20 14 : 25 : 32 2010 : Désactivation du logiciel
Jeudi Mai 20 18 : 41 : 28 2010 : Réactivation du logiciel
Pause
Jeudi Mai 20 18 : 41 : 28 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00)
Jeudi Mai 20 18 : 41 : 29 2010 : Notification heure hors plage horaire lancée
Jeudi Mai 20 18 : 41 : 29 2010 : Continue après Notification : heure : hors plage horaire
Jeudi Mai 20 18 : 41 : 19 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00)
Jeudi Mai 20 18 : 41 : 49 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00)
Jeudi Mai 20 18 : 42 : 19 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00)
Jeudi Mai 20 18 : 42 : 49 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00)
Jeudi Mai 20 18 : 43 : 19 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00)
Jeudi Mai 20 18 : 43 : 49 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00)
Jeudi Mai 20 18 : 44 : 12 2010 : Changement de profil : Admin + 12h00-22h00
Plage
horaire,
après Pause
Jeudi Mai 20 18 : 46 : 36 2010 : Rapport (Signale streaming vidéo)
Jeudi Mai 20 18 : 46 : 37 2010 : Notification streaming vidéo lancée
Jeudi Mai 20 18 : 46 : 40 2010 : Continue après Notification : streaming vidéo
Jeudi Mai 20 18 : 47 : 40 2010 : Rapport (Signale streaming vidéo)
Jeudi Mai 20 18 : 48 : 40 2010 : Rapport (Signale streaming vidéo)
Jeudi Mai 20 18 : 49 : 40 2010 : Rapport (Signale streaming vidéo)
Jeudi Mai 20 18 : 50 : 40 2010 : Rapport (Signale streaming vidéo)
Jeudi Mai 20 18 : 51 : 40 2010 : Rapport (Signale streaming vidéo)
Jeudi Mai 20 18 : 52 : 40 2010 : Rapport (Signale streaming vidéo)
Jeudi Mai 20 18 : 53 : 40 2010 : Rapport (Signale streaming vidéo)
Streaming
Jeudi Mai 20 18 : 54 : 48 2010 : Mise en veille du logiciel
Regardez bien les dates !
Conclusion
Casse toi pauvre conne, ton bidule ne marchera jamais.
30 juillet 2010 à 15:17
Je n’ai rien repéré sur les indemnités éventuelles en cas de défaut de sécurisation du logiciel de sécurisation et de son détournement à des fins qui causeraient des dégats… Je crois qu’on est dans un flou juridique pour l’instant… Tu as vu quelque chose à ce propos dans le cahier des charges ?
30 juillet 2010 à 16:24
@Fabrice Epelboin
Je n’ai pas eu le temps d’éplucher le torchon (j’ai un taff, une banque à nourrir, une pizza quotidienne à gagner…) J’ai juste parcouru les analyses et la table des matières, je me met à ça ce soir ou demain. De ce que j’en retiens le doc est assez complet, mais vise un peu à appâter les boites susceptibles de se lancer dans l’aventure. Ne pas mentionner les détails qui fâchent à ce stade des choses est plutôt de bonne guerre… Ça sera utilisé comme moyen de virer les « parasites » comme le cas typique du logiciel libre associatif (nan, j’ai pas dis « april ») un niveau d’exigences financières élevé sera peut-être utilisé pour créer un ticket d’entrée (genre si vous assumez pas sur les dommages pas la peine de demander le label)
Les fonctionnalités requises sont exorbitantes, ça ressemble beaucoup trop au « trusted comuting » à mon goût. On voit poindre l’identification de logiciels par signature ou par comportement, je crois me souvenir qu’au début 2009 il avait été question d’une liste blanche de logiciels internet (on en retrouve la trace) L’analyse des contenus et les listes blanches/noires sont également de retour.
Qu’est que c’est que ce logiciel qui se met à jour sans le consentement de l’administrateur ? C’est un _expert_ qui ose nous sortir ça ? Et si j’utilise une bibliothèque hors d’age ou modifiée (libc par exemple ;-)) ça n’est pas sérieux…
Autre « gag » : _Un an_ de logs ? En double ? Ils ne veulent pas un peu d’espace dans ma penderie tant qu’ils y sont ?
Conclusion : mauvaise loi, expert partiel, Haute autorité aux ordres. Tout candidat qui promet l’abrogation du bidule remporte un vote d’adhésion massif des populations concernées en 2012. Dommage que la cible geek/technophile ne soit pas mieux identifiée par les candidats, mais ça peu changer.
Question : pour qui vont voter les quelques déconnectés de la période 09/2010 06/2012 ? à 125 000 dossiers jours, ça en fait du monde.
C’est pour ça qu’il n’y aura pas de déconnexions massives : l’armaguédon électoral (et commercial) prévisible.
PS
à propos des « traitres » des gens avec les compétences nécessaires pour _industrialiser_ le processus de TMG (sondes menteuses edk/kad/torrent) ont nécessairement un bon niveau. Soit ces gens là ignorent tout des usages du métier et de l’éthique qui les accompagne, soit ils s’assoient dessus… Dans le premier cas il faudra me dire comment ils ont obtenu ces compétences, dans le second cas ça ne présage rien de bon pour la loyauté des relevés TMG. Quoi qu’il en soit le mot avait bien référence à l’éthique usuelle de notre profession (informatique/systèmes d’information).
30 juillet 2010 à 16:28
N’hésitez pas à revenir nous faire part de vos impressions une fois que vous aurez analysé en profondeur tout cela ;-)
30 juillet 2010 à 18:59
Amusant
INSTALLATION
Il est nécessaire d’être administrateur pour installer le logiciel. Certains
composants du logiciel seront signés électroniquement. L’installation sera
automatique pour une configuration standard. L’intervention manuelle sera minimale
pour utiliser des profils. À l’installation, un couple de clés de cryptographie
asymétrique est mis en place, la clé publique pour le titulaire, une clé privée,
conservée par un tiers de confiance.
Donc une clé par occurrence d’installation de l’application SFH.
Qui va générer les clés et qui va être le tiers de confiance ?
Mais (Source Wikipédia)
La loi française du 21 juin 2004, qui a transposé la directive européenne sur le commerce électronique, ne parle pas de tiers de confiance. Elle mentionne le certificat électronique, au sujet des préjudices subis par les personnes qui se sont fiées raisonnablement aux certificats présentés par les « prestataires de services de certification », dans les cas indiqués à l’article 33. Elle ne définit pas ce que sont les responsabilités des différentes catégories de prestataires de services électroniques.
Différence de traitement
Au delà de vingt postes, la brave Mémé Hadopi jette l’éponge et botte en touche.
SITES AVEC UN NOMBRE ELEVE D’UTILISATEURS
Pour les organisations et entreprises, les moyens de sécurisation peuvent se
présenter sous la forme de sondes (analyseur de protocoles) sur le réseau de
l’organisation, gérées sur une station de supervision de réseau, opérée par le
responsable de sécurité de l’établissement. Ce sont des systèmes où les postes des
utilisateurs ne sont pas concernés. Le responsable de sécurité, ou l’ingénieur
réseau, supervise le trafic et les flux en examinant de manière passive les
indicateurs des sondes branchées sur le réseau. Il peut détecter statistiquement si
un employé fait un usage intempestif de l’internet, s’il utilise de manière abusive les
ressources informatiques pour son propre compte, s’il fait du téléchargement, dans
les limites des lois applicables.
Pour ces sites, les moyens de sécurisation doivent savoir gérer les serveurs qui
gèrent des multiutilisateurs et des multisessions.
Sur les systèmes d’information de plus de 20 personnes, les dispositifs de type
SFH existent déjà, de plusieurs sortes et de plusieurs origines (français, européens
et autres). Pour les Grands Groupes, ce sont souvent des systèmes ad hoc, intégrés
à leur système de sécurité.
Super Mémé Hadopi
LES SPECIFICITES DE SFH
Une application conforme à SFH doit emprunter des fonctionnalités aux
différentes catégories de produits existants, décrits ci-dessus. En effet, une
application conforme est :
1 Un pare-feu mais avec une reconnaissance plus fine des
protocoles applicatifs observés.
2 Un contrôle parental, sauf que ce n’est pas un parent mais un
titulaire de l’abonnement qui est responsable et qui peut définir des
profils pour réguler l’utilisation de l’Internet dans son foyer. Par
ailleurs, une application SFH ne journalisera pas d’historique de
navigation.
3 Un antivirus car l’application devra se protéger contre les
différentes attaques qui ne manqueront pas de surgir contre ellemême.
Elle devra détecter des logiciels de contournement, etc.
4 Un antispam : tant qu’il n’y a pas de DRM standard, ou de
technologie d’identification de signature standard et largement
développée, cette application n’appartient pas à cette catégorie.
30 juillet 2010 à 22:03
Tu sais ce qu’elle te dit, Mâme Michu ? Elle est bien contente que le spyware Hadopi ait fuité en à peine deux jours ! Mâme Michu, presque elle comprend tout
30 juillet 2010 à 22:45
Et ça va donner quoi avec la 4 – 5G ? Car je pense que les gens téléchargeront majoritairement par ce biais non dans le futur proche …
30 juillet 2010 à 22:48
Sur le plan technique, on peut juger est c’est assez minable l’Hadopi.
Par contre sur le plan juridique amha là est le véritable piège peu distingué par les pro de la technique ( il faut aller chez maitre eolas pour des compléments).
Les tracasserie juridiques et administratives peuvent être une véritable plaie.
ça m’étonnerait pas qu’on assiste à de véritable bagarres sur ce plan et beaucoup sont concernés (même le logiciel libre a déjà été amené à aller en justice pour non respect de licence (GPL si mes souvenir sont bon)).
On risque dans le futur, même pour les pro de la technique, à subir ces tracasseries même en étant inattaquable, la mauvaise foi peut parfaitement servir à défaut, ça se voit souvent contre des particuliers et des institutions.
Au fait vous aurez remarqué combien d’acteurs de l’élite sont eux même issus de la filière droit (Avocat etc) ou ont les moyens de se payer les meilleurs juristes.
Dans certains cas qui n’ont encore rien à voir avec Hadopi, mais l’histoire en ce domaine fait peur, certains ont laissé des plumes avec les tracasseries juridiques.
Je ne sais pas si c’est vrai mais on raconte que dans de grosses affaires apparemment sans commune mesure avec Hadopi certains auraient même eu leur affaire gagnée qu’après des années voire même à titre posthume.
Sur ce plan là Hadopi lui aussi peut se révéler une « bonne petite épine dans le pied » ou dans sa vie tout court, ça devrait faire réfléchir en tout cas…
30 juillet 2010 à 23:43
Rassurez-vous, les anti Hadopi ont de très nombreuses connexions avec le monde des avocats et de la justice en général. Vous trouverez même dans ce blog des articles écrits par différents juristes de renom au sujet d’Hadopi. On est fin prêt sur ce terrain là. La FDN est même carrément passé à l’offensive sur le terrain juridique il y a peu ;-)
31 juillet 2010 à 2:49
Bonsoir, merci pour l’article!
Je voulais juste réagir concernant les remarques sur les éventuels ingénieurs « renégats » qui travailleraient à l’implémentation… personnellement je pense qu’il y en aura plus que vous ne pensez. Pour la raison principale que refuser un job est un luxe que pas tout le monde peut se permettre… et pour les mêmes raisons également que des ingénieurs travaillent dans le développent de l’armement (une grande partie a pourtant signé le serment d’Archimède ou ses équivalents).
Bon je vois plutôt ces mêmes ingénieurs fournir les infos ou les outils pour exploiter des failles du système par la suite…
31 juillet 2010 à 8:59
Je ne doute absolument pas de la capacité des anti Haopi à pouvoir se défendre aussi sur le plan juridique.
Ce que je déplore c’est « l’extension du domaine de la lutte », selon moi dans une guerre personne n’y gagne y compris celui qui a raison (énergie, argent, talent etc gaspillé dans l’effort de guerre). c’est pour ça qu’il y a une stratégie je pense pour amener tout le monde sur ce terrain, sur ce terrain vicieux une forme de PIB se cache (ça s’est vu aux états unis où la judiciarisation occupe des armadas d’avocats).
La guerre c’est ce que veulent des espèces de « neo con », quand je vois le canon comme image d’illustration de l’article j’ai des sentiments mitigés…le système est conçu justement pour les marchands de canon ( et malheureusement il risque d’avoir de la chair canon)
Il faut aussi noter les propos de Philippe Bilger qui a le même type d’intuition:
http://www.atelierdesmedias.org/France-Info-fil-rouge-et-grille-des-programmes_a103.html
Nous sommes en train d’assister à une judiciarisation subtile de la pensée et aussi de pas mal d’autres de nos activités qui nécessiterait qu’on y consacre nos forces sans « dérivation », et en fait nous y sommes subtilement contraint même si nous pouvons dans cette guerre là apprendre à nous défendre…
31 juillet 2010 à 10:07
Aspects Procéduraux
Je viens de relire le billet de Me Eolas http://www.maitre-eolas.fr/?q=hadopi du 29 juin 2010.
Les coupures sont loin d’être mises en application.
En résumé – Sic
«Mais le défaut de sécurisation de l’accès n’est pas une exception, c’est un élément constitutif. Au parquet de le prouver.»
«Comment cette preuve pourra-t-elle être rapportée ? En diligentant une enquête de police voire une instruction avec expertise. Lourd et coûteux, et aux antipodes de la logique de la loi qui voulait une machine à suspendre les abonnements. Ou à travers les auditions des abonnés concernés par la CPD, mais cette audition n’a lieu qu’à la demande de l’intéressé (art. L. 331-21-1 du CPI).»
Et pendant ce temps là l’émérite Riguidel patauge
31 juillet 2010 à 11:59
Ils inventent le logiciel FACULTATOIRE, facultatif mais obligatoire. Comment ne pas l’installer : En se passant désormais d’Internet !!!!!!!!! Les masques viennent de tomber. Maintenant le voile est levé sur les véritables intentions de l’HADOPI : Il n’a jamais été question de protéger la culture, mais de surveiller les internautes ! Il conviendra de remercier celles et ceux qui ont contribué à la plus vaste opération de surveillance généralisée jamais mise en place dans un pays autrefois patrie des droits de l’Homme et de la liberté.
31 juillet 2010 à 12:07
La plus vaste opération de surveillance jamais mise en place ?
Je ne crois pas, du moins, pas encore… La France a fait bien pire que cela, il lui reste encore du chemin pour battre ses précédents records, mais tous les espoirs sont permis ;-)
31 juillet 2010 à 16:42
Ah oui à propos de « l’émérite Riguidel qui patauge »:
http://www.agoravox.fr/actualites/citoyennete/article/hadopi-une-consultation-publique-79120
01 août 2010 à 18:17
Ma contribution à l’analyse de ces spécifications qui ont fuité : http://blog.rom1v.com/2010/08/le-logiciel-hadopi-est-impossible/
02 août 2010 à 0:40
Bien vu ®om
Placardage de L’émérite Riguidel Ridicule
Et pour faire people
Marais et Riguidel – Nouvel série de «Un Gars – Une fille»
11 août 2010 à 19:44
Je me permets de signaler que les ingénieurs ne bosseront pas volontairement dessus, ils ont effectivement, une morale.
Mais une fois que les contrats auront été signés par les commerciaux (qui eux n’en ont pas tant qu’il y’a de l’argent qui rentre), nos chers ingénieurs/dev/architecte et autre n’auront pas d’autre choix que de développer le bousin …
J’avoue qu’il est probable qu’ils n’y mettent pas forcement de la bonne volonté ou qu’il truffent volontairement le truc de backdoors.
Cheers,
24 août 2010 à 16:13
« laissant aux malheureux prestataires qui s’aventureraient à apporter une réponse le soin de palier au problème » : pallier le problème.