14 février 2012

Le rapport Znaty sur Hadopi et TMG

La Hadopi vient de rendre public sur son site internet, le rapport d'expertise privé qu'elle a commandé à mon confrère David Znaty.

J'en suis heureux, car j'avais demandé le 30 décembre 2011 sur Twitter à M. Eric Walter, secrétaire général de la Hadopi, s'il était possible d'avoir accès au rapport de M. Znaty. Celui-ci m'avait gentiment répondu comme le montre ce petit échange, mais sans donner suite:


En tout cas, le rapport est maintenant disponible et je l'ai dévoré avec beaucoup d'intérêts. Je me permets de faire quelques remarques, à chaud, et en tant que citoyen:

- il s'agit d'un rapport d'expertise privé, et non d'un rapport d'expertise judiciaire demandé par la justice.

Un expert ayant le titre protégé "d'expert judiciaire près la Cour d'Appel de Paris", et celui "d'expert judiciaire près la Cour de Cassation" peut réaliser des expertises demandées par une partie. Ce travail peut être joint aux documents déposés par la partie au procès, mais le juge peut demander une expertise, contradictoire celle-ci, qui sera cette fois revêtue du sceau "d'expertise judiciaire".

Mon confrère David Znaty étant agréé auprès des plus hautes Cours de France, j'ai parfaitement confiance en sa capacité de suivre les règles déontologiques des experts judiciaires, et en particulier la 6ème: "L'expert doit remplir sa mission avec impartialité. Il doit procéder avec dignité et correction en faisant abstraction de toute opinion subjective, de ses goûts ou de ses relations avec des tiers."

C'est pour cela que ce rapport m'intéresse tant, car il va répondre à un certain nombre de questions que je me pose sur les moyens techniques utilisés par Hadopi.

- 1ère déception: le rapport de 29 pages n'est pas publié avec ses annexes.

Dès qu'un point devient très technique dans le rapport, l'expert renvoie à la lecture d'une annexe contenant les détails techniques intéressants. En particulier, dans le cas présent, les algorithmes de calculs des empreintes numériques et la collecte des adresses IP... Cela vide particulièrement l'intérêt de ce rapport. Après une petite recherche sur internet, il semblerait que les annexes soient gardées dans un coffre de la Hadopi pour être présentées dans le cadre d'un procès à la demande du juge ou de l'expert qu'il aura désigné. Frustrant. Il va falloir attendre un procès où l'internaute mis en cause mettra en ligne toutes ces informations (ce qui ne manquera pas d'arriver). La transparence a des limites.

- Les missions confiées par la Hadopi à M. Znaty concernent a méthode utilisée pour créer l'empreinte numérique d'une œuvre, la comparaison de cette empreinte avec l’œuvre originale, le processus de collecte des adresses IP, les processus entre les différents acteurs.

Il ne s'agit donc pas de remettre en cause le fait que l'internaute est responsable de la sécurisation de son accès internet, clef de voute de la riposte graduée. Si vous n'êtes pas capable de prouver que vous avez déployé l'état de l'art en matière de surveillance de votre propre accès internet, ET que votre adresse IP est flashée par Hadopi en lien avec un téléchargement illégal, le titulaire de l'abonnement est coupable.

- la première partie du rapport décrit de manière particulièrement succincte les réunions effectuées chez les différents acteurs du processus.

Je suis surpris de n'avoir que finalement assez peu d'informations: seuls quelques noms de sociétés (par exemple ALPA, Gaumont, Pathé, SCPP, SACEM, SPPF, TMG...) sont cités. Les deux principales sociétés impliquées dans les algorithmes de création d'empreintes numériques sont cachées derrières les deux acronymes inventés FPA et FPM.

Les informations intéressantes ont été reportées dans les annexes... confidentielles. Dommage.

- le secret des algorithmes.

L'expert mentionne dans son rapport (bas page 17): "FPA n'a pas souhaité, tout comme FPM, exposer son savoir faire".

Puis, page 23, dans sa réponse aux questions qui font l'objet de sa mission, il écrit "Pour répondre à cette partie de la mission et compte tenu du fait que FPM et FPA ont refusé de dévoiler leur savoir faire, je me suis attaché à vérifier la robustesse de leurs méthodes par les exposés qui m'ont été faits (cas pour FPA) et par un complément de test dans le cas de FPM (cf. Annexes 2.2.1 et 2.2.2)".

Là, je dois dire que je tique un peu. Comment peut-on apporter un avis indépendant quand celui-ci n'est basé que sur les affirmations des entreprises, celles-ci se retranchant derrière le sceau du secret?

- Les faux positifs.

Sans être moi même un mathématicien hors pair, je sais qu'il n'est pas possible d'affirmer une règle en ayant simplement effectué quelques essais. Je suis très réservé sur les tests qui montrent la robustesse des algorithmes et en particulier sur le côté péremptoire de la conclusion du bas de la page 24: "les algorithmes de calcul d'empreintes de FPA sont robustes et garantissent la non existence de faux positifs".

Idem pour la conclusion de la page 25: "les algorithmes de comparaison d'empreintes de FPA et les algorithmes de comparaison d'empreintes de FPM sont robustes et garantissent la non existence de faux positifs".

Je rappelle qu'en informatique, on appelle robustesse la capacité d’un programme informatique à fonctionner dans des conditions non nominales, comme les erreurs de saisie, etc.

- Collecte des adresses IP: rien sur les fichiers fakes.

J'utilise à titre personnel pas mal les réseaux P2P pour permettre le partage de fichiers ISO de distributions GNU/Linux, BSD et en particulier d'anciennes versions de logiciels open source. Je reste un partisan du logiciel Emule et je gère une base de partage assez importante.

Il m'arrive, lorsque je cherche une distribution un peu rare, de télécharger un fichier sur les réseaux P2P, puis de me rendre compte que les informations à ma disposition étaient erronées (souvent le nom du fichier): pensant télécharger une distribution Yggdrasil, je me retrouve avec une copie d'un film pornographique, de très belle facture certes, mais très loin de l'objet désiré. Il y a plusieurs parades pour cela, mais pendant quelques minutes, voire quelques heures, j'ai malgré moi partagé un fichier illicite (à l'insu de mon plein gré) avant de me rendre compte du problème et de supprimer le fichier de mon disque dur.


CONCLUSION:
Ce rapport me fait me poser beaucoup plus de questions, principalement à cause des annexes gardées confidentielles. C'est dommage, d'autant plus que ces annexes seront probablement rendues publiques lors des procès qui auront lieu sous peu.

12 commentaires:

  1. Sur http://korben.info/methode-tmg.html, il semble qu'une version non amputée des annexes existent. Est ce vrai où Korben ne fait que prendre les infos du rapport que vous avez aussi lu ?

    RépondreSupprimer
  2. Dans quelle mesure les annexes du rapport commandé par une autorité administrative ne pourrai pas être obtenu ?

    Une requête auprès de la CADA devrait suffire non ?

    RépondreSupprimer
  3. @Anonyme: Les annexes sont confidentielles et n'ont pas été publiées. Ce que signale Korben, c'est que le rapport publié aurait du être caviardé sur certains points ce qui n'a pas été fait (oups), révélant ainsi des détails qui auraient du être masqués.

    Voir plus de détails ici

    RépondreSupprimer
  4. @Ze: Sur le site de la CADA: "La loi prévoit toutefois quelques restrictions au droit d’accès, nécessaires pour préserver l’intérêt général et se concilier avec le respect de la vie privée et de la concurrence lié au secret des affaires."

    RépondreSupprimer
  5. ca veut dire que si quelqu'un pirate ma box internet pendant que je suis en vacances je suis coupable ?

    RépondreSupprimer
  6. Mais bien sur que t'es coupable
    et t'a aucun moyen de te defendre

    mais bon si t'a securise en WPA2 AES
    et que ton password n'est pas dans un dictionnaire ou qu'il n'y a pas d'exploit
    permetant de generer le mot de pass a partir de l'indentifient SSID
    et que t'a desactive le WPS
    on peut dire que t'es securise et que personnne au monde peut pirater ta box

    RépondreSupprimer
  7. @anonyme "on peut dire que t'es securise et que personnne au monde peut pirater ta box"

    Il ne faut jamais dire jamais. Surtout en matière de cassage de cryptages et autres joyeusetés informatiques.

    Même par des moyens détournés tout est possible.

    Fishing, brute force, man in the middle, ... autant d'outils à disposition pour compromettre quelqu'un.

    RépondreSupprimer
  8. Bonjour à tous.

    tout d'abord bravo à zythom pour la qualité de son blog (et de son article dans misc :D).
    Juste une question peut-être idiote mais : je télécharge un fichier qui s’avère être un film (ripper ou screener par des mecs hein c'est ptet eux qu'ils faudraient attaquer...). leur magnifique algo leur permet de dire que depuis mon IP publique de ma box (par exemple) j'ai dl ce fichier. c'est juste suffisant pour être poursuivi? ne leur faut-il pas une preuve que je possède le fichier? genre saisi des disques puis analyse?
    si ils ne leur faut de preuve c'est dure à accepter je trouve. et si ils leur en faut c'est drôle :D
    une question subsidiaire : si vous tombez sur un disque chiffré le propriétaire doit-il vous fournir le mot de passe associé?

    RépondreSupprimer
  9. @Anonyme: Relisez bien le texte de la loi Hadopi et les articles parus depuis sa promulgation: seul le téléchargement est flashé et pris en compte, puisque vous êtes responsable de la sécurisation de votre ligne. Vous avez un 1er avertissement, puis un 2e et ensuite une convocation pour expliquer pourquoi le téléchargement illégal continue. Ensuite c'est le procès.

    A aucun moment n'est demandé le contenu d'un disque dur.

    C'est beau hein?

    RépondreSupprimer
  10. @Anonyme: Pour votre question subsidiaire, je précise qu'un utilisateur n'est pas obligé de fournir son mot de passe, mais devra expliquer au magistrat pourquoi il ne le fournit pas.

    C'est aussi tout l'intérêt des containers TrueCrypt à double mots de passe.

    Mais pour bien cacher des données, il faut quand même être très très prudent, car il y a beaucoup de moyens de trouver un mot de passe... ou pas ;-)

    RépondreSupprimer
  11. @zythom
    Merci de ces précisions. C'est bien ce que je me disais.
    En gros on peut télécharger illégalement jusqu'au 2eme avertissement tranquillement... La France est un pays magnifique...
    sinon pour les disques chiffrés, si le mot de passe associé fait plus de 14 caractères alphanumériques et spéciaux et que le gars derrière est pas assez stupide pour mettre le meme mdp pour son cpt facebook ça peut devenir super long à trouver... qui plus est en imbriqué et avec des clés un peu longues :D (et oui je pensais à TrueCrypt qui fonctionne très bien)

    @le mec qui par en vacance
    éteignez votre box vos petits enfant pourront peut-etre skier à moins de 3000 metre :D sinon désactiver le wifi est quand même la meilleure solution non?

    RépondreSupprimer
  12. Mince j'en ai oublié une : je sécurise mon accès je suis un fou je me connecte entre 18h et 20h avec un câble utp 6e depuis un lynx sur ma dernière openbsd! mais mon colloc adoré dl des torrents de films piratés!!!!
    je suis le propriétaire de la ligne, je suis responsable je vais en prison. oui mais c'est mon colloc...
    En tout cas ce qui m’énervent c'est qu'une fois de plus on dépense l'argent du contribuable dans de la merde (si si...), vu le travail des magistrats je ne pense pas qu'il fasse encombrer les tribunaux avec un mec qui dl le dernier navet bollywood en screener...

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.