Controverse, HADOPI

Entretien téléphonique avec E.Filliol

Entretien téléphonique du 5 Mars 2010,

Défenseur ou opposant à la loi : “c’est la loi la plus stupide pour un vrai problème”

Fonction-origine : expert français en sécurité informatique spécialisé dans la cryptologie symétrique et plus particulièrement la cryptanalyse, ainsi qu'en virologie informatique opérationnelle. Il est lieutenant-colonel de l'armée de Terre française.

Date d’entrée dans la controverse : automne 2009

Voie/raison d’entrée dans la controverse : concepteur d’un logiciel de cryptographie (Perseus) qui devient malgré ses auteurs un outils anti-Hadopi

Mot clé du discours : sécurité nationale

Documents (écrits, cités, liés) :

http://www.pcinpact.com/actu/news/53925-perseus-extension-firefox-securite-http.htm
http://tempsreel.nouvelobs.com/actualites/vu_sur_le_web/20091031.OBS6408/lhadopi_menacee_par_la_technologie_perseus.html

Sous controverses abordées :

preuve numérique
contournements
marché de la culture
débat
adresse IP
fracture numérique
conséquences en terme de liberté, d’anonymat...

Positions dégagées : le piratage est un vrai problème car c’est du vol mais le modèle de création actuel n’est plus adapté. Il faudrait donc le changer, sans diaboliser les internautes, mais en les sensibilisant. Hadopi est une réponse mauvaise et très dangereuse sous beaucoup d’aspects fondamentaux. Elle est de plus difficile à mettre vraiment en place mais aura des conséquences importantes notamment sur les libertés (statut et protection de l’adresse IP particulièrement). Le débat n’a pas eu lieu car il a été trop rapide et des acteurs n’ont pas pu y prendre part.

Compte rendu :

Bonjour, merci de nous répondre, nous vous contactons après avoir lu votre nom associé à la sortie du logiciel Perseus vu comme un outil anti-Hadopi. A partir de quand et comment avez-vous été mêlé au dossier ?

(dans la presse :« quand nous avons développé Perseus, nous n'avons pas du tout pensé à Hadopi. Notre but était de protéger les communications privées contre les attaques malveillantes. Mais il est vrai que cette technologie est un peu en train de nous échapper”)

A la base Perseus avait pour but de protéger les communications des écoutes indésirables. Les botnets (spam...) mais aussi celle d’un journaliste en Chine ou celle d’un industriel français en Israël ou aux Etats-Unis voulant envoyer discrètement des informations à sa maison mère.
La problématique était de sécuriser un flux sans enfreindre les lois sur la cryptographie et sans que cela ne ressemble à de la cryptographie (très vite surveillée dans des pays comme la Chine). Il s’agissait donc de faire en sorte que le flux ne ressemble pas à un flux crypté et de le noyer dans les autres flux (=steganographie).

Des gens ont tout de suite (on n’y avait pas du tout pensé) pensé à son utilisation contre HADOPI. Cependant, on n’a aucune information sur la manière dont va fonctionné cette loi. On ne sait pas vraiment ce qui va être surveillé. Va-t-on mettre une dérivation à la source, c’est-à-dire au niveau des fournisseurs d’accès à internet? Va-t-on pister les sites via l’adresse IP ? Nous avons été très gênés que Perseus soit résumé à une solution pour aider les pirates même s’il y a de toutes façons d’autres moyens de contrôles et de détournement.

Le téléchargement est un vol contre lequel il faut donc lutter mais le problème est qu’Hadopi est la plus stupide des solution à un vrai problème.

Comment va-t-on contrôler les adresses Ip des Sénateurs et des députés ?

Si c’est l’Ip qui est utilisée, que le flux soit crypté ou pas elle reste détectable. Comment empêchez vous le piratage depuis un cybercafé, une école d’ingénieur ou une université ?
Il va donc falloir impliquer les FAI. Mais vont-il jouer le jeu, ils semblent qu’ils soient très retissants à faire un travail de police. Il va donc y avoir création d’une fracture entre ceux qui savent contourner et les autres. Et comment contrôler le P2P ? Le vrai problème est celui de ceux qui mettent à disposition les fichiers. On observe donc une clandestinisation du net.

N'y-a-t-il par un risque que cette loi fasse d'internet un total underground ? Si tout est crypté ?

Si et c’est un très gros problème, le Royeume-Uni a le même, les MI5 et MI6 ont même publié une note à ce sujet, HADOPI est une catastrophe pour eux, ils ont déjà du mal à surveiller les données chiffrées des terroristes et des pédophiles et là tout le monde risque de se mettre à crypter. Les services de renseignement ont été écarté du débat alors qu’il y a d’énormes conséquences pour eux. Il s’agit d’un enjeu de sécurité nationale. Risque de saturation de ces services. Ni les conséquences, ni les techniques ne sont pour l’instants connues mais elles auront un impact énorme.

Donc finalement va-t-elle être abandonnée quand on s’en rendra compte ?

La question qui se pose est de savoir si la préservation de quelques intérêts économiques particuliers primera sur la sécurité nationale. Et au jour d’aujourd’hui la réponse n’est pas sûre.

Si Hadopi est la pire solution à un vrai problème quelle aurait été la bonne méthode ?

On aurait du sensibiliser plus. Des solutions auraient été le développement de la création libre. Des artistes qui se produisent eux même sur leur site cela fonctionne (P.Grabiel...).
Le premier problème est de prendre le français pour un fraudeur moyen alors que beaucoup seraient prêts à accepter de payer si l’on revoyait le modèle économique.

Mais finalement cela peut amener à se demander quel était le vrai but de cette loi. On peut imaginer que l’objectif était de lancer un mouvement sécuritaire (dans le prolongement du 11/09), de fliquer les gens. Il y a de quoi trier les gens en fonction de ce qu’ils téléchargent (de voir les gauchistes à ceux qui téléchargent des films d’art et d’essai...). Qui dit que l’on ne va regarder que les adresses IP ?
La réflexion a été trop rapide, un pan du débat a été occulté, seuls des intérêts corporatistes ont été défendus. Je suis un défenseur de l’Etat pas de ces intérêts.

Suite à votre implication involontaire avez-vous pu vous exprimer, faire connaître ces craintes ?

Pas de manière formelle. J’ai pu donner deux ou trois interviews pour exposer ces arguments. Et puis en off lorsque l’on rencontre comme cela arrive occasionnellement des députés ou des sénateurs on leur donne les éléments. Mais eux mêmes disent qu’ils ont été en partie écartés du débat. Il n’y a pas eu de réflexion nationale. Figure d’oukaze.
Même pas de réflexion sur l’ampleur du téléchargement. Même pas un sondage pour savoir si les gens sont intéressés par ce phénomène. Moi par exemple je regrette plus la disparition du petit disquaire avec qui je pouvais discuter, échanger.

En téléchargeant sur Youtube (est-ce illégal ?) des vidéos comme cela m’est arrivé c’est pour découvrir, je me suis empresser d’acheter ensuite ce qui m’a plus. Attaché à une musique de qualité. [phénomène d'exploration]. Attachés à la valeur ajouté des supports physiques (multi-versions, commentaires, jaquette...), les gens sont honnêtes en général mais ne veulent pas d’un modèle qui est en vérité opposé à la vraie culture.

Vous êtes un spécialiste en sécurité informatique, comment mettre en oeuvre cette loi ? est-ce techniquement possible ?

La vrai question est qui va la mettre en œuvre. Si ce sont les forces de polices alors non elles n’en ont pas les moyens. Si on soustraite à des sociétés privées [ce qui semble être le cas] alors cela pose un vrai problème. La CNIL n’a pas beaucoup été consultée alors que ça pose un vrai problème de Liberté. Au nom de la protection de l’Etat je ne suis pas d’accord.
C’est la même histoire qu’avec les radars routiers. Oui il faut lutter contre la délinquance routière mais non il ne faut pas que le but devienne faire du chiffre. L’objectif initial a été trahit.

Pensez vous que l’on alloue les moyens suffisants ? Quelles techniques vont-être employées ?

Je leur souhaite bien du plaisir. Cela va surtout donner du travail aux avocats
Prenons un exemple : le réseau Wifi non sécurisé pose déjà tout le problème de la preuve numérique : techniquement impossible de prouver qui il y a derrière le clavier.
Une usurpation d’IP est quelque chose de facile à faire. Il y a bien d’autres moyens. Techniquement très facile de tracer des IP mais à grande échelle demande de gros moyens. C’est automatisable mais il faut des moyens humain pour contrôler les fausses alarmes.

Ou alors ceux qui vont e faire prendre seront les pauvres petit, on va les attraper, faire un procès médiatique (//EU) pour faire peur. Effet d’annonce plus qu’autre chose.

La loi a-t-elle été pensée ainsi dès le début alors ?

Pas forcément, au contraire elle n’a justement pas été assez pensée. Le problème c’est l’incompétence et l’action de trop de lobbies. Les politiques et lobbyistes ont été incompétents car chacun veulent juste sauver un modèle dépassé.

Finalement comment pensez vous que le dossier va évoluer ?

Il faut attendre les décrets d’application. Les jurisprudences affaibliront considérablement la loi par la suite. Ceux qui auront de quoi se payer un bon avocat pourront démontrer que ce n’était pas eux qui téléchargeaient, cela fera jurisprudence. Il y a déjà eu des lois peu ou plus appliquées.
Le problème oublié est celui de la lutte contre les fournisseurs de contenus illégaux. C’est comme arrêter les consommateurs de drogue sans chercher les revendeurs.
Sans avoir les solutions, les questions méritent d’être posées. Un grand débat national doit être engagé avec tous les acteurs, pas uniquement Pascal Nègre, la CNIL...

Identification d'un problème	Préparation d'une réponse	Emergence d'un contre-programme	Batailles HADOPI	Epilogue

LA LOI HADOPI est-elle efficace et applicable ?