Chroniques d'un technojuriste interopérable

MàJ : Article obsolète. Une nouvelle version sera publiée prochainement.

Une fois n’est pas coutume, un petit billet entre réflexion et humeur.

Toute personne fréquentant ces pages a déjà dû lire le billet de Philippe Maltere   sur le blog sécurité de la société Orange ou au moins une de ses innombrables reprises (Spyworld Actu, Ecrans.fr, etc) suite à son retrait (polémique) dudit blog.

Pour résumer très succinctement, l’auteur y précise que la loi Hadopi peut avoir pour effet pervers de favoriser le chiffrement massif des messages et des informations en provenance ou à destination du web, pour les particuliers. Il en déduit que l’afflux de messages chiffrés pose un problème non pour les titulaires de droit mais pour le gouvernement lui_même qui verrait son efficience en matière de cybercriminalité diminuer fortement¹.

Et des commentateurs d’apporter successivement leurs précisions, pas toujours utiles et documentées mais à tout le moins génératrice d’un débat même si on peut regretter que celui-ci soit presque toujours mono-orienté².

Le fait est que ceci n’est pas récent. Déjà en 2005, la SPEDIDAM qui se prononçait en faveur d’une licence globale argumentait que la loi DADVSI et les mesures techniques de protection provoqueraient un glissement des réseaux peer-to-peer classiques vers les réseaux chiffrés.

Avec le peu de recul que l’on a aujourd’hui il apparaît que ce glissement ne s’est pas fait principalement en raison de la méconnaissance de ces réseaux et à leur inefficience (notamment en raison de leur lenteur à transmettre des informations qui ne conviennent pas à une utilisation multimedia).

Toutefois, compte tenu du lien ténu entre l’adresse IP et la personne derrière cette adresse, le problème est cependant latent. En effet, un système chiffré ne permettrait pas de remonter à cette adresse, pourtant si importante aux yeux du dispositif HADOPI.

Pour ajouter à l’article de M. Maltere, ce qui importe toutefois n’est pas que les professionnels de la contrefaçon numérique ne chiffrent pas leurs messages (d’autres outils que l’HADOPI existent pour eux) mais d’éviter que la plus grosse partie de la population envisage ce fait. Ce qu’il faut effectivement éviter est le glissement massif des technologies d’appréhension publique du contenu vers des technologies à chiffrement forte.

Ce glissement fait d’ailleurs suite à deux glissements précédents et contre lequel un constat d’échec peut être fait, le premier étant la généralisation des copies de CDs par la gravure de CDs vierge et l’utilisation massive des réseaux numériques pour appréhender des contenus notamment musicaux.

A défaut, l’utilisation massive de technologies de chiffrement aurait effectivement l’effet décrit par M. Maltere, à savoir une perte de contrôle de l’état sur les échanges numériques et en corollaire, un affaiblissement de sa souveraineté.

En effet, au profit d’une problématique sectorielle restreinte, on peut envisager assez aisément que l’Etat rende plus difficile l’application de certaines de ces activités souveraines tels que le renseignement, la lutte contre la criminalité organisée ou non, etc.

Vous pardonnerez sans doute ma vision de juriste naïf qui voit encore en l’Etat le garant de l’intérêt général mais je pense encore que l’Etat a le devoir de connaître des informations dans les domaines où il est souverain et notamment en matière de défense et de police. Or comment assurer ses missions d’intérêt général quand une part non négligeable sinon importante des échanges électroniques lui sont définitivement cachés.

Dans un tel contexte, le prochain assemblage réglementaire ne pourrait être autre que la suppression de la liberté pour tous d’utiliser des moyens cryptographiques (modulée, pourquoi pas, par une accréditation de la DCSSI ou une certification “contrefaçon free”) revenant sur la politique législative de libéralisation de l’utilisation de la cryptographie établie depuis 1996.

Mais ceci n’est pas l’unique conséquence envisageable. En effet, il me semble que cela alourdirait considérablement les flux de données au détriment des débits fournit par les FAI et de la qualité de service opérée au consommateur mais aussi que leur utilisation renforcerait la confiance que l’on a en l’outil informatique, confiance en un outil généralement mal configuré et défaillant, aboutissant à une compromission plus aisée des systèmes informatiques.

Pour rebondir sur ce que disait M. Maltere, le problème est différent de ce qui se passait à l’époque pré-DADVSI car, on discute aujourd’hui de la mise en place, selon l’article L. 332-12 (dans la version du projet de loi du 13 mai 2009), “moyens de sécurisation destinés à prévenir l’utilisation illicite de l’accès à un service de communication au public en ligne”, et donc de l’installation par le consommateur, à ses frais, d’un logiciel spécifique anti-contrefaçon³.

Or entre installer un logiciel de sécurisation, et installer un logiciel d’anonymisation, le choix, du point de vue des usages, sera évident.

Enfin, on remarque que les technologies les moins visibles sont celles qui associent, bien entendu, une technique numérique complexe avec un procédé physique. C’est l’exemple des darknets, réseaux d’échange privés chiffrés fonctionnant avec un mécanisme de cooptation.

Or, la répression⁴ mise aujourd’hui sur le tout électronique reprenant à son compte l’intitulé de l’article “the answer to the machine is in the machine” de Charles Clark ⁵. Ce choix souffre cependant d’un défaut majeur : la non flexibilité. En effet, si il est apte à prendre en compte la majeure partie des cas (cas similaires et aisés à résoudre), il ne pourra pas prendre en compte les cas spécifiques et notamment les contrefacteurs professionnels et les organisations qui associent, à leur bénéfice exclusif, contrefaçon et cybercriminalité (scam, spam, intrusion, DDOS, …).

De même le choix du tout technologique pose un problème social majeur puisque le véritable but de l’HADOPI est de provoquer un changement des usages. A ce titre, peut être que d’autres solutions sont envisageables (une piste comme ça, à la volée : une offre enfin aboutie de contenu multimédia ?).

1. Vous me pardonnerez quelques raccourcis mais, pour les curieux, l’article est accessible en intégralité sur le web. [↩]
2. A force de m’en prendre, toute proportion gardée, aux défenseurs autoproclamés du droit d’auteur, de la copie privée et des logiciels libres, on va commencer à croire que je suis de l’autre bord :). [↩]
3. Je cède au plaisir de vous mentionner les interactions possibles d’avec les logiciels espions en préparation dans la future loi d’orientation et de programmation de sécurité intérieure et notamment la possibilité d’inclure une porte dérobée dans un tel logiciel de sécurisation pour des programmes d’analyse mais précise que le texte n’est pas encore paru à ce jour pour nous permettre d’argumenter dessus. [↩]
4. Nous ne parlerons pas, volontairement, de prévention puisqu’elle est inexistante aujourd’hui. [↩]
5. The answer to the machine is in the machine in The Future of Copyright in a Digital Environment, Kluwer Law International, The Hague (1996), pp. 139-48. [↩]

Avec l’avènement de l’ère numérique, une toute nouvelle forme de criminalité est née et remet en cause les systèmes d’informations, centralisés ou non, des différents acteurs des réseaux et notamment de l’Internet. La question de la sécurité informatique, matière qui tend à protéger ces systèmes d’informations et les données qu’ils hébergent, ne s’est jamais posée avec autant d’acuité. En effet, il ne se passe pas un jour sans que de multiples failles soient découvertes, de nouveaux correctifs développés pour y remédier ou de nouvelles « idées » cybercriminelles apparues, la dernière en date étant la proposition de prestations d’« attaques » informatiques afin de paralyser son concurrent, son voisin ou une institution notoire pendant une période donnée.

Toutefois, il ne faut pas oublier qu’un virus est avant tout un programme, aux fonctions particulières, il est vrai, et qu’en tant que tel, il n’est pas, par nature, nocif. Partant de ce constat de neutralité des programmes d’ordinateur, d’une manière théorique, nul obstacle ne semble empêcher l’existence de virus aux effets indésirables inexistants ou négligeables, des virus que l’on pourrait globalement qualifier de « positifs » même si, à première vue, on peut difficilement concevoir une association entre ces deux mots.

Ainsi, sans prendre la défense systématique du bien-fondé des virus, vers et autres parasites informatique, il convient de sortir des quelques préjugés informatiques acquis récemment, et de rétablir certains faits, souvent modifiés ou interprétés de manière pas nécessairement adéquate car, de destructeurs, les virus informatiques pourraient devenir utiles ou même source de création.

Mémoire: memoire_virus_duflot

Le doctorat est, sans conteste, une aventure passionnante, une étape d’un parcours professionnel parfois difficile mais on ne peut plus enrichissante sur les plans intellectuel et relationnel. D’étudiant, le doctorant devient un professionnel de la recherche de par son travail au sein d’un laboratoire de recherche public, généralement universitaire, auquel peut être associé divers organismes publics ou privés de financement ou d’encadrement de la thèse (ministère de la recherche, entreprise privées, bourse Cifre, aides des collectivités territoriales,…). Toutefois, le doctorat n’est qu’une étape de l’insertion professionnelle au même titre qu’une formation et/ou qu’un premier emploi …

Mémoire : prospective_duflot

La promo 2004 du Master DI2C (ex-DESS Droit du Numérique et des Nouvelles Techniques) de l’Université Paris-Sud organise la première session des “Friday de la PI”.

Commentaire à propos du jugement TGI Paris, 31ème ch., 21 septembre 2005.

Paru à la Revue Lamy Droit de l’Immatériel, n°10, janvier 2006 : phishing_duflot