Par François Krug | Eco89 | 01/06/2009

http://eco.rue89.com/2009/06/01/hadopi-loppsi-sur-le-web-lanonymat-devient-un-business

Pour éviter les contrôles, des adresses anonymes sont disponibles, au risque de cautionner des choses plus graves. Une loi sur le piratage, une autre sur la cybercriminalité : en renforçant le contrôle du Web, le gouvernement a toutes les chances d'encourager les internautes à se cacher. Pour quelques euros, des services comme Ipredator et Ipodah leur proposent de devenir invisibles. Au risque de faciliter des échanges de fichiers bien plus dangereux que des films ou des chansons. La stratégie de l'Hadopi est de repérer l'adresse IP des ordinateurs, puis d'obtenir des fournisseurs d'accès l'identité de leurs propriétaires. Petit oubli : ces réseaux privés virtuels (ou VPN, « virtual private networks ») fournissent à leurs utilisateurs des adresses IP anonymes.

Ils étaient jusqu'ici réservés aux internautes avertis. Mais en avril, le site suédois The Pirate Bay a lancé son service de VPN, Ipredator : pour 5 euros par mois, il garantit l'anonymat. Selon les créateurs, 100 000 internautes seraient déjà inscrits. De quoi donner des idées en France.

« Un marché très important »

Les créateurs de l'Ipredator français, Ipodah, tiennent à rester discrets. L'un d'entre eux, un jeune ingénieur informatique, m'explique : « L'idée datait d'avant Hadopi. Avec Hadopi, on s'est dit qu'il y avait un marché potentiel. Et si la Loppsi passe, le marché sera très important. » La Loppsi, la loi sur la sécurité intérieure, a relancé la polémique sur les risques d'une mise sous contrôle du Web. Elle autorise la surveillance à distance des ordinateurs grâce à des logiciels espions.

Pour éviter les poursuites, les créateurs d'Ipodah prévoient d'installer leur serveur à Amsterdam : « Les lois protègent plus la vie privée des gens. Le gouvernement est plus permissif, les hébergeurs et les fournisseurs d'accès ne sont pas obligés de garder les logs. »

« La chaîne sera longue à remonter »

Les « logs » de connexion, c'est justement ce qui doit permettre à l'Hadopi de remonter jusqu'aux pirates. Mais c'est aussi un outil privilégié dans la lutte contre la cybercriminalité et la pédophile. « Ce que les internautes font (avec leurs VPN) ne nous regarde pas, mais on ne veut absolument pas cautionner des choses comme ça », assure le créateur d'Ipodah. Pour autant, les enquêteurs ne pourront pas aller bien loin : « Si la gendarmerie vient nous voir, on pourra fermer leurs VPN mais pas les identifier. Nous n'aurons que leur adresse e-mail et le paiement passera par des prestataires extérieurs, par carte bleue ou PayPal. La chaîne sera assez longue à remonter si on est aux Pays-Bas. »

Ipodah n'est encore qu'en phase de test, mais le « business plan » est prêt. Selon son créateur, la rentabilité sera atteinte avec 10 000 utilisateurs prêts à payer 5 euros par mois. La demande est là : en deux semaines, Ipodah aurait enregistré 20 000 inscriptions, et 1 500 internautes testeraient actuellement le service.« Séparer le bon grain de l'ivraie ? Impossible » Cette course à l'anonymat inquiète les experts. Mi-mai, Orange a fait disparaître un texte très critique publié par un des ses ingénieurs sur un blog officiel du groupe. Son titre ? « Hadopi : le danger (bien caché) ».

Le texte avait largement circulé sur le Net. Il est réapparu sur le blog d'Orange dans une version plus nuancée, et sous un titre moins affirmatif : « Hadopi : des effets indésirables ? ». L'auteur, Philippe Maltere, n'avait pas pour autant changé d'avis : « Le bon père de famille va prendre l'habitude de chiffrer toutes ses données, même de messagerie, grâce à des logiciels toujours plus puissants et de plus en plus faciles à utiliser (…). Maintenant que toutes les communications sont cryptées, comment séparer le bon grain de l'ivraie ? Impossible. » Le même avertissement avait été lancé dès 2006 par Bernard Benhamou, aujourd'hui chargé de la Délégation aux usages de l'Internet. Il dénonçait dans la revue Esprit la tentation d'un « hypercontrôle » du Web : « L'un des risques lié à la criminalisation des pratiques d'échange de pair à pair serait de pousser les utilisateurs à adopter des systèmes d'échanges plus “radicaux”. »

Parmi ces systèmes « radicaux », Bernard Benhamou s'inquiète en particulier des réseaux associant le peer-to-peer et le cryptage, comme Freenet. Les internautes pourraient devenir complices malgré eux de la diffusion de fichiers dangereux : « Les utilisateurs (…) sont contraints par la “nature” du système d'ignorer la nature des contenus placés sur leurs disques durs par les autres utilisateurs. Le développement de ce type de technologies pourrait poser des problèmes importants dans le cas où des fichiers illicites seraient présents sur les ordinateurs à l'insu de leurs propriétaires. »`

Pour leurs créateurs, Ipredator et Ipodah sont simplement des réponses à des politiques de « criminalisation ». Jusque dans leurs noms. « Ipredator » ? Une référence à l'Ipred (« Intellectual Property Rights Enforcement Directive »), la directive européenne ayant servi de base à la nouvelle loi suédoise sur le téléchargement illégal. En France, on aime aussi les jeux de mots : « Ipodah », c'est tout simplement « Hadopi » à l'envers. Le message est clair.

LEMONDE.FR | 18.05.09 | par Olivier Dumons

La loi Hadopi est donc - avec quelques houleux retards à l'allumage - finalement votée. Avec la loi Dadvsi de 2006 sur le droit d'auteur, qui avait également provoqué un tollé, voici que se profile Loppsi, élargissant encore le champ sécuritaire lié aux nouvelles technologies. Mis bout à bout, ces trois éléments forment le véritable arsenal de la “cybersécurité”, promue priorité par Nicolas Sarkozy.

Dadvsi et Hadopi, censées lutter contre le téléchargement illégal grâce à des mesures techniques, devraient donc être complétées après l'automne 2009 par un dispositif bien plus ambitieux, axé sur l'ensemble de la cybercriminalité. Loppsi 2 (loi d'orientation et de programmation pour la performance de la sécurité intérieure, 2e du nom après la Lopsi de 2002), voulue par Nicolas Sarkozy, serait dotée d'une enveloppe d'un milliard d'euros sur cinq ans (2010-2015).

La clef de Loppsi 2, ce sont les mouchards électroniques. La loi Hadopi prévoit déjà la “Simplification des procédures de contrôle par les services de l'Etat des logiciels intégrant des mesures techniques permettant le contrôle à distance de fonctionnalités ou l'accès à des données personnelles”. La Dadvsi évoque également les mouchards électroniques : l'article additionnel 10bis C de la loi Hadopi à l'article 15 de la Dadvsi permet notamment à la direction centrale de la sécurité des systèmes d'information (DCSSI) de s'affranchir du contrôle des logiciels mouchards susceptibles d'être installés par les administrations de l'Etat, les collectivités territoriales et les opérateurs publics ou privés.

En d'autres termes, l'Etat ne serait donc plus obligé de vérifier la “légalité” des mouchards utilisés par ses services sur le Réseau. Dès lors, c'est la porte ouverte à toutes les “captations” informatiques et sonores, de quelque nature qu'elles soient. Le projet de loi Loppsi 2 reprend ce principe en le perfectionnant, puisqu'il permettrait “sans le consentement des intéressés, d'accéder à des données informatiques, de les observer, les collecter, les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent pour l'utilisateur ou telles qu'il les y introduit par saisie de caractère”. C'est la légalisation des “chevaux de Troie” (logiciels espions) chez l'internaute, pendant une durée de quatre mois, renouvelable une fois sur accord du juge.

Techniquement, le dispositif pourra être mis en place à toute heure, soit en s'introduisant dans tout lieu physique (avec mise en place d'une “clé de connexion” dans l'ordinateur à surveiller), soit par “transmission par un réseau de communications électroniques”, en s'infiltrant à distance dans la machine à surveiller.

Loppsi 2 prévoit également la création d'un fichier informatique appelé Périclès. Ce système “d'analyse sérielle” permettra d'effectuer des rapprochements entre les différents fichiers judiciaires (Stic, Judex, etc.) et de croiser tous les renseignements disponibles pour lutter au mieux contre tous les types de délinquance, et notamment la pédo-pornographie. Mais pour ce faire, ce “super-fichier” contiendra de nombreuses données liées à la vie du citoyen avec tous les dangers de dérives possibles : numéros de cartes grises, de permis de conduire, de puces de téléphones portables (IMEI), factures diverses, etc.

Car selon les informations du Monde, la collecte de ces données proviendrait entre autres de “traitements automatisés de données à caractère personnel concernant toute infraction commise contre les personnes”. Ces données ne seraient donc plus uniquement “collectées au cours de procédures judiciaires pénales” comme il était prévu dans le projet de loi originel.

LES FOURNISSEURS D'ACCÈS EN PREMIÈRE LIGNE DU DISPOSITIF

Michèle Alliot-Marie a d'ailleurs précisé en janvier que 555 millions d'euros seraient affectés à la lecture automatisée des plaques d'immatriculation par vidéosurveillance, à la modernisation des fichiers d'empreintes génétiques et digitales, mais aussi à l'enregistrement vidéo des gardes à vue. Cette loi permettrait en outre, selon elle, de créer un délit d'usurpation d'identité sur Internet, mais aussi de pouvoir géolocaliser des internautes, ou de bloquer les sites (dont la liste serait fournie par le ministère) ne respectant pas la législation directement chez les fournisseurs d'accès. Pour ce faire, des “crawlers” (logiciels de recherche spécialisés), seraient mis en place par différents services du ministère, notamment l'OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication).

Mais les fournisseurs d'accès ne seraient qu'un des maillons de la chaîne, au même titre que les constructeurs d'appareils connectés par exemple. Ils pourraient donc se retrouver contraints de filtrer une partie du Web sur demande du gouvernement, comme l'explique Jean-Michel Planche, président d'honneur du Club français des entrepreneurs des télécommunications, et récemment consulté par la CCRSCE (Commission consultative des réseaux et services de communications électroniques) sur le sujet. Toutes ces dispositions d'exception, accolées à des technologies de plus en plus perfectionnées, pourraient doter l'Etat de moyens de contrôles très importants. Mais tout comme de nombreux experts ont dénoncé, lors du débat sur Hadopi, le manque d'efficacité des solutions techniques dans la lutte contre le piratage, rien ne dit que les “mouchards” électroniques ne souffrent pas du même défaut. En attendant, des opposants au projet de loi se manifestent déjà. Le débat ne fait que commencer.

Olivier Dumons

Une plate-forme de lutte contre la cybercriminalité Parmi les autres propositions contenues dans cette loi, la création d'une nouvelle plate-forme de lutte contre tout type de cybercriminalité dépendant de l'OCLCTIC, ou encore l'apparition d'un délit d'“usurpation d'identité sur Internet”. Dans d'autres domaines, Lopsi 2 prévoit également un autre article (28) censé protéger les agents de renseignement, leurs sources et leurs collaborateurs (“indics”), ou encore un projet rendant obligatoire l'annonce par les juges d'instruction de perquisitions dans des lieux protégés comme les ministères : “L'Etat se met donc ainsi à l'abri des juges” comme le déclarait il y a quelques mois Bruno Thouzelier, président de l'Union syndicale des magistrats (USM).

La loi Dadvsi n'a toujours pas été évaluée La loi Dadvsi adoptée durant l'été 2006 aurait dû, comme le vote en Assemblée nationale l'avait prévu, être évaluée dix-huit mois après sa mise en application. Il n'en a rien été, ce qui aurait pu être utile à l'élaboration du projet de loi Hadopi. Depuis, les DRM (Digital Rights Management) tendent à disparaitre des plates-formes légales de téléchargement, rendant de fait obsolète cette loi controversée.

LE MONDE | 24.06.08 | 14h05 • Mis à jour le 18.05.09 | 20h07 par Gérard Davet

La préparation de la loi d'orientation et de programmation pour la performance de la sécurité intérieure (Lopsi), que le gouvernement souhaiterait soumettre au conseil des ministres à l'automne 2008, oppose deux camps. D'un côté, les tenants d'un arsenal judiciaire toujours plus développé, de l'autre, ceux qui reconnaissent l'efficacité des nouveaux instruments, mais s'inquiètent pour les libertés publiques. Trois chantiers prioritaires illustrent les crispations.

La direction de la gendarmerie nationale a fait procéder, depuis quelques mois, à de discrets essais liés à la mise en place d'un fichier informatique, dénommé “Périclès”. Ce système d'analyse sérielle permet d'effectuer des rapprochements entre affaires et de lutter contre tout type de délinquance.

Mais ce type de fichier contient de nombreuses données liées à la vie du citoyen : numéros de cartes grises, de permis de conduire, de puces de téléphone portable, factures, autant de détails qui ne figurent jamais dans les procédures judiciaires. La Commission nationale de l'informatique et des libertés (CNIL) n'a pas encore été saisie du dossier.

Les gendarmes assurent, en mettant en avant onze garanties autour de Périclès, que cet arsenal demeurera sous contrôle judiciaire. Reste que dans la dernière version de la Lopsi, dont Le Monde a eu connaissance, on parle de “traitements automatisés de données à caractère personnel concernant toute infraction commise contre les personnes”. Ces données ne seraient plus “collectées au cours de procédures judiciaires pénales”, comme cela apparaissait dans le texte initial. Il faut voir là le résultat d'un intense lobbying des gendarmes.

Dans un courrier daté du 3 juin adressé au ministère de l'intérieur, le général Guy Parayre, directeur général de la gendarmerie nationale, avait réclamé la suppression de cette mention qui, selon lui, conduisait “à priver de tout effet la réforme envisagée”. Conclusion du général Parayre, au cas où sa missive ne serait pas suivie d'effet : “Il me paraît imprudent dans ces conditions d'exposer la ministre (Michèle Alliot-Marie) sur ce sujet sensible lors d'un débat parlementaire sans doute délicat, pour un résultat final qui ne procurera aucun progrès…” Manifestement, il a été entendu.

Le secrétaire général de la défense nationale (SGDN), Francis Delon, milite pour limiter l'accès des juges d'instruction aux lieux de pouvoir tels que les ministères ou les services secrets.

Si l'avis du SGDN est suivi, ce qui paraît être le cas, les perquisitions dans des lieux protégés ne seront plus possibles que sous certaines conditions. Le projet d'article est ainsi rédigé : “Lorsqu'un magistrat envisage de procéder à une perquisition dans des lieux classifiés ou abritant des secrets de la défense nationale, il remet à l'autorité administrative compétente une décision écrite et motivée indiquant la nature de l'infraction, (…) les raisons justifiant la perquisition et l'objet de celle-ci.”

L'effet de surprise disparaîtrait de fait. D'autant que l'autorité administrative est alors censée transmettre cette “décision” du juge au président de la Commission consultative du secret de la défense nationale (CCSDN), seul habilité à déclarer une “ déclassification temporaire, totale ou partielle” du lieu visé par le magistrat. La perquisition, si elle est autorisée, se ferait alors en sa présence. Par ailleurs, “les saisies et les mises sous scellés” ne pourraient “ porter que sur des documents non classifiés ou déclassifiés”. Seul le président de la CCSDN pourra prendre connaissance des “informations classifiées” et décider, ou non, de les transmettre au magistrat instructeur. Le ministère de l'intérieur ne souhaite pas inclure ces dispositions dans la future Lopsi.

La loi devrait permettre, à l'avenir, d'introduire dans les ordinateurs des citoyens un “cheval de Troie” informatique. Il sera possible, avec l'aval d'un juge, “sans le consentement des intéressés, d'accéder à des données informatiques, de les observer, les collecter, les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent pour l'utilisateur ou telles qu'il les y introduit par saisie de caractère”, et ce pendant une durée de quatre mois, renouvelable une fois. Le dispositif technique pourra être mis en place à toute heure, en s'introduisant dans tout lieu, ou via “la transmission par un réseau de communications électroniques”.

Par ailleurs, les enquêteurs pourront plus facilement placer des micros afin d'intercepter les conversations.

Gérard Davet