אינדקס
Comment les pirates comptent échapper à la loi Création et Internet
Rejetée en première lecture, la loi Création et Internet (dite Hadopi) est revenue devant les députés le 29 avril 2009. Contestée d'un point de vue politique et juridique, sera-t-elle techniquement efficace ? Les spécialistes des réseaux peer to peer (P2P) sont persuadés du contraire et pointent les nombreuses failles du dispositif de surveillance envisagé par le gouvernement. Ce dernier repose sur le travail d'agents assermentés, chargés par les ayants droit d'identifier les pirates en collectant leurs adresses IP lorsqu'ils sont en train de télécharger des contenus illégaux sur les réseaux P2P (BitTorrent, eMule, eDonkey, etc.).
La principale méthode envisagée ici est celle dite du « pot de miel », qui consiste à placer volontairement sur le réseau un contenu protégé (enregistré sur un ordinateur témoin) et à collecter les adresses IP des internautes qui le téléchargent. Les adresses sont ensuite transmises par l'Hadopi aux fournisseurs d'accès à Internet (FAI) afin que ceux-ci identifient et préviennent les contrevenants et, en dernier recours, coupent leur connexion. Sans même évoquer le streaming, les newsgroups ou les sites de téléchargement direct (voir l'encadré), les méthodes pour échapper à cette traque existent déjà. Elles ne sont pas encore toutes facilement accessibles au grand public, mais elles pourraient rapidement le devenir, comme ce fut le cas pour les logiciels de P2P, maîtrisés dans un premier temps par les seuls initiés.
Cacher son adresse IP
La première de ces techniques consiste à établir une connexion chiffrée pour accéder à un serveur situé à l'étranger jouant le rôle de passerelle vers les réseaux P2P. Cette technique, dite de tunnel sécurisé ou de VPN (pour réseau privé virtuel), est essentiellement utilisée par les entreprises pour accéder de manière sécurisée à leur intranet depuis l'extérieur. Sa mise en œuvre empêche les agents chargés par l'Hadopi d'identifier l'adresse IP des pirates puisque que c'est le site passerelle (en général basé à l'étranger) qui joue les intermédiaires. Même le FAI de l'internaute (qui rappelons-le ne participe pas à la collecte en amont des adresses IP dans le dispositif prévu par la loi) ne sait pas ce que fait son abonné. « Le FAI peut voir que son abonné est en ligne via une connexion chiffrée à un serveur de passerelle et que celle-ci consomme beaucoup de bande passante mais c'est tout », explique Frédéric Aidouni, spécialiste des réseaux et auteur de LogP2P, un logiciel utilisé par les services de police pour identifier les diffuseurs de contenus à caractère pédopornographique sur les réseaux P2P. Plusieurs sites proposent déjà aujourd'hui des services de plate-forme VPN. La plupart sont payants mais certains, comme peer2me.com, sont gratuits.
Des serveurs qui jouent les relais pour brouiller les pistes
Une autre solution pour les pirates est de rejoindre un réseau dédié à l'anonymisation des communications sur Internet. Le plus connu d'entre eux est Tor, un acronyme qui signifie The Onion Router (littéralement le routage en oignon). Gratuit, ce réseau décentralisé fédère une multitude de routeurs à travers le monde afin de transmettre les requêtes TCP-IP de ses utilisateurs en échappant à toute surveillance. Les chemins pour aller d'une adresse IP source à une adresse IP destination par l'intermédiaire des routeurs de Tor sont aléatoires et chaque communication d'un routeur à un autre est chiffrée. Un message qui passe par n routeurs est ainsi chiffré n fois !
« Lorsqu'un internaute veut se connecter, sa demande est chiffrée et transite par plusieurs ordinateurs du réseau Tor qui servent ainsi de relais. C'est une solution efficace pour des utilisateurs avertis, mais là encore il y a des problèmes importants de montée en charge si le succès est au rendez-vous », explique Fabrice Le Fessant, chercheur à l'Inria et spécialiste des réseaux distribués (1). Selon lui, la solution technique la plus à même de contourner Hadopi tout en supportant un grand nombre d'utilisateurs est un réseau P2P social s'inspirant de Facebook. « Les développeurs travaillent sur des réseaux P2P sociaux qui permettent à chaque utilisateur de définir avec quels amis il partage des contenus stockés sur son propre disque dur. Les contenus des amis de ses amis sont accessibles en utilisant des protocoles d'identification et de chiffrement évolués. Un ordinateur connecté à 200 amis a potentiellement accès directement à 200 000 copies de films ou 50 millions de MP3 sans qu'il soit possible d'observer les téléchargements », explique le spécialiste. Les experts prédisent que ces outils, aujourd'hui réservés à des utilisateurs avertis, seront vite utilisables par le commun des internautes. « Si la loi est adoptée, des interfaces ergonomiques devraient apparaître rapidement pour que le nombre d'utilisateurs puisse atteindre une masse critique. Dans les six mois, Mme Michu pourra utiliser un logiciel pair-à-pair totalement anonyme », anticipe Frédéric Aidouni. Avec l'avènement de ces outils, il sera alors quasiment impossible de détecter les téléchargements illégaux. « Il faudrait impliquer tous les FAI et mettre en œuvre des moyens financiers colossaux », prévient Fabrice Le Fessant. Un cauchemar pour les ayants droit. (1) : chercheur à l'Inria et enseignant à l'école Polytechnique, Fabrice Le Fessant est aussi l'auteur de Peer-to-peer : comprendre et utiliser aux Editions Eyrolles.
Le téléchargement direct échappe au dispositif Hadopi
Les sites de téléchargement direct comme Rapidshare, 4shared ou Megaupload échappent complètement à l'Hadopi car les adresses IP des internautes qui s'y connectent ne peuvent pas être collectées sans la collaboration des fournisseurs d'accès à Internet. Avec ce type de site, les fichiers sont hébergés sur des serveurs centraux et ne sont pas partagés. L'adresse IP de l'internaute en train de télécharger un contenu illégal n'est pas « visible » par un tiers sur Internet. Seuls les administrateurs du site de téléchargement direct en ont connaissance. Pour y accéder, il faut déposer plainte et perquisitionner. Or tous ces sites sont basés à l'étranger et échappent à la loi française.
Rejetée en première lecture, la loi Création et Internet (dite Hadopi) est revenue devant les députés le 29 avril 2009. Contestée d'un point de vue politique et juridique, sera-t-elle techniquement efficace ? Les spécialistes des réseaux peer to peer (P2P) sont persuadés du contraire et pointent les nombreuses failles du dispositif de surveillance envisagé par le gouvernement. Ce dernier repose sur le travail d'agents assermentés, chargés par les ayants droit d'identifier les pirates en collectant leurs adresses IP lorsqu'ils sont en train de télécharger des contenus illégaux sur les réseaux P2P (BitTorrent, eMule, eDonkey, etc.).
La principale méthode envisagée ici est celle dite du « pot de miel », qui consiste à placer volontairement sur le réseau un contenu protégé (enregistré sur un ordinateur témoin) et à collecter les adresses IP des internautes qui le téléchargent. Les adresses sont ensuite transmises par l'Hadopi aux fournisseurs d'accès à Internet (FAI) afin que ceux-ci identifient et préviennent les contrevenants et, en dernier recours, coupent leur connexion. Sans même évoquer le streaming, les newsgroups ou les sites de téléchargement direct (voir l'encadré), les méthodes pour échapper à cette traque existent déjà. Elles ne sont pas encore toutes facilement accessibles au grand public, mais elles pourraient rapidement le devenir, comme ce fut le cas pour les logiciels de P2P, maîtrisés dans un premier temps par les seuls initiés.
Cacher son adresse IP
La première de ces techniques consiste à établir une connexion chiffrée pour accéder à un serveur situé à l'étranger jouant le rôle de passerelle vers les réseaux P2P. Cette technique, dite de tunnel sécurisé ou de VPN (pour réseau privé virtuel), est essentiellement utilisée par les entreprises pour accéder de manière sécurisée à leur intranet depuis l'extérieur. Sa mise en œuvre empêche les agents chargés par l'Hadopi d'identifier l'adresse IP des pirates puisque que c'est le site passerelle (en général basé à l'étranger) qui joue les intermédiaires. Même le FAI de l'internaute (qui rappelons-le ne participe pas à la collecte en amont des adresses IP dans le dispositif prévu par la loi) ne sait pas ce que fait son abonné. « Le FAI peut voir que son abonné est en ligne via une connexion chiffrée à un serveur de passerelle et que celle-ci consomme beaucoup de bande passante mais c'est tout », explique Frédéric Aidouni, spécialiste des réseaux et auteur de LogP2P, un logiciel utilisé par les services de police pour identifier les diffuseurs de contenus à caractère pédopornographique sur les réseaux P2P. Plusieurs sites proposent déjà aujourd'hui des services de plate-forme VPN. La plupart sont payants mais certains, comme peer2me.com, sont gratuits.
Des serveurs qui jouent les relais pour brouiller les pistes
Une autre solution pour les pirates est de rejoindre un réseau dédié à l'anonymisation des communications sur Internet. Le plus connu d'entre eux est Tor, un acronyme qui signifie The Onion Router (littéralement le routage en oignon). Gratuit, ce réseau décentralisé fédère une multitude de routeurs à travers le monde afin de transmettre les requêtes TCP-IP de ses utilisateurs en échappant à toute surveillance. Les chemins pour aller d'une adresse IP source à une adresse IP destination par l'intermédiaire des routeurs de Tor sont aléatoires et chaque communication d'un routeur à un autre est chiffrée. Un message qui passe par n routeurs est ainsi chiffré n fois !
« Lorsqu'un internaute veut se connecter, sa demande est chiffrée et transite par plusieurs ordinateurs du réseau Tor qui servent ainsi de relais. C'est une solution efficace pour des utilisateurs avertis, mais là encore il y a des problèmes importants de montée en charge si le succès est au rendez-vous », explique Fabrice Le Fessant, chercheur à l'Inria et spécialiste des réseaux distribués (1). Selon lui, la solution technique la plus à même de contourner Hadopi tout en supportant un grand nombre d'utilisateurs est un réseau P2P social s'inspirant de Facebook. « Les développeurs travaillent sur des réseaux P2P sociaux qui permettent à chaque utilisateur de définir avec quels amis il partage des contenus stockés sur son propre disque dur. Les contenus des amis de ses amis sont accessibles en utilisant des protocoles d'identification et de chiffrement évolués. Un ordinateur connecté à 200 amis a potentiellement accès directement à 200 000 copies de films ou 50 millions de MP3 sans qu'il soit possible d'observer les téléchargements », explique le spécialiste. Les experts prédisent que ces outils, aujourd'hui réservés à des utilisateurs avertis, seront vite utilisables par le commun des internautes. « Si la loi est adoptée, des interfaces ergonomiques devraient apparaître rapidement pour que le nombre d'utilisateurs puisse atteindre une masse critique. Dans les six mois, Mme Michu pourra utiliser un logiciel pair-à-pair totalement anonyme », anticipe Frédéric Aidouni. Avec l'avènement de ces outils, il sera alors quasiment impossible de détecter les téléchargements illégaux. « Il faudrait impliquer tous les FAI et mettre en œuvre des moyens financiers colossaux », prévient Fabrice Le Fessant. Un cauchemar pour les ayants droit. (1) : chercheur à l'Inria et enseignant à l'école Polytechnique, Fabrice Le Fessant est aussi l'auteur de Peer-to-peer : comprendre et utiliser aux Editions Eyrolles.
Le téléchargement direct échappe au dispositif Hadopi
Les sites de téléchargement direct comme Rapidshare, 4shared ou Megaupload échappent complètement à l'Hadopi car les adresses IP des internautes qui s'y connectent ne peuvent pas être collectées sans la collaboration des fournisseurs d'accès à Internet. Avec ce type de site, les fichiers sont hébergés sur des serveurs centraux et ne sont pas partagés. L'adresse IP de l'internaute en train de télécharger un contenu illégal n'est pas « visible » par un tiers sur Internet. Seuls les administrateurs du site de téléchargement direct en ont connaissance. Pour y accéder, il faut déposer plainte et perquisitionner. Or tous ces sites sont basés à l'étranger et échappent à la loi française.
