[numerama.com] Riposte graduée : où seront les preuves ?
Extrait de l'article du site par en date du :
« ''Numerama par Guillaume Champeau le Lundi 09 Juin 2008 à 12h26'' http://www.numerama.com/magazine/9872-Riposte-gradue-o-seront-les-preuve...
__Nous avons déjà épinglé vendredi la loi 'Création et Internet' en listant ce qui sont selon nous [10 bonnes raisons de rejeter la loi Hadopi|http://www.numerama.com/magazine/9854-10-bonnes-raisons-de-dire-NON-a-la-loi-Hadopi.html]. Nous pouvons en ajouter aujourd'hui une onzième : la grande faiblesse des preuves qui seront utilisées par la Haute Autorité pour prononcer les sanctions à l'encontre des P2Pistes. L'Université de Washington prouve en effet qu'il est simple de faire accuser un internaute innocent.__
Sur le principe, le projet de loi Hadopi prévoit que la Haute Autorité instruit ses dossiers de riposte graduée à partir des relevés d'infraction réalisés par les ayants droit. Ceux-là font appel à des sociétés spécialisées dans la chasse aux adresses IP sur les réseaux P2P, qui constatent la mise en partage illicite d'une oeuvre et notent la date et l'heure de l'infraction, en face de l'adresse IP du délinquant présumé. [Or une étude (.pdf)|http://dmca.cs.washington.edu/uwcse_dmca_tr.pdf] réalisée par l'Université de Washington arrive à point nommé pour rappeler l'extrême fragilité des procédés employés pour relever l'identité des internautes coupables de téléchargement illégal sur Internet.
Les chercheurs Michael Piatek, Tadayoshi Kohno et Arvind Krishnamurthy ont démontré qu'il était très facile de tromper les systèmes de surveillance pour accuser volontairement ou non des internautes totalement innocents. Ils ont ainsi manipulé des trackers BitTorrent comme n'importe quel internaute peut le faire, pour pointer vers des adresses IP internes à l'Université, qui ne servent à aucun ordinateur. L'effet est probant. L'Université a reçu des plaintes de la part d'ayants droit pour des uploads qui auraient eu lieu à partir... d'imprimantes ou de routeurs WiFi. Malaise.
Le principe de la manipulation est assez simple. Pour télécharger un fichier sur BitTorrent, il faut d'abord télécharger un fichier .torrent qui pointe vers un ou plusieurs trackers. Ces trackers enregistrent la liste des adresses IP de tous les utilisateurs qui partagent le fichier, soit parce qu'ils l'ont déjà téléchargé en entier (les 'seeds'), soit parce qu'ils ont commencé à le télécharger et qu'ils peuvent en redistribuer des morceaux (les 'peers'). Dès qu'un utilisateur souhaite télécharger le fichier, le tracker lui communique sa liste d'adresses IP. Or certains trackers, pour des raisons parfaitement légitimes (l'utilisation d'un proxy par exemple), permettent aux clients BitTorrent de déclarer en tant que peer une autre adresse IP que celle utilisée pour contacter le tracker. Il est alors possible de glisser celle d'une imprimante en réseau... ou celle d'une victime parfaitement innocente.
Or à la grande stupeur des chercheurs, une majorité des chiens de garde de l'industrie culturelle se contentent d'initier une communication avec le tracker pour récupérer la liste des adresses IP, et prennent ce listing pour argent comptant. Sans vérifier que le contenu est effectivement mis à disposition par l'internaute qui se cache derrière l'IP.
La manipulation peut être effectuée de la même manière avec eMule et l'ensemble des réseaux P2P décentralisés. Il suffit à des internautes malicieux de déclarer de fausses IP d'internautes partageant soit-disant le fichier piraté. En faisant une recherche de sources de téléchargements, les ordinateurs des sociétés anti-piratage obtiennent une liste d'adresses IP qui peut contenir celles d'internaute parfaitement innocents.
Mais ces derniers ne pourront jamais le prouver.
Tout irait bien si, en France, les sociétés anti-piratage ne se contentaient pas d'obtenir les listes d'adresses IP à partir de trackers BitTorrent ou de recherches sur les réseaux P2P, mais initiaient systématiquement un téléchargement pour vérifier que le contenu recherché est bien partagé illégalement. Dans ce cas, et à condition de prouver que le fichier partagé est bien un fichier piraté, la preuve serait solide.
Sauf que la CNIL, [pressée par le Conseil d'Etat|http://www.numerama.com/magazine/4664-Piratage-le-Conseil-d-Etat-annule-la-decision-de-la-CNIL.html] de donner son autorisation à la chasse aux pirates, a [validé|http://www.numerama.com/magazine/5769-La-CNIL-autorise-la-Sacem-a-chasser-les-pirates-sur-les-reseaux-P2P.html] un processus qui repose uniquement sur la recherche des adresses IP sources, et qui n'impose pas qu'un téléchargement soit initié sur chacune des adresses IP relevées.
La loi Création et Internet, si elle voyait le jour, institutionnaliserait un procédé de sanction automatisé qui non seulement comporte un haut risque d'injustice, mais qui en plus ne donne aucune chance aux internautes accusés à tort de prouver leur innocence. Il faudrait quand même que le gouvernement réponde à cette simple question : comment un internaute peut-il prouver qu'un jour donné à une heure donnée, il n'a pas partagé l'oeuvre qu'on le suspecte d'avoir partagée. »
Lien vers l'article original :
Cette revue de presse sur Internet fait partie du travail de veille mené par l'April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l'April.
Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.