Logo de l'IPV6 - (cc)source Internet Society http://www.worldipv6launch.org

Oyez ! Oyez, peuple de l’Internet ! Aujourd’hui, c’est la journée mondiale de l’IPv6 !

Derrière cet acronyme barbare se cache un changement important pour Internet : la création de nouvelles adresses IP. Tout objet connecté est associé à l’une de ces adresses, qui consiste aujourd’hui en une suite de chiffres de type 193.43.55.67. Cette association est indispensable, car elle permet aux objets de communiquer entre eux sur le réseau.

Mais avec l’expansion des usages et la multiplication des terminaux, notamment mobiles, le nombre d’objets connectés est près de dépasser le nombre d’adresses disponibles. Internet est au bord de la pénurie. “IPv6″ y remédie en proposant une nouvelle plage d’adresses, dont le format, beaucoup plus long (par exemple, 2001:0db8:0000:85a3:0000:0000:ac1f:8001), permet de multiplier les combinaisons disponibles. Et donc d’éviter la disette.

Soutenue par certains géants du web, Google, Facebook ou l’opérateur AT&T, l’initiative du jour est surtout une occasion d’officialiser le basculement en IPv6. Et d’inciter les sites à s’y mettre, en s’appuyant sur un coup médiatique appuyé.

Mais concrètement, en quoi consiste l’IPv6 ? Si en surface, vous ne devrez vous rendre compte de rien – enfin si tout se passe bien-, ce basculement a en réalité une incidence fondamentale sur le caractère ouvert du Net. Explications de Stéphane Bortzmeyer, architecte réseau à l’Afnic (association en charge d’attribuer les .fr), à destinations des geeks, et surtout des moins geeks /-)

On a conçu IPv4 [l'ensemble des adresses IP que nous utilisons depuis les années 1980, NDLR] en imaginant qu’il n’y aurait qu’un ordinateur par service d’entreprises ou par département d’universités. On était loin de penser à l’ordinateur personnel !

Les 4 milliards d’adresses disponibles sur IPv4 semblaient donc alors être un nombre suffisant ! Ce n’est plus le cas aujourd’hui.

On risque de perdre des choses importantes pour Internet. Aujourd’hui, avec un nombre d’adresses IP suffisant, toutes les machines peuvent parler ensemble sur Internet, sans avoir à demander d’autorisation. S’il est limité, il faudra un intermédiaire entre les machines, qui pourra décider ou non de les connecter entre elles, regarder leur discussion, etc.

C’est d’ailleurs pour ça que l’IPv6 a avancé si lentement : un certain nombre d’organisations voulaient devenir cet intermédiaire. Par exemple, celle qui affirme dans ses publicités : “il y a Internet, et Internet selon nous”. Ce genre d’organisation, qui a en tête que le client ne regarde pas Internet, mais ce que les opérateurs proposent. Beaucoup ne sont pas favorables à l’IPv6.

Un article récent paru sur CNET.com montre d’ailleurs les inquiétudes du FBI à ce sujet : avec l’IPv6 selon eux, les délinquants pourront faire plus de choses. Si les gens gardent un silence pudique sur les conséquences de l’IPv6, c’est aussi pour cette raison. Le basculement en IPv6 est important pour préserver un Internet ouvert.

Pas mettre un terme, mais plutôt tenter de limiter l’Internet ouvert. C’est moins un problème technique qu’une question politique et stratégique.

Les premiers accord autour de l’IPv6 remontent à 1995. C’était au sein de l’IETF (Internet Engineering Task Force), en gros les gens qui font les normes sur Internet.

A côté de ces gens, il y a ceux qui font, qui exécutent sur Internet. Et eux n’ont pas de chef. Ça peut être vu comme une faiblesse, mais c’est aussi une force pour le réseau. Du coup, il a fallu convaincre individuellement des tas de gens.

Mais l’effet de réseau joue dans les deux sens : s’il ralentit le changement au départ, personne n’ayant intérêt à utiliser quelque chose que personne n’utilise, il l’accélère progressivement, avec l’accroissement du nombre des utilisateurs.

C’est assez technique, donc du ressort des informaticiens.
Pour l’utilisateur normal, ça s’apparenterait à la migration d’une voiture de l’essence au diesel : un changement qu’il ne pourrait faire tout seul.

Je pense que le rôle des utilisateurs est de demander à leur fournisseur de basculer en IPv6.

Si le basculement ne rencontre pas de problèmes, les internautes ne verront pas le changement. Par contre, il y aura des conséquences à long terme sur l’évolution d’Internet. Mais a priori, pas sur le vécu des internautes.

Et Internet ne sera jamais complètement cassé ! Le quotidien d’Internet, c’est de rencontrer tous les jours des problèmes et de les résoudre.

Pas de risque global, non. Les sites qui le souhaitent vont faire une manipulation, qui, si elle tourne mal, peut engendrer un souci isolé, dans un coin d’Internet.

Mais beaucoup d’institutions et d’organisations ont déjà basculé depuis longtemps en IPv6. Cette journée mondiale de l’IPv6 n’est pas une obligation : c’est symbolique, rigolo, ça permet de relayer l’information dans la presse… Mais ça ne signifie pas le basculement d’un coup de tout l’Internet ! C’est impossible.

Il n’y a pas de date limite. Internet n’est pas centralisé, il est impossible de fixer ce genre d’ultimatum.

La seule fois où Internet a déjà connu un jour J, c’était en 1983, avec la mise en place d’IPv4. Mais Internet n’avait rien à voir avec celui d’aujourd’hui.

Aujourd’hui, les gens qui veulent faire de l’IPv6 sont ceux qui doivent faire un peu plus d’efforts : IPv4 est encore la règle. Mais dans quelque temps, quand les utilisateurs seront majoritairement en IPv6, les choses s’inverseront, et ce sont les gens qui voudront rester en IPv4 qui devront s’adapter.

Pas vraiment. Les deux sont incompatibles. Aujourd’hui sur un site, il faut prévoir IPv4 et IPv6. Mais ce n’est pas un énorme travail pour un technicien ! Il faut juste y penser et sérieusement.

Aujourd’hui, la part d’utilisateurs sous IPv6 est très faible. Mais prenons un exemple récent : le site qui accueille le scrutin des français de l’étranger, diplomatie.gouv.fr, n’a pas pensé à l’IPv6. Donc les gens qui sont en IPv6 ne peuvent pas se connecter dessus.

Alors d’accord, aujourd’hui il n’est pas encore impératif d’être accessible en IPv6. Mais ça deviendra de plus en plus un problème. Surtout que la migration prend du temps. Donc ce n’est pas grave si des sites ne sont pas aujourd’hui accessibles en IPv6. C’est plus grave de ne pas avoir enclenché le processus.

Illustration CC Internet Society

Après avoir présenté dans ses grandes lignes l’éthos qui anime les concepteurs d’Internet la semaine dernière, il s’agit désormais de comprendre comme cet éthos a débouché sur certaines caractéristiques essentielles. Ces caractéristiques techniques sont, comme on va le voir, au fondement de la malléabilité d’Internet et donc de la liberté de communication rendue possible par le « réseau des réseaux ».

Le premier choix technique essentiel consiste à organiser Internet sur une architecture relativement simple et obéissant selon le principe du « bout-à-bout » («end-to-end » en anglais) . Pour que les réseaux interconnectés soient compatibles (ou « interopérables »), les concepteurs d’Internet ont fait le choix d’un principe de fonctionnement relativement simple, fondé sur trois niveaux de couches jouant différents rôles dans le transport de l’information. Au niveau inférieur, on trouve tout d’abord la couche physique du réseau, qui correspond aux réseaux physiques, filaires ou hertzien, le long desquels circulent les données (des protocoles permettent par exemple l’allocation de la bande passante entre différents utilisateurs, ou encore le formatage des données). Au niveau supérieur se trouve la couche « applicative », constituée par les applications que les utilisateurs finaux du réseaux utilisent pour communiquer (email, web, messagerie instantanée, peer-to-peer, etc). Au milieu, se trouve enfin la couche des protocoles de transport, tel le protocole TCP, et le protocole IP, qui est utilisé par tous les paquets de données transitant sur Internet et permet leur adressage en vue de leur transmission depuis un émetteur vers un récepteur.

IP et transmission des paquets

Comme l’explique Walid Dabbour, chercheur à l’Institut National de Recherche en Informatique Appliquée (INRIA), celui-ci joue en fait un double rôle. Chaque machine connectée est dotée d’une adresse IP qui l’identifie et la localise au sein du réseau.

Elle prend la forme d’une série de chiffres de type 138.96.196. : il s’agit de l’équivalent dans le réseau Internet de l’adresse postale . Au contraire de la commutation par circuit qui caractérise le réseau téléphonique ou le Minitel, qui nécessitent l’établissement d’un liaison continue entre deux points du réseau cherchant à échanger de l’information et qui suppose une intelligence du réseau capable de localiser l’émetteur et le récepteur. Dans le réseau Internet, les paquets sont transmis indépendamment les uns des autres entre les différents routeurs, qui sont les équipements physiques chargés d’orienter à partir de la seule adresse de réception les paquets de données au sein du réseau. Il se peut que, pour un même fichier scindé en différents paquets de donnés, les paquets empruntent des routes différentes.

Cette architecture en couches est traditionnellement représentée sous la forme d’un sablier. Du fait du fonctionnement indépendant de ces différentes couches, n’importe qui peut ainsi développer des protocoles applicatifs sans avoir à se préoccuper de la couche physique, ni du transport des données. Si un fournisseur d’accès Internet décide de déployer de nouvelles méthodes d’allocation de la bande passante entre utilisateurs, le développeur d’un programme de messagerie instantanée n’a pas besoin de réécrire le code pour faire fonctionner son application.

Les deux couches, physiques et applicatives, fonctionnent indépendamment l’une de l’autre. Cette architecture technique permet donc un modèle de fonctionnement décentralisé, ou les différents acteurs du réseau peuvent agir en toute autonomie sans avoir à se soucier des actions des autres. Chacun peut donc participer au développement de l’architecture globale sans besoin de coordination.

Grâce à la commutation par paquet et le système d’adressage par IP, un grand nombre de configurations communicationnelles différentes peut se développer entre les différents points de ce réseaux. Du point à point, et donc une communication privée, dans le cas où seuls deux ordinateurs connectés sont en communication (similaire à une communication radio entre deux talkies-walkies ou une conversation téléphonique). Du point multipoint, dans le cas où un ordinateur diffuse des données en direction de plusieurs ordinateurs. Selon le nombre de destinataires et le caractère ou non confidentiel de la communication, on passe alors dans un schéma de « communication », c’est-à-dire de mise à disposition du public un message. Enfin, et c’est la une vraie nouveauté, Internet permet aussi des configurations multipoint-à-multipoint, ou une diversité d’émetteurs peut envoyer de l’information à une diversité de récepteurs.

C’est notamment le cas des application peer-to-peer ou des jeux en ligne multijoueurs. La commutation par paquets adressés séparément les uns des autres permet, enfin, qu’un même point du réseau établisse simultanément un nombre potentiellement infini de communications distinctes. Ainsi, on peut écouter de la musique en streaming (avant tout une réception point-à-multipoint), tout en échangeant avec un ami au travers d’un client de messagerie instantanée (communication point-à-point), et en postant une contribution à un blog collectif (émission multipoint-à-multipoint). Du point de vue des modes de communication qu’il rend possible, Internet est donc extrêmement versatile.

Jouissance et liberté des utilisateurs

L’architecture d’Internet en couche indépendante permet de faire d’Internet un réseau « malléable », fondé sur une structure « bout-à-bout ». Ce principe structurel fut pour la première fois formalisé et exposé en 1981 par Jérôme Saltzer, David P. Reed, et David D. Clark. Selon eux, la fiabilité du système impose de faire en sorte que le contrôle des protocoles ait lieu autant que faire se peut en bout de réseau. Là encore, il s’agit de laisser aux utilisateurs du réseau le contrôle de celui-ci, et de favoriser un modèle a-centré, dans lequel l’intelligence est poussée en périphérie.

Les concepteurs d’Internet ne souhaitaient pas prédire les innovations qui surviendraient que ce soit dans la couche inférieure ou dans la couche supérieure de l’architecture d’Internet. Il se sont contentés de trouver un dénominateur commun, le protocole IP, qui permet un transport fluide des données entre plusieurs réseaux. Il suffisait (et il suffit encore) à un opérateur de réseau d’être interconnecté à d’autres réseaux et d’obtenir une adresse IP pour pouvoir émettre et recevoir de l’information. Outre ce pré-requis, Internet est un réseau dit « future-proof », ne limitant pas les utilisations qui peuvent en être faites puisqu’adaptables à l’envi par ses utilisateurs. C’est pour cela que l’on trouve une grande variété de protocoles dans la couche physique et dans la couche applicative du réseau.

Selon Jonathan Zittrain cette plasticité du réseau Internet est une caractéristique essentielle qui explique sa supériorité sur d’autres réseaux de communication – fondé sur les mêmes principes technologiques mais propriétaires et contrôlés par l’opérateur du réseau – qui, dans les années 1980, proposaient eux aussi des services de ligne. L’environnement informationnel dont nous héritons aujourd’hui est fondé selon lui sur ce concept de « générativité », ou de malléabilité, qui caractérise non seulement Internet, mais également les ordinateurs que l’on y connecte. Zittrain définit la « générativité » de la manière suivante :

« La générativité est la capacité d’un système donné à produire des évolutions non anticipées au travers des contributions non-filtrées des utilisateurs »

La « générativité » repose donc sur des libres contributions des utilisateurs. L’écosystème informationnel qui résulte du couplage d’Internet et des postes informatiques eux aussi « malléables », est fondé sur la liberté dont jouissent les utilisateurs.

Cet écosystème est propice à l’innovation. La création du World Wide Web par le britannique Tim Berners-Lee, alors chercheur au CERN , est un exemple majeur de cette faculté d’Internet d’engendrer de nouvelles manières de communiquer. Avant la création de la « toile », Internet était un outil utilisé par la communauté scientifique, et les applications étaient pour l’essentiel limitées à l’envoi de courriers électroniques, au transfert de fichiers ou à la participation à des groupes de discussion et autres forums thématiques. Le protocole HTTP va révolutionner la manière dont l’information peut se partager sur Internet, grâce à l’utilisation de liens hypertexte permettant de naviguer sur Internet entre différents serveurs connectés au réseau au moyen de simples clics. Comme les membres du projet ArpaNet avant lui, Berners-Lee va rendre public ces protocoles et collaborer avec d’autres chercheurs pour les améliorer. Comme l’explique Philippe Aigrain, les conséquences sociales de cette innovation sont colossales :

La Toile, conçue sur la base d’Internet et sur les mêmes principes de protocoles pair à pair, ouverts, asynchrones et équitables, devint la mémoire et l’espace de coopération de groupes d’une échelle sans précédent. La Toile met en place un réseau gigantesque et non coordonné de contenus textuels ou graphiques (…). C’est une remarquable invention sociale, car elle permet une création distribuée, avec un très faible coût d’entrée pour devenir auteur »

Avec le Web, Internet devient un moyen de communication grand public, il se démocratise. Et puisque de nouvelles audiences se constituent dans cet espace public en gestation, les premiers acteurs commerciaux y investissent pour se rendre visibles mais aussi et surtout pour profiter de cet extraordinaire canal de distribution de biens et services, avec le développement progressif de ce qu’on appelle assez étrangement le « commerce électronique ». En retour, l’effet de réseau joue à plein et on assiste à l’arrivée de ces nouveaux adeptes d’Internet, qui sont ainsi introduits à ce nouvel univers communicationnel.

Depuis le World Wide Web, des milliers d’autres innovations ont eu lieu : l’arrivée de la vidéo, des protocoles d’échanges peer-to-peer, la téléphonie sur IP (rendue célèbre avec l’application Skype) et de bien d’autres encore, plus ou moins confidentielles, mises au point par des étudiants passionnés d’informatique, des entreprises de tailles diverses, des centres de recherche publics… Prises dans leur ensemble, elles font d’Internet un moyen de communication d’une richesse inégalée ; un réseau en constante évolution, inventant sans cesse de nouvelles formes d’ « action communicationnelle ».

La neutralité du réseau

Du fait de son rôle historique dans le développement de ce que Yochai Benkler nomme « l’économie informationnelle en réseau » , le principe « bout-à-bout » est essentiel à la liberté de communication permise par Internet et à l’innovation qui en résulte. Il garantit que l’utilisateur final préserve en bout du réseau l’autonomie nécessaire à une libre utilisation de cet outil de communication et notamment du type d’information qu’il entend y faire circuler. Ce principe va donc également de paire avec la neutralité du réseau.

Le réseau, entendu non pas comme l’ensemble des nœud mais comme l’architecture physique qui relie ces nœuds entre eux, ne remplit qu’un rôle de « simple transport ». En 2011, près de deux milliards d’êtres humains se connectent régulièrement en ligne et ont pour l’essentiel le choix des outils qu’ils utilisent pour s’y connecter.

En revanche, chacun d’entre eux reste dépendant d’un fournisseur d’accès, qui remplit le rôle du facteur en transportant les données. Historiquement, le rôle de ces opérateurs de réseaux est limité. Ils se contentent de construire l’infrastructure physique permettant de relier physiquement les « consommateurs » aux grands réseaux de télécommunications mondiaux. Ils leur fournissent une adresse IP leur permettant d’être localisable, d’émettre et recevoir de l’information, c’est-à-dire d’exister au sein d’Internet. En leur qualité de prestataire, les fournisseurs d’accès s’assurent du bon fonctionnement de l’infrastructure télécom dont ils ont la charge. Leur rôle s’arrête là. La communication entre deux points du réseau est toujours traitée de la même manière, quelque soit l’émetteur, le destinataire ou la nature des données transportées. En ce sens, Internet est un réseau neutre.

Lors des Rencontres Mondiales du Logiciel Libre de 2009, Benjamin Bayart, pionnier de l’internet en France et président du fournisseur d’accès associatif French Data Network (FDN), propose de définir quatre axiomes pour tout fournisseur d’accès à Internet : 1) transmission des données par les opérateurs sans en examiner le contenu; 2) transmission des données sans prise en compte de la source ou de la destination des données ; 3) transmission des données sans privilégier un protocole de communication ; 4) transmission des données sans en altérer le contenu.

La neutralité du Net garantit ainsi que les données transitent de manière non discriminée sur le réseau. Le mode de transport dépend des décisions et des protocoles choisis par l’utilisateur final, en bout de réseau, et le transporteur qu’est l’opérateur de réseau se contente de les relayer au sein du réseau dont il a la charge. Ce principe de fonctionnement vient, là encore, d’une volonté de décentraliser au maximum la gestion des activités communicationnelles. C’est aujourd’hui ce concept de neutralité qui cristallise les débats politiques et juridiques relatifs sur la manière dont le droit doit s’appliquer sur Internet.

Les nouvelles « affordances »

Le principe bout-à-bout, la plasticité du réseau qu’il engendre, ainsi que la neutralité de l’infrastructure de transport constituent l’identité d’Internet. Elles en font un réseau de pairs, où chaque nœud est égal à tous les autres. La structure technique d’Internet crée ce que les sociologues nord-américains nomment les « affordances ».

Ce mot anglais, repris tel quel par certains auteurs francophones, semble renvoyer à première vue à un concept sophistiqué. Il n’en est rien : il s’agit simplement des potentialités qu’offre une situation sociale particulière, un objet ou une technologie, pour faciliter certains modes d’interaction sociale ou de configurations politiques. Pour l’illustrer, Benklerdonne l’exemple de l’imprimerie, qui a eu des conséquences différentes sur les taux d’alphabétisation dans les sociétés dans lesquelles elle était introduite, en fonction de l’environnement socio-culturel de ces dernières. L’effet d’entraînement fut bien plus important dans les pays où la pratique de lecture personnelle était encouragée par le système social (religieux en l’occurrence) – tels que la Prusse, l’Écosse, l’Angleterre ou le nord-est des États-Unis – que dans les pays qui décourageaient l’interaction directe avec les textes religieux, comme en France ou en Espagne.

L’environnement socio-culturel conditionne en première instance les effets de la technique, ici l’imprimerie. En dépit de sa simplicité, ce concept d’ « affordance » est important, car il permet de s’interroger sur les enjeux socio-politiques d’une technologie donnée tout en sortant de l’impasse conceptuelle du déterminisme technologique, qui pose une relation de stricte causalité entre une technologie et un processus de changement social qu’elle est supposée provoquer. La technologie ne fait que faciliter certains processus ; elle met en capacité et c’est déjà beaucoup.

—
Retrouvez tous les articles sur la neutralité, ainsi que notre dossier du jour (image de Une: Elsa Secco):

- Pour un Internet “neutre et universel”
- Neutralité en Europe: laissez-faire et petits pas

> Article publié initialement sur We The Net sous le titre Les caractéristiques d’Internet et ses potentialités politiques

> Illustrations Truthout, _boris et RémiC

Peut-on utiliser l’IP de quelqu’un d’autre?

La réponse est oui, mais pas sans conditions et certainement pas à l’aide d’un sabre et d’un perroquet.

Il existe trois grande familles de protocoles servant à faire voyager des données sur Internet (il y en a en réalité beaucoup plus, mais ces trois la représentent la majorité des applications)

• ICMP, qui sert principalement aux machines elles-mêmes pour s’échanger des informations sur l’état du réseau et des autres machines (telle machine ne répond pas, tel portion du réseau réclame des paquets plus petits, …) et accessoirement permet de s’assurer qu’une machine répond un minimum.
• UDP, qui sert principalement aux applications dites “temps réel” (la téléphonie, quelques applications de vidéo, …) et dont la particularité est de ne pas effectuer de contrôle d’intégrité de la transmission. En français, avec ce protocole, la machine qui reçoit un paquet n’a aucun moyen de savoir si un autre paquet aurait dû être reçu avant et si celui-ci s’est perdu en route.
• TCP, qui représente l’immense majorité des usages (c’est là-dessus que voyagent le web, le mail, le FTP, les newsgroup, les vidéos Youtube, etc ..) qui, lui, dispose en interne d’un mécanisme de contrôle s’assurant que tous les paquets émis sont bien reçus et peuvent être remis dans le bon ordre à l’arrivée.

Un ordinateur peut envoyer sur le réseau un paquet avec n’importe quelle adresse IP comme source (de la même façon que n’importe qui peut envoyer un email venant  de nicolas.sarkozy@elysee.fr).

Personne, en tout cas pas derrière une connexion ADSL, ne peut en revanche recevoir des données envoyées à une IP qui n’est pas la sienne (de la même façon que vous ne pouvez pas recevoir de réponse à votre mail envoyé depuis nicolas.sarkozy@elysee.fr)

Partant de la, ICMP et UDP n’ayant aucune notion de contrôle d’intégrité, on peut envoyer à peu près n’importe quoi à n’importe qui, mais les conséquences sont généralement minimes. Sauf envoi massif pour saturer la connexion de l’ordinateur cible, le seul dégât que vous pourriez peut-être causer, c’est de rompre une communication en cours qui se relancerait d’elle même quelques instant plus tard.

Avec TCP, par contre, pour établir une connexion avec une machine distante (par exemple avec le serveur de mail de votre fournisseur) vous devez envoyer une demande de connexion (SYN) qui contiendra un numéro de séquence à respecter et à laquelle, pour simplifier, l’autre va répondre (SYN/ACK) avec un autre numéro de séquence que vous allez devoir reprendre (ACK) pour pouvoir commencer la discussion et la poursuivre. Sans avoir le numéro de séquence envoyé par le serveur (puisque vous ne pouvez pas recevoir les paquets à destination de la fausse IP que vous voulez prendre), il est strictement impossible de maintenir une connexion TCP ouverte.

Il est éventuellement imaginable d’arriver par chance à deviner ce numéro de séquence (c’était plus facile il y a quelques années quand les système choisissaient des numéros de séquence avec un algorithme plus que douteux quant à sa faculté à générer du hasard) et donc de pouvoir envoyer des données, mais c’est sans compter sur la destination réelle des réponses de la cible de votre attaque qui se rebiffera rapidement en disant que “non, je n’ai jamais demandé à établir cette connexion, ferme la !”. Tout ceci se jouant en quelques secondes, on peut valablement dire que “non, on ne peut pas prendre une IP au hasard”, qui plus est pour télécharger un film sur un réseau P2P, chose qui, d’une part, prend généralement quelques heures au bas mot, et d’autre part nécessite de pouvoir recevoir des données.

Ce qu’on peut faire

Ce qui est par contre possible de faire, c’est d’utiliser l’ordinateur de quelqu’un d’autre à son insu pour y faire passer ses propres données et, de fait, utiliser son IP. Pour cela, il faut l’avoir piraté d’une manière ou d’une autre (avec un virus envoyé par email que l’internaute à ouvert volontairement, pensant trouver des photos de sa femme, en exploitant une faille de sécurité, ou tout simplement en ayant l’occasion de s’assoir devant pour y installer discrètement un logiciel de prise en main à distance)

De même, avec un réseau wifi, on utilise l’IP du propriétaire de la connexion qui est au bout (exception faite du service Freewifi qui distribue une IP publique différente de celle de l’abonné dont on utilise la box).

Autre méthode, fortement conditionnée par le fait d’être sur un réseau de type réseau local d’entreprise, il n’est pas rare que les switchs reliant tous les ordinateurs ne soient pas configurés pour empêcher les postes de changer d’IP. Vous pouvez donc théoriquement, dans ce cas, utiliser n’importe quelle IP voisine de la vôtre (celle du collègue parti en vacances et qui a éteint son PC, deux machines avec la même adresse ne pouvant cohabiter). Même chose pour beaucoup de réseaux wifi publics couvrant les zones blanches ADSL.

Enfin, tous les services de VPN permettent, contre une obole mensuelle de l’ordre de 5 euro, de bénéficier d’une adresse IP complètement indépendante de son FAI mais vous ne la volez à personne puisqu’elle est là pour ça. Ceci dit, c’est au détriment de la vitesse et du débit de la connexion, toutes les données devant transiter par la plateforme VPN généralement située très loin et pratiquant le surbooking à outrance niveau bande passante pour être rentable.

Billet initialement publié sur Turb(l)o(g)

illustrations FlickR CC : Darren Hester, splorp

Jeudi dernier, la Hadopi (Haute autorité pour la diffusion des œuvres et la protection des droits sur internet) était auditionnée en Commission des affaires culturelles et de l’éducation, à l’Assemblée nationale. Plus précisément sa présidente, Marie-Françoise Marais, son secrétaire général, Éric Walter et Mireille Imbert-Quaretta, présidente de la commission de protection des droits (CPD). Le compte-rendu de l’audition est disponible sur le site de l’Assemblée nationale. Résumé.

Calendrier

Tout d’abord, Marie-Françoise Marais tient à préciser que “si d’aucuns critiquent les délais, le calendrier réglementaire se déroule normalement”. À propos de l’envoi des premiers mails d’avertissement, elle déclare : “le système d’information sera opérationnel d’ici à la fin du mois. Il sera alors techniquement possible d’envoyer les premiers avertissements.” Avant d’ajouter plus loin : “Nous sommes prêts sur le plan technique à intervenir du jour au lendemain (…) je n’ai pas d’angoisse quant aux décrets.”

Justement, à propos des quatre décrets qu’il reste encore à publier, elle précise : “le décret relatif à l’infraction de négligence caractérisée est passé devant le Conseil d’État et devrait être publié à la fin du mois, tout comme le décret relatif à la procédure devant la CPD.” On devrait donc bientôt savoir ce que cache la notion de “négligence caractérisée” d’un accès Internet prévue par la loi Hadopi 2 à l’article L335-7-1 du code de la propriété intellectuelle [maj : il vient juste d'être publié au Journal Officiel ndlr]. Et avoir des détails sur l’instruction des dossiers et donc le mécanisme de sanctions. Système qui devra ensuite être validé par la Cnil comme elle nous le rappelait il y a quelques jours : “ce décret n’est pas encore paru, donc il n’a pas encore été été soumis à la Cnil. Aujourd’hui, le volet pénal ne peut donc pas être mis en œuvre.”

Concernant les deux autres décrets, relatifs à l’offre légale et aux moyens de sécurisation, Marie-Françoise Marais indique qu’ils “sont attendus au plus tard début juillet“. Et qu’“une première version” de la rédaction des spécifications fonctionnelles des moyens de sécurisation, confiée à Michel Riguidel, “sera présentée fin juin au collège de la Haute autorité”. Éric Water précise : “Si elle donne satisfaction, nous passerons à la seconde étape prévue par le législateur, une consultation publique sur ces spécifications fonctionnelles, avant qu’elles ne deviennent l’outil de référence.”

50 000 saisines par jour ou pas

Mireille Imbert-Quaretta se fait plus évasive  : “On nous interroge beaucoup sur les dates d’envoi des premiers mails. Tant que nous n’avons pas délibéré, nous ne pouvons ni les connaître, ni savoir combien nous enverrons d’avertissements. Il est vrai qu’on nous annonce 50 000 saisines par jour. Mais je rappelle que la CPD « peut »… ou peut « ne pas ».

Interrogée sur les critères retenus pour sanctionner telle ou telle adresse IP, elle reporte cette question à la réception des premières saisines : “Nous n’avons pas encore toutes les réponses, puisque nous n’avons pas encore été saisis…” Avant d’indiquer : ” Nous ne traiterons pas 50 000 saisines par jour, mais peut-être pourrons-nous le faire in fine, au moins pour le premier mail. Rien ne nous limite cependant à l’envoi de ces premiers mails. Tout cela va être défini par la CPD, sachant que ne traiter qu’une partie des plaintes n’est pas non plus un objectif…”.

Avant encore d’ajouter plus loin : “Je ne puis vous répondre aujourd’hui sur la volumétrie, ni vous dire à quelle date nous déciderons d’envoyer les premiers mails. Nous sommes techniquement prêts à envoyer les premières recommandations, mais nous ne le ferons que lorsque nous serons assurés d’une parfaite sécurité en termes de protection des données personnelles. (…) Il est d’une importance capitale de mettre en œuvre un système sans le moindre risque sur ce point.”

Négligence caractérisée

Concernant la négligence caractérisée, toujours Mireille Imbert-Quaretta rappelle qu“il n’y a plus de lien entre la constitution de négligence caractérisée et la mise en œuvre d’un moyen de sécurisation labellisé par la Hadopi. Dans la loi Hadopi 1, il y avait quasiment présomption de responsabilité et automaticité ; la mise en place d’un outil de sécurisation était donc une cause exonératoire. Désormais, cette cause n’a plus de raison d’être.”

Sur la définition même de la négligence caractérisée, et son appréciation par la CPD, elle précise : “nous sommes l’autorité qui va traiter les plaintes ; nous ne négocions pas plus qu’un officier de police judiciaire ne négocie avec les victimes. Nous allons donc être saisis de ce que les titulaires de droits considèrent comme des infractions, des faits matériels susceptibles de constituer un délit de contrefaçon. C’est nous qui allons établir la négligence caractérisée.” Puis d’indiquer : “la négligence caractérisée, ce n’est pas le téléchargement illégal : elle concerne précisément ceux qui ne se rendent pas bien compte de ce qu’ils font. Mais nous ne pourrons en savoir plus que lorsque les premiers mails auront été adressés et que leurs destinataires nous auront répondu.”

Traitement au “cas par cas”

Plus tard, elle revient sur la notion de traitement “au cas par cas”, et l’adaptation des critères aux retours des premiers destinataires des mails d’avertissement : “Lorsque nous aurons (…)  reçu un certain nombre de réponses – à mon avis à l’automne – nous aurons une idée du nombre d’internautes qui répondent et du nombre de ceux qui demandent les œuvres. Imaginons qu’il s’agisse d’enfants ou d’adolescents et que leurs parents, titulaires de l’abonnement, les privent d’accès Internet après avoir découvert ce qui s’est passé : c’est un moyen de sécurisation ! Il faut donc laisser ouverte la possibilité de prendre en compte les observations de tous ceux qui nous apporteront des réponses. La CPD, c’est du « cousu main » !”

“Mais vous n’êtes que trois personnes. Je vois mal comment vous pourrez traiter l’ensemble des saisines” s’interroge alors le député (UMP) Lionel Tardy.

Après avoir rappelé qu’avec les suppléants, ils sont six et non trois, Mireille Imbert-Quaretta répond : “La volonté du législateur n’est pas de pénaliser en masse. Selon l’étude d’impact de la loi, 80 % des cas de négligence caractérisée disparaîtraient après le premier mail, et 90 % après la deuxième lettre recommandée. Je le redis, nous ne nous occupons pas des pirates.” Et plus loin de redire : “À partir du moment où une délibération entre les trois membres du CPD est nécessaire avant toute transmission au parquet, il est évident que nous n’enverrons pas 100 000 dossiers par an.“

Les logiciels de sécurisation

Selon Eric Walter, les éditeurs de moyens de sécurisation “sont nombreux sur le marché“. Et il est “probable qu’un certain nombre d’entre eux se déclareront prêts à essayer de répondre aux critères définis par ces spécifications fonctionnelles”. Répondant aux inquiétudes quand aux problèmes soulevés par le logiciel anti-peer-to-peer d’Orange, il indique : “Cela n’a en effet pas été le cas du logiciel Orange. L’éditeur a voulu aller vite, mais dans le cas présent il n’était pas possible d’anticiper.” Éludant par là la question, soulevée par de nombreux parlementaires, sur le lien direct entre ce logiciel et Hadopi.

Le député (PS) Patrick Bloche s’interroge alors : “Comment pouvez-vous renvoyer, dans le mail, à des logiciels de sécurisation qui n’ont pas été labellisés au préalable ?”

Mireille Imbert-Quaretta répond : “La loi nous dit que nous pouvons envoyer des informations sur l’existence de moyens de sécurisation. Un autre article nous dit que les FAI ont l’obligation d’offrir des moyens de sécurisation. La loi « Hadopi 2 » ne dit pas que dans l’avertissement, la CPD doit envoyer des informations sur les moyens de sécurisation labellisés par la Hadopi. Les avertissements rappelleront donc qu’il faut sécuriser et que les FAI ont l’obligation d’offrir des moyens de sécurisation ; mais nous n’allons pas imposer des moyens de sécurisation labellisés. En revanche, lorsque l’internaute aura installé un système labellisé, son cas sera examiné avec une attention bienveillante…”

Cela confirme que les premiers mails d’avertissement ne contiendront pas la liste des logiciels de sécurisation, mais ne feront que rappeler à l’abonné qu’il faut sécuriser son accès. Mireille Imbert-Quaretta se base sur l’article 331-26 du texte de la loi Création et Internet qui dit “peut” envoyer et non “doit”. [maj] Surtout, il dit que la recommandation contient «une information (…) sur l’existence de moyens de sécurisation”. Et “des” moyens labellisés par l’Hadopi.

Par contre, à aucun moment, le texte ne dit que les FAI ont l’obligation d’offrir des moyens de sécurisation. L’article 331-5 dit que les FAI “doivent informent leurs nouveaux abonnés et les personnes reconduisant leur contrat d’abonnement sur l’offre légale de contenus culturels en ligne, sur l’existence de moyens de sécurisation”. Et l’article 331-32 que ces derniers seront consultés pour la rédaction du cahier des charges par la Hadopi de ces outils.

Conflit d’intérêt ?

À propos de Michel Riguidel, chargé de définir le cahier des charges de ces moyens de sécurisation, le député Lionel Tardy (UMP) demande : “M. Riguidel a déposé avec un ancien conseiller de Mme Christine Albanel un brevet sur le filtrage : cela ne constitue-t-il pas un conflit d’intérêts, les mesures défendues par la Hadopi pouvant avoir un impact sur l’avenir patrimonial du brevet ?”

Et Marie-Françoise Marais de répondre : “Je voudrais vous dire un mot, en tant que magistrat, des experts. J’ai eu à connaître, tout au long de ma carrière, de très nombreuses affaires de brevets. Dans ce domaine, lorsqu’on a recours à un expert, il faut qu’il soit très pointu, et par conséquent issu du milieu. Ce n’est donc pas parce qu’un expert a lui-même déposé un brevet qu’il doit être suspecté de partialité. Les experts dignes de ce nom ne se trouvent que sur le terrain – et ceci est une règle générale pour nous magistrats.”

Seulement le peer-to-peer ?

Les autorisations données par la Cnil aux ayants droit pour la collecte et la transmission d’adresses IP ne concernent que les échanges réalisés sur les réseaux peer-to-peer. “Les autres utilisations d’Internet (web, envoi de mails, réseaux sociaux, etc.) ne sont pas concernées”, rappelait récemment Yann Padova, de la Cnil.

Citant Frank Riester, le député (PS) Patrick Bloche s’interroge : “Lors de l’examen de la loi « Hadopi 2 », le rapporteur, convenant que le peer-to-peer était dépassé et que nous étions à l’ère du streaming, a assuré que la Hadopi pourrait également contrôler ce type de pratique. Qu’en est-il ?”

Marie-Françoise Marais répond : “Nous nous occupons du peer-to-peer. On nous dit qu’il serait déjà dépassé, mais la loi ne limite pas les missions de la Hadopi. Rien n’exclut donc que nous nous attaquions au streaming et aux autres techniques qui surgiront immanquablement : la Hadopi doit être à même de suivre les évolutions techniques d’Internet et de s’y adapter.”

Le budget de la Hadopi

Sur le budget de la Hadopi, Marie-Françoise Marais indique : “le Parlement a voté deux budgets prévisionnels, qui s’élevaient respectivement à 6,7 millions d’euros pour 2009 et à 5,3 millions pour 2010. Le budget pour 2009 n’a été que très partiellement consommé – d’où sa réduction l’année suivante. (…)  Après avis de la CPD, les membres du collège délibèrent sur le montant des crédits nécessaires et sur le budget annuel, ainsi que sur ses modifications en cours d’année. Le budget prévisionnel couvre les premières dépenses courantes, un deuxième doit être adopté lors de la prochaine réunion du collège. D’ici la fin juin, nous proposerons un projet de budget annuel et des demandes de crédits pour 2011-2013.” Et Éric Walter de préciser : “au total, le budget 2010 s’élève donc à environ 10 millions d’euros, financés à la fois par la loi de finances pour 2009 et par la loi de finances pour 2010.”

Revenant sur le nombre de mécanisme de riposte graduée décrit par les membres de la Hadopi, le député (PS) Marcel Rogemont réagit alors : “si vous ne deviez établir que dix infractions par an pour un budget dépassant les 10 millions d’euros, cela ferait cher de l’infraction !”

Et le coût des mesures techniques ? s’interroge Patrick Bloche. Eric Walter répond : “pour être franc, je n’ai pas pris connaissance du rapport du Conseil général des technologies de l’information (CGTI), dont est tiré le chiffre de 70 millions d’euros.” Selon lui, “une confusion s’est opérée entre le coût de l’aménagement des infrastructures nécessaires pour procéder aux éventuelles suspensions d’accès à Internet et le coût de l’identification des adresses IP.” Sans pour autant revenir sur le coût de ces aménagements et sur qui le prendra en charge. Se contentant d’indiquer :“S’agissant de la compensation financière, il n’existe pas à ma connaissance de blocage avec les opérateurs.”

… et le salaire de sa présidente

Suite aux révélations par le Canard Enchaîné que Jeannette Bougrab, présidente de la Halde, aurait fait voter le doublement de son salaire, Lionel Tardy demande alors à Marie-Françoise Marais, “dans un souci de transparence”, “d’indiquer [ses] rémunérations et avantages liés à [ses] différentes fonctions”.

“Quant à mon salaire, répond-elle, il s’agit d’une indemnité qui doit faire l’objet d’un arrêté conjoint des ministres de la Culture et des Finances. Celui-ci n’a pas encore été pris. Il en va de même pour les membres de la Hadopi.”

Questions sans réponse

Face à ses réponses, beaucoup de sujets, dans le détail, restent flous. Et on peut regretter que certaines questions des parlementaires n’ont pas donné suite. “Le champ de vos questions est très large… Mais je ne suis pas M. Domenech !”, se justifiera Marie-Françoise Marais.

Par exemple certaines questions, pourtant intéressantes, de Lionel Tardy : “Comment l’outil de sécurisation que devra installer l’abonné permettra-t-il de ne pas télécharger les titres d’un artiste si l’outil ne sait pas quelles sont les œuvres protégées ? Cet outil va-t-il servir de socle à un futur filtrage des contenus à la volée ? Envisagez-vous de coupler ce logiciel avec un mécanisme de dépôt légal des œuvres ? Quelle est selon vous la fiabilité ou la force probante d’une adresse IP ? Un abonné utilisant un logiciel bloquant le peer-to-peer sera-t-il considéré comme ayant sécurisé sa connexion ? Que se passera-t-il si deux ordinateurs sont connectés sur une box et que le logiciel n’est installé que sur l’un d’eux ?”

Beaucoup de questions sans réponse donc, mais la création d’un “centre d’appels”. “Les usagers qui recevront un mail pourront ainsi accéder s’ils le souhaitent à des informations précises, qui leur seront données par les agents de la CPD”, a ainsi annoncé Eric Walter. Ouf !

—

Image CC Flickr Will Lion

“Le principe de l’Hadopi se divise en deux étapes : l’envoi des messages à vocation pédagogique et les sanctions, dont la coupure de l’accès Internet qui a beaucoup fait parlé lors des débats” nous rappelle la Commission. “La Cnil a autorisé l’émission des messages, et, lors de sa séance plénière du 10 juin, la transmission des adresses IP à l’Hadopi (autorisation donnée à quatre sociétés de perception des droits d’auteur pour la collecte d’IP sur les réseaux peer-to-peer, et leur transmission à l’Hadopi ndlr).”

“Aujourd’hui seulement une partie de la loi peut donc être mise en œuvre”

Concernant les sanctions prévues par la loi, la Cnil nous indique qu’elles “se trouvent dans le volet pénal, qui doit faire l’objet d’un décret. Ce décret n’est pas encore paru, donc il n’a pas encore été été soumis à la Cnil”. Elle poursuit : “aujourd’hui seulement une partie de la loi peut donc être mise en œuvre”. Et donc, qu’à ce jour,“le volet pénal ne peut pas être mis en œuvre”.

Il faut notamment que soient précisées, par décret, les “règles applicables à la procédure et à l’instruction des dossiers” devant le collège et la commission de protection des droits de la Haute Autorité. Ainsi que les éléments constitutifs de la “négligence caractérisée” prévue à l’article 8 de la loi Hadopi 2. Début mai, l’Hadopi indiquait à nos confrères de PC Inpact que : “L’infraction de négligence caractérisée n’est pas encore définie. C’est le décret en Conseil d’État qui va définir l’infraction de négligence caractérisée.” Quelques jours plus tard le ministère de la Culture assurait de son côté que ce décret “est en cours d’examen au Conseil d’État“. Tout en précisant que la négligence caractérisée “consistera à ne pas, sans motif légitime (notamment financier ou technique), sécuriser son accès Internet en dépit d’une recommandation valant mise en demeure adressée en ce sens” par la Haute Autorité.

Sans ces décrets, l’Hadopi peut-elle procéder à l’envoi des mails et des lettres recommandées d’avertissement ? “Oui, nous répond la Cnil. Et ça n’est pas une aberration”.

Le logiciel de sécurisation ? “Ça c’est un autre problème”

L’une des autres mesures prévues par la loi, et n’ayant toujours pas fait l’objet d’un décret, concerne la procédure d’évaluation et de labellisation des moyens de sécurisation destinés à “prévenir l’utilisation illicite de l’accès à un service de communication au public en ligne”. Interrogée sur ce point, la Cnil nous répond : “Ça c’est un autre problème”. La Cnil demandera-t-elle a être consultée à ce sujet ? “Cela dépendra comment est conçu le logiciel. Par exemple s’il y a un traitement de données à caractère personnel”, nous indique t-on. C’est une possibilité, mais aujourd’hui, c’est prématuré.”

Et la Commission de souligner que “l’avis de la Cnil est consultatif, le gouvernement peut passer outre”. De même sur 20minutes, Yann Padova rappelle que “lorsque la Cnil a été saisie de l’avant-projet de loi, elle avait fait part d’un certain nombre d’observations et de réserves”. Remis le 29 avril 2008, cet avis, très critique, concluait ainsi : “Le projet de loi ne comporte pas en l’état les garanties nécessaires pour assurer un juste équilibre entre le respect de la vie privée et le respect des droits d’auteur ». Son rôle ne peut pas aller au delà car le gouvernement et le Parlement sont souverains.”

“Les autres utilisations d’Internet (web, envoi de mails, réseaux sociaux, etc.) ne sont pas concernées”

Par ailleurs, le gouvernement a souvent annoncé que l’Hadopi ne se contenterait pas de lutter contre le téléchargement d’œuvres protégées via peer-to-peer, mais qu’il envisageait de s’attaquer à d’autres pratiques tel le “streaming illégal”. De son côté, toujours chat sur 20minutes, Yann Padova a indiqué que le mécanisme de l’Hadopi “s’appuie sur une collecte de données techniques échangées sur les réseaux peer-to-peer. Les autres utilisations d’Internet (web, envoi de mails, réseaux sociaux, etc.) ne sont pas concernées”.

—

Photo CC Flickr Cyril Krylatov

En l’état actuel de la loi, l’envoi des mails d’avertissement prévenant et mettant en place la sanction, donc l’éventuelle coupure d’accès au Net, sera confié à une filiale de la Poste : Extelia. L’accroche du site est délicieuse : « Tout ce qui existe peut être optimisé »( http://www.extelia.fr/). Même l’utilisation de nos données personnelles à d’autres fins que judiciaires ?

Les flics privés de la Poste, en dehors de détenir le monopole (ça va pas durer) de la distribution de courrier, de distribuer des pubs dans les boîtes aux lettres via ses filiales, de détenir des comptes bancaires, ce qui permet de jolis recoupements d’infos, seront chargés de nous pister en établissant les correspondance entre l’IP et le possesseur de la ligne, donc le téléchargeur présumé.

Quid de la présomption d’innocence en l’occurrence ?

Rendre tout une famille, une école, une administration ou qui que ce soit, responsable a priori avant preuve absolue participe d’une légère indélicatesse à l’endroit de cette innocence supposée.

Les facteurs bientôt armés de Flash -ball ?

Extelia nous fera donc parvenir de jolis courriels et des courriers recommandés. Sachant que les activités de la Poste sont pratiquement privatisées, ou en voie de l’être, c’est tout de même un joli cadeau fait par l’Etat à l’entreprise fut un temps au service des citoyens. Rappelons tout de même que la Poste était, il y a peu, un service public dont le but était de rendre service au public… pas de le fliquer et de faire dans le répressif. Elle devient une succursale du Quai des Orfèvres ou des palais de justice. Il y a quelque chose de pourri dans le Royaume France non ?

Maître Facteur ? juge d’application des Postes ?

Le clou n’en fini pas de s’enfoncer sous les ongles des assassins d’Universal passant leur temps un couteau entre les dents à piquer dans le porte-monnaie de Pascal Nègre… Extelia aura aussi des tâches de justice. Sur le banc de touche les Juges d’application des Peines. Extelia, c’est plus fort que toi !!

La délicieuse entreprise assurera le suivi des éventuelles sanctions prononcées.

Voilà qui est rassurant !! Au moins, nos dossiers ne se perdront pas dans les rouages soviétisants de l’administration puisque tous les matins, aux aurores, votre facteur vous menottera en vous filant vos factures.

Cette prestation de service intégralement financé par  Hadopi se voit gratifiée d’un budget de fonctionnement de 6,7 millions d’euros pour 2009. Ca fait un paquet de recommandés ça ! Mise en place  à l’automne, en fonction du vote de la rentrée. Durée de la phase de lancement : un an.

Surveillez vos boîtes aux lettres, ne donnez plus d’étrennes aux facteurs qui nous vendront le code pénal au lieu  du calendrier kitsch avec les petits chats dans le panier sur la nappe en toile cirée.