The Internets

Du 16 au 18 juin dernier, plus de quatre-vingt-dix experts internationaux se sont réunis à Washington pour analyser le texte officiel de l’ACTA (Anti-Counterfeiting Trade Agreement). Initié en 2007 par les États-Unis, et négocié avec l’Europe et une dizaine d’autres pays (Australie, Canada, Corée du Sud, Émirats Arabes unis, Japon, Jordanie, Maroc, Mexique, Singapour, Suisse et Nouvelle-Zélande), ce traité vise à établir un «standard commun pour la défense des droits de propriété intellectuelle». Il souhaite renforcer la lutte contre les atteintes au droit d’auteur et la contrefaçon, via notamment un durcissement des fouilles aux frontières, la surveillance d’Internet et l’interdiction générale de contournement des DRM. L’analyse des experts a abouti à la conclusion que l’ACTA « menace les intérêts publics », y compris «toutes les inquiétudes rejetées par les négociateurs eux-mêmes».

-> Lire la suite sur Owni

Crédit Geoffrey Dorne

Jeudi dernier, l’Hadopi (Haute autorité pour la diffusion des oeuvres et la protection des droits sur internet) était auditionnée en Commission des affaires culturelles et de l’éducation, à l’Assemblée nationale. Plus précisément sa présidente, Marie-Françoise Marais, son secrétaire général, Éric Walter et Mireille Imbert-Quaretta, présidente de la commission de protection des droits (CPD). Le compte-rendu de l’audition est disponible sur le site de l’Assemblée nationale. Résumé.

Calendrier

Tout d’abord, Marie-Françoise Marais tient à préciser que : « si d’aucuns critiquent les délais, le calendrier réglementaire se déroule normalement ». A propos de l’envoi des premiers mails d’avertissement, elle déclare : « le système d’information sera opérationnel d’ici à la fin du mois. Il sera alors techniquement possible d’envoyer les premiers avertissements ». Avant d’ajouter plus loin : « Nous sommes prêts sur le plan technique à intervenir du jour au lendemain (…) je n’ai pas d’angoisse quant aux décrets ».

Lire la suite

Dans la nuit du 15 juin dernier, le Parlement islandais, l’Alþingi, a voté à l’unanimité la résolution«Icelandic Modern Media Initiative» (IMMI) (littéralement «Initiative Islandaise rela­tive aux médias modernes»). Ce texte vise à faire du pays un «refuge» ou «paradis»pour le journalisme d’investigation, et plus généralement à renforcer«la protection des libertés d’expression et d’information» en Islande, et dans le monde.

L’objectif est de créer un «cadre légal exhaustif» qui garantisse une «protection renforcée»WikiLeaks et des organisations (Global Voices, la Quadrature du net, etc.), Smari McCarthy, responsable de l’IDFS et Eva Joly, l’initiative doit maintenant être transposée en loi.

L’origine de l’IMMI

L’origine de l’initiative remonte à l’été 2009. Le 30 juillet, WikiLeaks fait fuiter un document interne de la banque islandaise Kaupthing Bank, dévoilant les pratiques financières douteuses de cette dernière. Les faits datent de septembre 2008, alors que le pays est en pleine crise financière, et que deux semaines avant la mise sous tutelle de la banque. Dès le lendemain, le site reçoit une mise en demeure lui demandant de « retirer immédiatement » le document. (…)

-> Lire la suite sur Owni

Crédit Geoffrey Dorne

Jeudi dernier, au Parlement européen, la déclaration 29 a finalement atteint les 369 signatures nécessaires à son adoption. Pour rappel, ce texte, déposé en avril dernier par Tiziano Motti et d’Anna Zaborska, du PPE (Parti chrétien-démocrate), se dit pour la «création d’un système d’alerte rapide européen (SARE) contre les pédophiles et les auteurs de harcèlements sexuels ». Derrière, il vise aussi à étendre la directive sur la conservation des données aux moteurs de recherche.

-> Lire la suite sur Owni.

Suite aux révélations sur les failles du «Contrôle de téléchargement», le logiciel d’Orange destiné à bloquer l’exécution de logiciels p2p, l’opérateur a finalement décidé de le retirer de la vente. Contactés par Owni, Orange nous précise l’«abandonner» définitivement. Et, refroidi par cet épisode, «veiller à ce qu’une telle chose ne se reproduise plus», et «ne pas envisager» une nouvelle offre similaire. «Je ne pense pas qu’on en re-proposera» nous indique une porte-parole.

-> Lire la suite sur Owni

> Crédit Geoffrey Dorne

Vendredi dernier, PC Inpact indiquait avoir trouvé des références à Hadopi dans le logiciel de « contrôle de téléchargement » d’Orange. A son installation, ils ont ainsi remarqué la présence d’un dossier intitulé « ddp-Hadopi » abritant un autre dossier « Hadopi-Client-Gui » dans le fichier CDTGui qui se déploie une fois le logiciel installé.

Hier, de nouvelles traces ont été identifiées suite à la découverte du serveur distant, servlet java, avec lequel le logiciel d’Orange communique. Et surtout de l’accès non sécurisé – les login/pwd par défaut ont été laissés – de son administration.

Un lecteur du forum d’hardware.fr a ainsi publié une capture de l’interface d’administration sur laquelle on découvre que le servlet est nommé : HadopiTechnical Servlet. Il est également fait mention d’un « hadopi-server-technical-ws-1.0.x ». Des sources nous ont confirmé l’information, et indiqué que l’administration est toujours accessible ce matin. Les login et pwd n’ont toujours pas été modifié.

On savait qu’il y avait de l’Hadopi dans l’offre de sécurisation proposée depuis quelques jours par Orange. Soit un logiciel de « contrôle de téléchargement » qui permet à un abonné de bloquer les logiciels p2P sur sa ligne. Maintenant, on sait qu’il y a aussi des trous.

Cet après-midi, sur son blog, Bluetouff a révélé que les adresses IP de tous les clients du logiciel étaient publiques. En fait, le logiciel « communique avec un serveur distant, un servlet java situé sur l’IP 195.146.235.67″. Pour obtenir cette IP, Bluetouff explique avoir « sniffé les sorties de ce soft avec Wireshark » sur son propre réseau local. Avant d’ajouter « Du coup, nous n’avons pas eu trop de mal à trouver ce servlet ». Or, poursuit-il, toutes les connexions à ce serveur « transitent en clair », et sont visibles publiquement sur une page web, la page « Statut » du serveur chez JBoss. C’est-à-dire qu’on peut y voir publiquement les adresses IP de toutes personnes qui s’y connectent, mais aussi de tous ceux qui ont acheté et activé le logiciel d’Orange. On peut d’ailleurs trouver des listes de ces IP en ligne (image ci-dessus).

Ca n’est pas tout. Bluetouff nous indique que, sur cette page « Statut », ont été repérées des connexions à la page administration du serveur d’Orange. « C’est rendu possible par un oubli débile : ils ont laissé les mots de passe par défaut sur l’admin : admin/admin ». Qui étaient ces gens et que faisaient t-ils ? « Impossible de savoir », répond Bluetouff. Avant de nous expliquer que, s’il s’agit de personnes mal intentionnées, « ils peuvent modifier le JAR, qui injecte du code aux logiciels client ». Et y inoculer n’importe quel malware. Et ainsi infecter tous les postes des abonnés qui ont souscrit au logiciel anti-p2p d’Orange.

« C’est pas ça une négligence caractérisée ? », ironise Bluetouff sur son blog.

MaJ : En quelques heures, la page « Statut » du serveur était devenue inaccessible. Tombé ou désactivé ?

Maj 14/06/10 : Comme nous le fait remarquer Moui en commentaire, la page « Statut » du serveur est de nouveau accessible. (voir image)

Il y a un an tout juste, le 11 juin 2009, suite à la censure du Conseil Constitutionnel, Christine Albanel, alors ministre de la Culture, déclarait : “Ce qui est sûr c’est que (…) les mails et les courriers recommandés seront envoyés courant de l’automne.”Depuis, les déclarations publiques se sont succédées, et la fameuse date d’envoi des fameux premiers mails d’avertissement toujours repoussée. (…)

-> Lire la suite, et voter pour la date d’envoi des premiers mails d’avertissement sur Owni. Un Minitel – en carton – à gagner !

En avril, une déclaration écrite (PDF) «sur la création d’un système d’alerte rapide européen (SARE) contre les pédophiles et les auteurs de harcèlements sexuels» a été déposé au Parlement Européen. Derrière, est caché un autre objectif : obliger les moteurs de recherche (Google, Yahoo, Bing et les autres) à conserver des données.

Il y a une semaine, en découvrant la teneur réelle du texte, des euro-députés ont retiré leur nom de la liste des signataires de cette déclaration. Au-delà, cela pose de nouveau la question de l’instrumentalisation de la lutte contre la pédo-pornographie pour faire voter des lois enfreignant les libertés fondamentales, et ensuite les étendre, par exemple, au cadre de la propriété intellectuelle.

Lire la suite sur Owni

Le projet de loi Loppsi (Loi d’orientation et de programmation pour la performance) oblige les fournisseurs d’accès à Internet (FAI) d’empêcher l’accès des internautes aux contenus pédo-pornographiques. En février dernier, l’Assemblée nationale a adopté un amendement visant à imposer l’intervention d’un juge dans le processus de blocage des sites. Mais, le 2 juin dernier, lors du passage du texte en Commission des Lois au Sénat, le sénateur et rapporteur UMP Jean-Patrick Courtois a déposé un amendement supprimant le juge. Amendement qui a été adopté.

-> Lire la suite sur Owni

Le 10 mai dernier, le Contrôleur européen de la protection des données (CEPD) a rendu son avis (PDF) sur la proposition de directive relative « à l’exploitation et aux abus sexuels concernant des enfants et à la pédo-pornographie ».

Après voir rappelé qu’il ne remet pas en cause la nécessité de mettre en place « des mesures adéquates pour protéger les enfants contre de tels abus », il émet de vives critiques sur le projet de filtrer des sites Internet. Notamment sur son impact « sur les droits fondamentaux à la vie privée et à la protection des données ». Tout en soulignant que cette position n’est pas spécifique à la lutte contre la pornographie enfantine en ligne, « mais à toute initiative visant à la collaboration du secteur privé à des fins de répression ».

Le blocage des sites Internet selon la directive

Pour rappel, la proposition de directive, de la commissaire européenne Cecilia Malmström (Affaires Intérieures), prévoit le « blocage de l’accès aux sites internet contenant de la pédo-pornographie ».

L’article 21 impose ainsi aux États membres de prendre
« les mesures nécessaires pour obtenir le blocage de l’accès par les internautes sur leur territoire aux pages Internet contenant ou diffusant de la pédo-pornographie ».
De manière assez floue, il indique que « des garanties appropriées sont prévues, notamment pour faire en sorte que le blocage de l’accès soit limité au strict nécessaire ».

Pour mettre en place le blocage, il propose deux mécanismes : un système placé sous l’ordre d’autorités judiciaires ou policières compétentes ou bien des actions de la part des fournisseurs d’accès Internet (FAI) sur une base volontaire de code de bonne conduite et de lignes directrices.

Lire la suite

L’article 5 de la loi Création et Internet du 12 juin 2009 prévoit que l’Hadopi évalue « les expérimentations conduites dans le domaine des technologies de reconnaissance des contenus et de filtrage ». Vendredi dernier, Jean Berbinau, membre de l’Hadopi, nous invitait à regarder l’expérience de l’Australie en matière de filtrage des réseaux. Là-bas, les tests, réalisés l’année dernière, sur la base du volontariat, par neuf fournisseurs d’accès Internet, ont été effectués sur un ensemble de technologies diverses : DPI, DNS, URL par proxy et hybride.

Lors d’une conférence à Montréal, en avril 2008, Jean Berbinau soutenait : «Pourquoi peut-on filtrer ? Parce qu’il y a longtemps que la vitesse des réseaux n’a pas progressé, ce qui favorise ceux qui cherchent à faire du filtrage, notamment grâce au procédé de Deep Packet Inspection – qui consiste à observer les paquets d’informations sur la bande passante et permet de savoir à peu près tout ce que l’on veut savoir : Qui a envoyé le paquet? Qui l’a reçu? Quelle est l’application correspondant aux contenus du paquet? Et qu’est-ce qu’il y a dedans? »

Il est donc envisageable que le filtrage par DPI – basée sur la centralisation du trafic au niveau d’un point du réseau où le trafic est inspecté au niveau de l’URL, ou plus en profondeur (port, application, mots-clés, etc.) – soit l’une des technologies que la Haute Autorité va souhaiter voir appliquée pour, comme l’a décrit le chef de l’Etat, « dépolluer automatiquement les réseaux et les serveurs de toutes les sources de piratage ».

« On a l’art de construire des lignes Maginot. On peut continuer encore longtemps » nous indiquait, récemment, sur ce sujet précis, Yves Le Mouël, directeur général de la Fédération Française des Télécoms (qui regroupe notamment Bouygues, France Télécom, Numéricable et SFR). Et Philippe Duluc, président de la commission Sécurité de la FFT, de nous réaffirmer leur opposition à mettre en œuvre un tel système. Aussi, nous sommes replongés dans l’Etude d’impact du blocage des sites pedopornographiques (pdf), réalisée par la Fédération, dans le cadre de la Loppsi, pour en extraire les éléments relatifs au filtrage par DPI.

Lire la suite

« La fameuse Hadopi a enfin un visage » a déclaré, ce matin, le ministre de la culture, Frédéric Mitterrand, à l’occasion de l’installation officielle de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet. Et de la présentation de sa présidente : Marie-Françoise Marais, conseiller à la cour de cassation, qui s’est tenu à un discours lapidaire, et refusé à tout autre commentaire.

L’intervention du ministre, puis la séance de questions qui a suivi, ont confirmé le flou, et les nombreuses questions en suspens à propos : du calendrier de mise en œuvre de l’Hadopi, de la suspension du seul accès Internet dans le cadre des offres triple-play, du logiciel de sécurisation ou encore de la prise en charge des coûts pour les fournisseurs d’accès Internet.

« Une création livrée au leurre de la gratuité sans droits pour les auteurs serait immédiatement atrophiée »

« Il s’agit rien de moins que d’inventer une évolution et une adaptation de la problématique des droits d’auteur à l’ère numérique » a indiqué le ministre, à propos de la mission de l’Hadopi. « C’est un enjeu évidemment crucial pour notre création sous toutes ses formes dans notre pays. Car une création livrée au leurre de la gratuité sans droits pour les auteurs serait immédiatement atrophiée, pour ne pas dire étouffée. » Avant d’ajouter que « c’est le rôle de l’Etat de veiller à l’équilibre des intérêts, c’est à dire à l’intérêt général et à la continuité du droit quelques soient les évolutions technologiques. Cette exigence a un nom : la régulation ».

Lire la suite

Yahoo, Flickr et Microsoft ont mis en place des systèmes de blocage et de filtrage afin d’empêcher les internautes indiens d’accéder aux contenus à caractère sexuel, rapporte le Guardian.

Depuis juin dernier, le moteur Bing de Microsoft filtre en Inde (mais aussi à Taïwan ou Singapour) les résultats de recherche sur les termes ayant rapport avec le sexe. Pour le tester, il suffit d’aller sur Bing et de choisir « Inde » en localisation (ce que, au passage, les internautes indiens peuvent faire à l’inverse). Une recherche de « sex » ou « porno » fait apparaître le message suivant : « votre pays ou région requiert une application stricte de Bing SafeSearch, qui filtre les résultats qui pourraient comporter des contenus pour adultes ».

A leur tour, depuis début décembre, le moteur de recherche Yahoo et le site de partage de photos en ligne Flickr (propriété de Yahoo) bloquent aux internautes indiens la possibilité de désactiver le mode « sécurisé ». Sur Flickr, on peut ainsi lire : « Si votre identifiant Yahoo! est basé à Singapour, à Hong Kong, en Inde ou en Corée. vous ne pourrez visualiser que le contenu sécurisé déterminé par les conditions locales d’utilisation (vous ne pourrez donc pas désactiver SafeSearch). Si votre identifiant Yahoo! est basé en Allemagne vous ne pouvez pas visualiser du contenu restreint conformément aux conditions d’utilisation locales ».

Lire la suite

C’est l’une des premières affaires majeures de l’histoire neutralité du net. Mais si l’un de ses épisodes s’est clos il y a quelques jours, la bataille est loin d’être terminée.

L’affaire remonte à 2007. En février, Robb Topolski, abonné de Comcast, premier câblo-opérateur américain, s’aperçoit qu’il y a des interférences dans ses téléchargements p2p. Après quelques recherches, cet expert en ingénierie informatique chez Intel réalise que cela vient de l’opérateur qui utilise l’application Sandvine pour envoyer de faux paquets TCP avec le drapeau RST (reset) qui réinitialise, et donc casse la connexion. Le fait est vérifié et validé par de nombreux organismes (dont l’EFF), et fortement relayé par la presse durant l’été 2007, qui accuse en bloc Comcast de filtrer les échanges de contenus utilisant BitTorrent. Un protocole qui permet aussi bien les échanges p2p (par exemple des distributions Linux) que l’utilisation de certains services VoD. Mais l’opérateur nie. L’un des porte-paroles de Comcast, Charlie Douglas, explique que la société ne surveille pas activement ce que téléchargent ses abonnés, mais qu’elle se réserve le droit de couper le service aux clients qui abusent du réseau en utilisant trop de bande passante.

En octobre, l’Associated Press réalise à son tour ses propres tests, et arrive aux mêmes conclusions : Comcast interfère dans l’utilisation des BitTorrent, eDonkey et Gnutella. L’agence de presse qualifie alors ces pratiques de « plus radical exemple de discrimination de données à ce jour ». Interrogé par l’AP, Charlie Douglas déclare cette fois : « Comcast ne bloque l’accès à aucune application, dont BitTorrent ». Mais il s’abstient de définir ce que la société entend par « accès ». Beaucoup de commenter alors qu’effectivement Comcast ne bloque pas directement l’accès, mais limite considérablement leur utilisation.

Lire la suite

Selon un confidentiel paru ce matin dans La Tribune (accès payant), la Commission nationale de l’informatique et des libertés (Cnil) a décidé de ne pas rendre d’avis sur un décret d’application de la loi Création et Internet promulguée en juin dernier. Celui prévu à l’article L331-29 concernant la création d’un fichier national contenant les données personnelles des internautes suspectés d’avoir commis une infraction.

Pour pouvoir rendre cet avis, la Cnil a demandé au gouvernement, via une lettre datée du 10 décembre, que lui soit communiqué un autre décret, celui relatif à la procédure de sanction (soit Hadopi 2). Une information confirmée par cette dernière.

Lire la suite

Peu médiatisée, une disposition du Paquet Télécom, voté le 24 novembre dernier, oblige, en cas de violation de données à caractère personnel, tout fournisseur de services de communications électroniques à en avertir leur autorité de contrôle nationale. Mais aussi les abonnés concernés si cette violation est « de nature à affecter négativement » leurs données à caractère personnel ou leur vie privée. Jusqu’à présent aucun texte du droit communautaire n’imposait une telle obligation. Une avancée donc en matière de sécurité réseaux et de transparence vis-à-vis des utilisateurs, mais dont le champ d’application reste toutefois limité.

Dans la directive 2009/136/CE (pdf), l’article 4 sur la Sécurité des traitements dit ainsi que : « En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l’autorité nationale compétente de la violation

Lire la suite

«Les inquiétudes sont maximales tant que la loi n’a pas été appliquée, on espère qu’on les dissipera» indiquait un conseiller du ministère le 13 mai… 2008. Alors que la création de la Haute autorité, l’Hadopi, se fait toujours attendre – « on espère avant la fin de l’année » nous indiquait récemment le ministère de la culture – , et que les décrets d’application devraient «s’étaler sur les six premiers mois de 2010» avec un envoi des premiers mails d’avertissement «pas pour tout de suite», petit retour en dates sur le long glissement du calendrier de la loi Création et Internet.

11 avril 2008
Cabinet de la ministre de la Culture : Le gouvernement «passera la loi devant le Parlement début juin vraisemblablement. On la présentera en Conseil des ministres fin mai, ensuite, on enquille devant le Parlement. »

3 juin 2008
Christine Albanel : « Nous faisons tout pour qu’elle soit examinée en première lecture en juillet au Sénat (…) nous tablons toujours sur une entrée en vigueur avant le 1er janvier 2009 »

Lire la suite

Vendredi dernier, le Journal Officiel de l’Union européenne a publié trois textes issus du Paquet Télécom, adopté par le Parlement Européen le 24 novembre dernier. Soit un règlement (qui institue la création d’un nouvel Organe des régulateurs européens des communications électroniques) et deux directives relatives au secteur des communications électroniques. On y retrouve les articles liés à la neutralité du net, finalement adoptés, malgré de vives oppositions et mises en garde.

Pour rappel, la neutralité des réseaux, principe technique et philosophique fondateur d’Internet – dont la définition est parfois malmenée (1) – veut que tout contenu, tout service et toute application circulent sur le même réseau, à la même vitesse, sans restriction ni discrimination de la part des tuyaux (opérateurs et fournisseurs d’accès Internet) , quels que soient leur source, leur destination et leur objet.

Lire la suite

Un amendement du Digital Economy Bill donnerait au Secrétaire d’État britannique le pouvoir d’ordonner aux fournisseurs d’accès Internet (FAI) anglais de « bloquer à peu près n’importe quel site pour à peu près n’importe quelle raison » comme le résume Slashdot.

La proposition de la loi britannique sur l’économie numérique – dont plus d’un tiers porte sur l’application du droit d’auteur sur Internet – défendue par Peter Mandelson, l’actuel Secrétaire d’État du BIS (Department of Business, Innovation and Skills), a été immédiatement décriée outre-Manche après sa publication le 20 novembre dernier. Internautes, médias et acteurs d’Internet ont essentiellement réagi à la mise en place d’un système de riposte graduée et à l’article 17, un texte flou qui permettrait au Secrétaire de modifier la législation sur le droit d’auteur à peu près comme il l’entend. « Par exemple, pour introduire de nouvelles mesures techniques ou augmenter la surveillance des données, alors même qu’aucune pratique illégale n’a eu lieu » s’inquiétaient récemment Google, Yahoo, Facebok et eBay dans une lettre ouverte.

Lire la suite