Astrid.*

Maj : Citant des sources parlementaires, l’AFP indique ce matin que le débat sur le projet de loi sur l’immigration va être prolongé jusqu’à jeudi, et que « cette prolongation des débats va entraîner le report en novembre de l’examen du texte controversé sur la sécurité (Loppsi 2) ». La dépêche précise que cette décision devait être actée à la mi-journée lors de la conférence des présidents.

Dans un communiqué daté de vendredi, Reuters rapporte que les participants aux négociations (Etats-Unis, Union Européenne, Canada, Australie, Corée du Sud, Japon, Mexique, Singapour, Suisse et Nouvelle-Zélande) ont échoué à parvenir à un accord. Pour finalement indiquer le lendemain qu’un « accord de principe » a été trouvé. Et Ron Kirk, l’actuel représentant américain au commerce (United States Trade Representative), de déclarer que les négociations sont «presque sur la ligne d’arrivée » et que des solutions ont été trouvées « même sur les questions les plus difficiles ». Des solutions que « presque toutes les parties » auraient acceptées. «Nous avons parcouru un long chemin, déclare de son côté un haut fonctionnaire de l’UE proche des négociations, mais il faut encore combler les écarts restants sans quoi il n’y aura pas d’accord« .

« Presque toutes les parties n’inclue pas l’UE apparemment » commente Michael Geist, professeur en droit à l’Université d’Ottawa (Canada), spécialisé en propriété intellectuelle. Les dernières versions du texte ont particulièrement mis en évidence les désaccords entre les Etats-Unis et l’Europe. Principalement sur le champ d’application du traité, et en particulier sur les indications géographiques (Beaujolais, Jambon de Parme, etc.). « L’Europe semble insister pour que les indications géographiques soient protégées par l’ACTA, alors que les USA s’y opposent catégoriquement » écrivait la Quadrature du Net. « La boîte à camembert est toujours sur la table », nous indique Jérémie Zimmermann, porte-parole de la Quadrature.

Dans un communiqué, la Commission européenne explique de son côté qu’il n’y aura pas de prochain round, que les parties ont résolu « presque » toutes les questions majeures et vont continuer à travailler sur « le petit nombre de questions » restantes « en vue de finaliser le texte de l’accord le plus rapidement possible« . Elle annonce que les participants sont parvenus à « un texte consolidé en grande partie finalisé » qui sera bientôt publiquement diffusé.

Accord, mais seulement de principe. Texte finalisé, seulement en grande partie. « Il semble qu’il n’y ait pas eu d’accord, mais que les parties ont décidé de crier victoire » résume Michael Geist.

Las, on ne peut s’improviser « créateur de noyau », même si l’on possède un trésor de guerre considérable. F.T. ne possède pas de compétence interne en matière de développement matériel, ne dispose d’aucun centre spécialisé dans la conception de système d’exploitation qui ait su faire ses preuves sur le secteur grand-public, n’a jamais investi le moindre Euro dans le domaine des réseaux sociaux et ne peut opposer une puissance d’hébergement infime comparée à celle des grands datacenters que possèdent Microsoft ou Google. (…) Qui dit « nouveau noyau » pense immanquablement «usine à bugs», essuyage de plâtres et par conséquence, «exploitation mafieuse certaine». Or, là encore, Orange n’a jamais montré une quelconque maîtrise d’une «culture de la sécurité». Hormis peut-être pour vendre de l’abonnement antivirus à des utilisateurs ADSL, comme on vend de la minute de communication ou de la location de S63.

A lire sur : Orange milite pour une industrie du bug Français ? (CNIS Mag)

La raison ? La généralisation de la cryptographie pour  chiffrer les communications.

Utilisée hier en France par quelques uns, le vote puis la mise en œuvre de la loi Création et Internet — la collecte d’adresses IP sur les réseaux p2p par la société TMG (Trident Media Guard) aujourd’hui, et la forte volonté d’utiliser du DPI (Deep Packet Inspection) à des fins de surveillance et de filtrage demain — ont poussé un certain nombre d’internautes a modifié leurs usages. Certains ont opté pour le streaming ou le direct-download (parfois crypté), alors que d’autres se sont tournés vers des réseaux p2p anonymes ou un serveur VPN (Virtual Private Network) qui crée un tunnel chiffré entre la connexion Inter­net et un point d’accès situé à l’étranger.

Sur le blog officiel d’Orange Services Business dédié à la sécurité, Philippe Maltere écrivait qu’Hadopi serai un danger « pour le gouvernement » (avant de le modifier, à la demande d’Orange, par « pour la société »).

« Vous allez donc me dire le P2P va disparaitre, et c’est le but de loi, donc la loi est bonne. Oui, vous avez raison, le P2P tel que nous le connaissons aujourd’hui va progressivement disparaitre, mais pas l’échange de fichiers illégaux, la nuance est importante », expliquait Philippe Maltere. Selon lui, cela va faire exploser certaines formes de communications, et par exemple l’utilisation du protocole de sécurisation SSL (Secure Sockets Layer) : « Le bon père de famille va prendre l’habitude de chiffrer toutes ces données même de messagerie grâce à des logiciels toujours plus puissants et de plus en plus faciles à utiliser, avec en plus une recherche d’anonymisation plus forte grâce à des réseaux de type TOR ou I2P encore plus faciles d’accès« .

Pour Phillipe Maltere, « les spécialistes de contre terrorisme cybernétique ou contre pédophilie cybernétique pourraient ne plus être à même d’effectuer correctement leur travail ». Et d’indiquer que la NSA (National Security Agency) s’est positionné contre le projet d’une Hadopi made in USA, voyant « le danger de dérapage du tout chiffré pour les problèmes de sécurité intérieure non maitrisée« . Ce qui rejoint les propos de Bernard Barbier.

De même, au Royaume-Uni, les services de police et du renseignement britanniques ont demandé au gouvernement d’abandonner leur projet de riposte graduée (prévue dans la loi Digital Economy Bill) car cela pousserait les internautes à se tourner vers le chiffrement, et compliquerait leur travail de surveillance et de traque des criminels en ligne, rapportait le Times en 2009. Citant une source impliquée dans l’élaboration du projet de loi, le quotidien anglais indiquait que les services britanniques de renseignement, le MI5 (intérieur) et le MI6, (extérieur), avaient exprimé des avaient exprimé des inquiétudes quant à vouloir déconnecter les internautes : « Ils détestent ça. Ils pensent que cela va simplement rendre la surveillance plus difficile ».

De son côté, en mai 2008, Pascal Nègre, président d’Universal Music France, affirmait : « Le cryptage c’est compliqué, ça ne marche pas ».

Interrogé par 01net, David Damour, son co-fondateur, explique « qu’on ne peut plus faire confiance à ses salariés ». Selon ce dernier : « De toute façon, l’employé qui n’a rien à se reprocher ne sera pas gêné par la présence de Surveillermonsalarié« .

-> Lire la suite sur Owni

Le concept de Neutralité du Net, en provenance des Etats-Unis, en proie à un intense débat sur le rôle de la FCC dans un contexte de dérégulation qui leur est spécifique, masque une menace sur le respect du secret des correspondances.

La problématique cachée est celle de la mutation du réseau internet vers un réseau dit ‘NGN‘ auquel il serait conféré une certaine ‘intelligence’.

En pratique, cela signifie que les routeurs de ce futur réseau, via un procédé technique d’inspection du contenu des communications (DPI), serait capable d’acheminer ces communications de façon différenciée en fonction de leur contenu.

L’objectif des opérateurs est de vendre cet acheminement différencié des communications sous le nom de ‘Qualité de services’ (QoS) en le présentant comme un gain pour les utilisateurs.

En réalité, la QoS n’est d’aucun gain pour les utilisateurs tant que l’infrastructure du réseau a une bande passante suffisante. Cela étant, la QoS ne peut pas non plus faire de miracles, et se substituer à une augmentation de bande passante des réseaux, qui satureront de toutes façons si rien n’est fait, QoS, ou pas. Dès lors, on peut se demander pourquoi les opérateurs investiraient deux fois : une fois dans une nouvelle architecture, et une seconde fois, inéluctablement, dans une augmentation de la bande passante.

L’investissement des opérateurs dans cette nouvelle architecture n’a qu’un seul but : augmenter leurs bénéfices, et ce en organisant rationnellement une saturation de la bande passante pour pouvoir justifier la nécessité de la QoS, et donc la facturer aux abonnés.

En pratique, ce modèle repose sur le DPI, qui permet d’analyser les contenus échangés par les utilisateurs : cela constitue un viol du secret des correspondances.

Utilisée initialement pour défendre les réseaux contre des attaques, la technique de DPI a peu à peu évolué, et permet aujourd’hui de lire l’intégralité des échanges des internautes (y compris le contenu de leur mails au besoin), et va même jusqu’à identifier des comportements par des méthodes statistiques dans le cas où les internautes crypteraient leurs échanges.

Cette technologie est totalement inacceptable : les opérateurs doivent traiter les échanges des internautes sans ouvrir les paquets IP,  tout comme la poste doit acheminer les lettres sans ouvrir les enveloppes.

A ce sujet, la Ligue Odebi s’interroge sur un récent document de l’ARCEP [page 57 ndlr] qui tendrait, dans sa présentation, à faire croire au public que le conseil constitutionnel aurait autorisé le DPI, et, partant, le viol du secret des correspondances.

Il est donc attendu des éclaircissements sur cette interprétation de l’ARCEP, et une analyse juridique crédible.

La Ligue Odebi appelle à une sensibilisation générale sur cette problématique du DPI et du respect du secret des correspondances dans la Société de l’information, en particulier en diffusant les réponses qu’elle a fait parvenir à la commission européenne, et à la Secrétaire d’Etat française chargée de la Prospective et du Développement de l’économie numérique

« Imaginez que les services postaux ouvrent vos lettres pour en analyser le contenu, puis vous envoient du courrier-déchet selon vos intérêts. La plupart des gens seraient horrifiés. Pourtant, certains des plus importants FAI du Royaume-Uni planifient des procédures portant encore plus atteinte à la vie privée. Ils enregistreront les détails de toutes les recherches en ligne que vous faites et de toutes les pages Web que vous consultez, seulement pour vous transmettre en ligne des annonces ciblées«  écrit Richard Clayton de la Foundation for Information Policy Research (FIPR).

-> Lire la suite sur Owni

Sur son site, l’Hadopi explique aux abonnés comment sécuriser leur poste ou de leur « boîtier de connexion ». Dans le fond, rien d’étonnant. Ca parle de logiciels de contrôle parental (qui peuvent « empêcher le téléchargement de certains types de fichiers »), d’anti-virus, de fire-wall d’un côté. Et de clés et protocoles WEP et WPA de l’autre. Dans la forme, Madame Michu va devoir s’accrocher. Extrait :

« (…) En WPA l’authentification peut être gérée par deux protocoles distincts : TKIP ou CCMP. Des vulnérabilités ayant été mises en évidence dans TKIP, il est recommandé d’utiliser le protocole CCMP (avec clés chiffrées en AES) ».

A lire sur : Comment sécuriser mon accès à internet : ordinateur ou boîtier de connexion ? (Hadopi)

A lire sur : Virgin Media introduces P2P throttling (The Register)
Et sur : Faster Upload Traffic Management Table Updated 30th September 2010 (Virgin Media)

Maj : «L’employé qui n’a rien à se reprocher ne sera pas gêné par la présence de Surveillermonsalarié. »)

A lire sur : SurveillerMonSalarie.com

A noter la recommandation 6 dans laquelle  les associations « recommandent que les différentes formes de publicité ciblée,  y compris contextuelles, ne portent pas atteinte au secret de la correspondance privée« . Rappelant que « ce secret protégé par la loi ne peut être levé que sous réserve du consentement explicite et préalable de la personne bénéficiaire de ce secret. Et la 5 sur la concept de « droit à l’oubli des cookies »…

A télécharger : « Publicité ciblée et protection des internautes » (pdf)

A lire sur : Mayor says bloggers are U.S. terrorists (SouthtownStar)
Et sur : Bloggers and freedom to decide what’s true (SouthtownStar)
Via : Illinois Mayor Claims Anonymous Bloggers No Different Than 9/11 Terrorists; Says Anonymity Is A First Amendment Challenge (Tech Dirt)