(Source : readwriteweb)
Cette étonnante stratégie consistant à réserver le cahier des charges aux seules entreprises approuvées par Hadopi du très attendu spyware Hadopi, censé garantir la sécurisation devenue obligatoire de la connexion internet des citoyens français, est riche d’enseignements.
Le premier d’entre eux, quelques jours à peine après que 90.000 documents secrets de l’armée américaine aient fuités sur Wikileaks, est la confirmation que l’on a à faire à une administration qui n’a toujours pas saisi ce à quoi elle fait face.
Une mise à disposition du public du document aurait évité un énième couac de communication à Hadopi – quitte à contourner la loi des appels d’offres, ce n’est pas comme si cette administration et les législateurs qui l’ont mis en place n’avaient pas, à de très nombreuses reprises, pris des libertés avec le droit.
Top départ
A peine quelques heures après avoir annoncé que ce cahier des charge serait tenu secret, ce dernier faisait le tour de nombreuse organisations de hackers, qui bien évidemment se sont empressé de les communiquer à la presse (en tout cas à RWW et Numérama, et probablement à Korben et PCinpact).
Au sein des différentes organisations, c’est l’annonce d’un départ imminent. Le premier qui réussira à torpiller le dispositif est assuré d’une gloire mondiale et d’un statut de demi Dieu au sein de l’internet Français. Hacker Croll a visiblement suscité des vocations, et nombreux sont les frenchies sur les rangs, mais on peut parier sans risques que les Russes et les Américains ne resteront pas inactifs. La France, avec Hadopi, est considérée par la plupart comme étant le beta test de ACTA ce qui lui donne une exposition mondiale, et motive les pirates de tous les pays.
Un peu partout dans le cahier des charges, on retrouve d’ailleurs cette crainte d’être la cible d’attaques informatiques, et certaines sont évoquées ça et là, laissant aux malheureux prestataires qui s’aventureraient à apporter une réponse le soin de palier au problème.
Dans la mesure où l’on peut parier sur l’apparition de plusieurs solutions labellisées Hadopi, les failles seront nécessairement multiples, et les attaques faisant l’objet d’une compétition internationale, tout laisse à croire que l’année à venir sera riche en désagréables surprises pour les malheureux internautes apeurés qui auront installé un spyware Hadopi. Les sociétés ayant collaboré avec l’administration en charge de lister les internautes coupables de partage ne devraient pas être en reste non plus.
Le grand retour des DRM annoncé en filigrane
Plus surprenant, alors que ces derniers étaient censés avoir été définitivement abandonnés lors du vote de la loi Hadopi, le document fait allusion à plusieurs reprises au retour prochain des DRM. Les promesses n’engagent que ceux qui les écoutent, et il semble que l’abandon des DRM n’ait été au final qu’un carotte destiné à calmer la colère des opposants à la loi (sans grand succès).
Le rédacteur de ce document, le très controversé scientifique qui collabore avec la Haute Administration et qui est le principal détenteur (et potentiellement bénéficiaire) de brevets permettant de faire usage du Deep Packet Inspection pour filtrer le réseau français des contenus pirates, Michel Riguidel, semble bel et bien considérer que l’impossibilité de baser la technologie du spyware Hadopi sur les DRM n’est que temporaire, et qu’une version ultérieure pourrait tirer parti des DRM.
L’intégration des DRM au sein des dispositifs matériels, un vieux fantasme de l’industrie de la culture, ressurgit en France.
Une grande confusion de ce que l’on peut et ne pas faire avec du libre
La liberté (et le logiciel libre) n’est visiblement pas un concept bien maitrisé par l’Etat. Albanel avait déjà marqué l’histoire avec le firewall OpenOffice, Riguidel pourrait, pour les rares idiots le suivant à la lettre, mener devant un tribunal de nombreux développeurs. Commercialiser un logiciel fait à partir de composants ‘libres’ ne lui pose de toute évidence aucun problème.
Le spyware Hadopi devra contourner les antivirus et les anti spywares édités par les sociétés qui fournissent déjà, depuis belle lurette, des solutions de sécurisation. C’est un challenge supplémentaire, car ces derniers étant mis à jour régulièrement, et l’administration Française ne pouvant pas vraiment compter sur la collaboration des éditeurs de logiciels de sécurité internationaux, il est à prévoir qu’à chaque mise à jour d’un soft de chez Norton ou Kaspersky, il faille potentiellement mettre à jour le spyware Hadopi.
La encore, la multiplicité des offres de spywares labellisés Hadopi, des configurations matérielles, et des suites de sécurisations disponibles sur le marché, donne une idée tragi-comique de la cacophonie et de la panique qui s’emparera des utilisateurs, persuadé d’avoir été infectés par un Trojan, quand Norton confondra un spyware publicitaire faisant apparaitre des popups de façon intempestive, avec le système de surveillance des citoyens imposé par l’administration française.
Parler à Mme Michu
Tout spécialiste de la sécurité vous le confirmera, le problème réside la plupart du temps entre le clavier et l’écran. L’utilisateur, en particulier de nos jour où le PC est répandu dans tous les foyers, ne comprend la plupart du temps absolument rien à la technicité de l’outil qu’il utilise au quotidien.
Pourtant le cahier des charges du spyware Hadopi est clair : il faudra en cas de faille de sécurité détectée par le logiciel de surveillance, donner des indications claires sur la façon d’y remédier à l’utilisateur final.
« Simone, la configuration de votre routeur présente une faille de sécurité, veuillez fermer le port 6996 du routeur intégré à votre box ADSL »
Pas gagné. Sur ce point, Riguidel semble avouer son impuissance puisqu’aucune solution à ce jour pour communiquer en français courant avec Madame Michu n’est envisagée.
Particuliers, PME, grandes entreprises, cybercafés, lieux public… Windows 95, XP, Vista, Seven, MacOSX Tiger, Leopard, Snow Leopard, et une variété de systèmes libres… Si vous vous souvenez de vos cours de probabilités au lycée, on approche de l’infinie en terme de combinaisons possibles. Ajoutez à cela que le spyware Hadopi est censé détecter de façon automatisée, sans l’intervention d’un expert, l’environnement réseau dans lequel il est installé, qui lui aussi peut s’avérer d’une diversité infinie, et vous avez probablement ce qui fait que 99% de ces cas de figures ne trouveront pas de réponse, et qu’aucune entreprise ne va prendre le risque de développer un tel monstre pour une plateforme Linux sachant qu’elle n’en vendra que 3 exemplaires à des hackers qui s’empresseront de le décompiler.
Hadopi semble toutefois assez conscient de l’aberration à vouloir disposer de Spyware en mesure de s’adapter à toutes ces configurations, et se concentre à l’évidence sur un objectif à long terme : installer le spyware au cœur même de l’installation domestique, les box ADSL.
Les configurations sont également complexes et très variées, mais Hadopi fait le pari du long terme (c’est à dire de son existence même après 2012), et envisage : « l’ intégration aux boitiers adsl dans le cadre ‘d’un renouvellement complet du parc’ » et plus loin : « on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc. »
Cerise sur le gâteau, TorrentFreak [url=http://torrentfreak.com/utorrent-web-now-available-on-ipad-and-android-100729/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed: Torrentfreak (Torrentfreak)&utm_content=Netvibes]nous apprend ce matin[/url] que l’iPad et Android disposent désormais de leurs applications P2P, ajoutant à la multiplicité des configurations qui s’offrent au pirates pour télécharger (d’autant qu’Android sera vraisemblablement au cœur de la Google TV).
Orwell avait raison… ou pas.
Le logiciel étant prévu pour se mettre à jour automatiquement afin de regarder de plus en plus précisément tout ce qui se transmet au sein du foyer, on s’approche au plus près du cauchemar Orwellien d’un système de surveillance installé dans chaque foyer.
Comme les responsables de la Hadopi s’y attendaient, c’est un grand éclat de rire qui traverse en ce moment le monde des spécialistes de la sécurité informatique et des hackers, doublé d’un frisson d’effroi quant aux intentions Orwellienne révélées par ce cahier des charge.
Mais c’est également le départ d’une compétition internationale où une gloire mondiale attend les vainqueurs, car pour reprendre Cory Dotorow, la vision Orwellienne qui se lit dans la politique numérique de l’Etat Français se base sur une approche erronée des technologies.
Orwell percevait la technologie comme étant au service des puissants, et sur ce point, il avait fondamentalement tort (en même temps, l’ordinateur individuel n’était pas même imaginé à l’époque). Face à cette prédiction, s’oppose désormais une armée de l’ombre, prête à déferler sur les wanabe dictatures, et qui lui opposeront une résistance farouche.
Cette étonnante stratégie consistant à réserver le cahier des charges aux seules entreprises approuvées par Hadopi du très attendu spyware Hadopi, censé garantir la sécurisation devenue obligatoire de la connexion internet des citoyens français, est riche d’enseignements.
Le premier d’entre eux, quelques jours à peine après que 90.000 documents secrets de l’armée américaine aient fuités sur Wikileaks, est la confirmation que l’on a à faire à une administration qui n’a toujours pas saisi ce à quoi elle fait face.
Une mise à disposition du public du document aurait évité un énième couac de communication à Hadopi – quitte à contourner la loi des appels d’offres, ce n’est pas comme si cette administration et les législateurs qui l’ont mis en place n’avaient pas, à de très nombreuses reprises, pris des libertés avec le droit.
Top départ
A peine quelques heures après avoir annoncé que ce cahier des charge serait tenu secret, ce dernier faisait le tour de nombreuse organisations de hackers, qui bien évidemment se sont empressé de les communiquer à la presse (en tout cas à RWW et Numérama, et probablement à Korben et PCinpact).
Au sein des différentes organisations, c’est l’annonce d’un départ imminent. Le premier qui réussira à torpiller le dispositif est assuré d’une gloire mondiale et d’un statut de demi Dieu au sein de l’internet Français. Hacker Croll a visiblement suscité des vocations, et nombreux sont les frenchies sur les rangs, mais on peut parier sans risques que les Russes et les Américains ne resteront pas inactifs. La France, avec Hadopi, est considérée par la plupart comme étant le beta test de ACTA ce qui lui donne une exposition mondiale, et motive les pirates de tous les pays.
Un peu partout dans le cahier des charges, on retrouve d’ailleurs cette crainte d’être la cible d’attaques informatiques, et certaines sont évoquées ça et là, laissant aux malheureux prestataires qui s’aventureraient à apporter une réponse le soin de palier au problème.
« l’application devra se protéger contre les différentes attaques qui ne manqueront pas de surgir contre elle– même. Elle devra détecter des logiciels de contournement, etc. » […] « les mises à jour sont un problème crucial. Elles doivent être sécurisées et le service de mise à jour ne doit pas pouvoir être victime d’une attaque DDoS (déni de service distribué). »
Dans la mesure où l’on peut parier sur l’apparition de plusieurs solutions labellisées Hadopi, les failles seront nécessairement multiples, et les attaques faisant l’objet d’une compétition internationale, tout laisse à croire que l’année à venir sera riche en désagréables surprises pour les malheureux internautes apeurés qui auront installé un spyware Hadopi. Les sociétés ayant collaboré avec l’administration en charge de lister les internautes coupables de partage ne devraient pas être en reste non plus.
Le grand retour des DRM annoncé en filigrane
Plus surprenant, alors que ces derniers étaient censés avoir été définitivement abandonnés lors du vote de la loi Hadopi, le document fait allusion à plusieurs reprises au retour prochain des DRM. Les promesses n’engagent que ceux qui les écoutent, et il semble que l’abandon des DRM n’ait été au final qu’un carotte destiné à calmer la colère des opposants à la loi (sans grand succès).
« tant qu’il n’y a pas de DRM standard, ou de technologie d’identification de signature standard et largement développée, cette application n’appartient pas à cette catégorie [des logiciels antispam]« et plus loin : « Ce module [d’analye dynamique des flux] réalise en temps réel une analyse contextuelle et syntaxique des flux du contenu (sans analyser le contenu sémantique des fichiers, dans la mesure où ne sont pas analysés à ce jour les attributs de DRM ou les empreintes des contenus des fichiers légaux) »
Le rédacteur de ce document, le très controversé scientifique qui collabore avec la Haute Administration et qui est le principal détenteur (et potentiellement bénéficiaire) de brevets permettant de faire usage du Deep Packet Inspection pour filtrer le réseau français des contenus pirates, Michel Riguidel, semble bel et bien considérer que l’impossibilité de baser la technologie du spyware Hadopi sur les DRM n’est que temporaire, et qu’une version ultérieure pourrait tirer parti des DRM.
L’intégration des DRM au sein des dispositifs matériels, un vieux fantasme de l’industrie de la culture, ressurgit en France.
Une grande confusion de ce que l’on peut et ne pas faire avec du libre
La liberté (et le logiciel libre) n’est visiblement pas un concept bien maitrisé par l’Etat. Albanel avait déjà marqué l’histoire avec le firewall OpenOffice, Riguidel pourrait, pour les rares idiots le suivant à la lettre, mener devant un tribunal de nombreux développeurs. Commercialiser un logiciel fait à partir de composants ‘libres’ ne lui pose de toute évidence aucun problème.
Un spyware indétectable
« Les moyens peuvent être réalisés à partir de logiciels libres et/ou fonctionner sur des systèmes d’exploitation libres » et plus loin : « Lorsque l’application est sous la forme de composants installés dans les ordinateurs, les téléphones portables, les consoles de jeux, ces composants peuvent comporter des logiciels (propriétaires ou libres) qui peuvent être installés sur des systèmes d’exploitation propriétaires (de type Windows ou autres), ou bien sur des systèmes d’exploitation libres de type Unix ou Linux. »
Le spyware Hadopi devra contourner les antivirus et les anti spywares édités par les sociétés qui fournissent déjà, depuis belle lurette, des solutions de sécurisation. C’est un challenge supplémentaire, car ces derniers étant mis à jour régulièrement, et l’administration Française ne pouvant pas vraiment compter sur la collaboration des éditeurs de logiciels de sécurité internationaux, il est à prévoir qu’à chaque mise à jour d’un soft de chez Norton ou Kaspersky, il faille potentiellement mettre à jour le spyware Hadopi.
La encore, la multiplicité des offres de spywares labellisés Hadopi, des configurations matérielles, et des suites de sécurisations disponibles sur le marché, donne une idée tragi-comique de la cacophonie et de la panique qui s’emparera des utilisateurs, persuadé d’avoir été infectés par un Trojan, quand Norton confondra un spyware publicitaire faisant apparaitre des popups de façon intempestive, avec le système de surveillance des citoyens imposé par l’administration française.
Parler à Mme Michu
Tout spécialiste de la sécurité vous le confirmera, le problème réside la plupart du temps entre le clavier et l’écran. L’utilisateur, en particulier de nos jour où le PC est répandu dans tous les foyers, ne comprend la plupart du temps absolument rien à la technicité de l’outil qu’il utilise au quotidien.
Pourtant le cahier des charges du spyware Hadopi est clair : il faudra en cas de faille de sécurité détectée par le logiciel de surveillance, donner des indications claires sur la façon d’y remédier à l’utilisateur final.
« Simone, la configuration de votre routeur présente une faille de sécurité, veuillez fermer le port 6996 du routeur intégré à votre box ADSL »
Pas gagné. Sur ce point, Riguidel semble avouer son impuissance puisqu’aucune solution à ce jour pour communiquer en français courant avec Madame Michu n’est envisagée.
Une disparité des environnements qui donne le tournis
Les moyens de sécurisation préviennent l’utilisateur que les modes et les outils de communication utilisés (les URLs, les piles protocolaires, les ports, les adresses, etc.) sont potentiellement à risque. Une règle de sécurité se compose de :
- Une combinaison de notifications (bas et haut niveau) couplées au contexte dans lequel ces notifications ont été générées ;
- Une ou plusieurs actions qui permettent de corriger l’anomalie pointée du doigt par la règle ;
- Une description pédagogique permettant à tout utilisateur de comprendre l’anomalie pointée du doigt par la règle (et ce peu importe son niveau).
Ces règles doivent être écrites dans une norme commune à tous les fournisseurs des applications. Le format de ces règles reste encore à définir. Le langage est aussi à définir.
Particuliers, PME, grandes entreprises, cybercafés, lieux public… Windows 95, XP, Vista, Seven, MacOSX Tiger, Leopard, Snow Leopard, et une variété de systèmes libres… Si vous vous souvenez de vos cours de probabilités au lycée, on approche de l’infinie en terme de combinaisons possibles. Ajoutez à cela que le spyware Hadopi est censé détecter de façon automatisée, sans l’intervention d’un expert, l’environnement réseau dans lequel il est installé, qui lui aussi peut s’avérer d’une diversité infinie, et vous avez probablement ce qui fait que 99% de ces cas de figures ne trouveront pas de réponse, et qu’aucune entreprise ne va prendre le risque de développer un tel monstre pour une plateforme Linux sachant qu’elle n’en vendra que 3 exemplaires à des hackers qui s’empresseront de le décompiler.
Hadopi semble toutefois assez conscient de l’aberration à vouloir disposer de Spyware en mesure de s’adapter à toutes ces configurations, et se concentre à l’évidence sur un objectif à long terme : installer le spyware au cœur même de l’installation domestique, les box ADSL.
Les configurations sont également complexes et très variées, mais Hadopi fait le pari du long terme (c’est à dire de son existence même après 2012), et envisage : « l’ intégration aux boitiers adsl dans le cadre ‘d’un renouvellement complet du parc’ » et plus loin : « on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc. »
Cerise sur le gâteau, TorrentFreak [url=http://torrentfreak.com/utorrent-web-now-available-on-ipad-and-android-100729/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed: Torrentfreak (Torrentfreak)&utm_content=Netvibes]nous apprend ce matin[/url] que l’iPad et Android disposent désormais de leurs applications P2P, ajoutant à la multiplicité des configurations qui s’offrent au pirates pour télécharger (d’autant qu’Android sera vraisemblablement au cœur de la Google TV).
Orwell avait raison… ou pas.
Le logiciel étant prévu pour se mettre à jour automatiquement afin de regarder de plus en plus précisément tout ce qui se transmet au sein du foyer, on s’approche au plus près du cauchemar Orwellien d’un système de surveillance installé dans chaque foyer.
Comme les responsables de la Hadopi s’y attendaient, c’est un grand éclat de rire qui traverse en ce moment le monde des spécialistes de la sécurité informatique et des hackers, doublé d’un frisson d’effroi quant aux intentions Orwellienne révélées par ce cahier des charge.
Mais c’est également le départ d’une compétition internationale où une gloire mondiale attend les vainqueurs, car pour reprendre Cory Dotorow, la vision Orwellienne qui se lit dans la politique numérique de l’Etat Français se base sur une approche erronée des technologies.
Orwell percevait la technologie comme étant au service des puissants, et sur ce point, il avait fondamentalement tort (en même temps, l’ordinateur individuel n’était pas même imaginé à l’époque). Face à cette prédiction, s’oppose désormais une armée de l’ombre, prête à déferler sur les wanabe dictatures, et qui lui opposeront une résistance farouche.
» Décés de Gildas Bourdais
» Une grotte mystérieuse...En réalité pas grand chose!
» La France en 2024
» L'HISTOIRE QUI A TERRIFIÉ L'EST DE LA FRANCE
» Le cas Paul Bernardo
» 11 Km de Profondeur Sous l’Océan : Ce Que Cachent les Abysses
» 5 THÉORIES SUR BOUDDHA
» Lieux hantés d'Écosse : châteaux, légendes et malédictions.
» Roswell 75 ans /documentaire chaine W9
» Les Incidents les plus Sombres de la TV (ft.@Feldup)
» L'étrange disparition de l'homme qui aurait construit une machine à voyager dans le temps
» SECRETS CACHÉS SOUS TERRE - "The Oldest View"
» L'Iceberg des Red Rooms : La plus grande enquête sur ce mystère d'internet
» 1/2 tonne: la quête mortelle des géants de la force