Récapitulatif

Suite à une petite demande d'exposer mes idées vaguement personnelles sur le sujet des nouvelles lois hadopi & autres... j'ai concocté cette tartine pour mes interlocuteurs.

Petit rappel préalable, il existe grosso-modo trois types de réseaux :

  • L'internet, réseau publique bien connu, basé sur des adresses IPs routables (routables = reconnue comme pouvant se balader en public). Ce réseau nécessite ce qu'on appelle un "accès à internet" localisé chez chacun de nous et relié au réseau public d'un fournisseur commercial de connectivité à ce réseau mondial appelé nébuleusement internet.
  • L'intranet, réseau privé local ou non. Il s'agit ici des réseaux de fac, d'entreprise ou même d'un réseau domestique. Si vous avez votre domicile à Toulouse et une maison secondaire en Chine et que les deux sont reliées par un câble même virtuel, il s'agit alors d'un intranet. Ce réseau utilise des adresses IPs non routables et donc ne peut communiquer avec internet par lui même.
  • L'extranet, il s'agit d'un réseau privé souvent local et physiquement accessible depuis l'extérieur et se comporte comme un intranet "géant".

Actuellement, un intranet ou un extranet peuvent communiquer indirectement avec l'internet au travers de "l'accès à internet" moyennant certains artifices techniques. Le moyen technique d'accès à internet effectue en son nom personnel les échanges que lui demandent les intranets et extranets. Les intranets et extranets sont absolument inconnus d'internet et masqués par le moyen technique d'accès à internet . Ce moyen technique d'accès à internet, ainsi que le fournisseur de service associé, filtrent toute adresse IP non routable, donc tuent toute tentative de sortie d'une communication "privée" : c'est une des règles de base. De même aucune adresse non routable chez le prestataire ne doit pouvoir vous atteindre. Si cette règle n'est pas suivie, changez de prestataire pour une seule et simple raison : incompétence.

L'article 8

Après l'article L. 335-6 du code de la propriété intellectuelle, il est inséré un article L. 335-7-1 ainsi rédigé :

Art. L. 335-7-1. – Pour les contraventions de la cinquième classe prévues par le présent code, lorsque le règlement le prévoit, la peine complémentaire définie à l'article L. 335-7 peut être prononcée selon les mêmes modalités, en cas de négligence caractérisée, à l'encontre du titulaire de l'accès à un service de communication au public en ligne auquel la commission de protection des droits, en application de l'article L. 331-25, a préalablement adressé, par voie d'une lettre remise contre signature ou de tout autre moyen propre à établir la preuve de la date de présentation, une recommandation l'invitant à mettre en œuvre un moyen de sécurisation de son accès à internet.

La négligence caractérisée s'apprécie sur la base des faits commis au plus tard un an après la présentation de la recommandation mentionnée à l'alinéa précédent.

Dans ce cas, la durée maximale de la suspension est d'un mois.

Le fait pour la personne condamnée à la peine complémentaire prévue par le présent article de ne pas respecter l'interdiction de souscrire un autre contrat d'abonnement à un service de communication au public en ligne pendant la durée de la suspension est puni d'une amende d'un montant maximal de 3 750 €.

Et c'est là qu'on se marre...

On nous dit donc de "mettre en œuvre un moyen de sécurisation de son accès à internet" et que cela concerne uniquement "service de communication au public en ligne" et de son "titulaire". Ce qui a vue de nez pour rester techniquement précis implique que :

Seul l'accès à internet est affecté (En résumé, là où les IPs sont routables sur internet).

Les réseaux locaux (la ou les IPs ne sont pas routables sur internet) ne sont pas affectés. Et encore heureux qu'on ne nous surveille pas dans la sphère privée & familiale pour interdire l'usage d'œuvres diverses et (a)variées dont la licence est prévue pour un usage dans le cadre privé et familial.

Les postes de travail ne sont pas affectés (même commentaire que ci-dessus) tant qu'ils ne gèrent pas l'accès à internet et ne sont pas en eux même l'accès à internet et ne présentent pas une adresse IP routable (cas précis d'une unité centrale pilotant un modem et gérant toute la communication avec le FAI).

Visiblement, le moyen de sécurisation n'a pas l'air d'avoir à être certifié par qui que ce soit dans le texte même de la loi.

Visiblement, le moyen de sécurisation n'a pas l'air d'avoir à être produit par quelqu'un en particulier (personne morale ou personne physique).

Conséquences pratiques

C'est la *box (cas commun à 90% des clients des FAI) qui est concernée par cette loi du fait même de son intégration matérielle, ou au pire le bout de fil entre le réseau local et la box qui est concerné (si le wifi n'est pas activé). Et comme souvent cette*box est du ressort du prestataire et pas du votre (location ou prêt), c'est au prestataire de gérer la question et pas au client.

Les logiciels proposés par certains FAI et/ou éditeurs pour fait pour tourner sur un poste de travail ne répondent pas aux critères de la loi vu qu'ils protègent le poste et pas l'accès à internet.

D'autre part, Il semblerait qu'il va pouvoir être possible noyer une administration nommée Hadopi, de demandes d'accréditations de "moyens de protection" faits à la main dans de nombreux garages de France... car chaque routeur linux (ou autre) pourra être basé sur une configuration tenue "secrète" comme chaque logiciel propriétaire et chaque client pourra donc demander l'accréditation de sa solution pour son usage personnel auprès de l'administration. Il est à noter que sans refus dument signalé par l'administration après un mois : la question soulevée par l'administré est implicitement acceptée ! Cela va peut être être couteux en timbres postaux, et en papier portant l'impression de la configuration utilisée mais le résultat pourrait être "amusant" ...

Les basiques de la sécurité prônant l'utilisation de systèmes informatiques ne permettant pas l'usage de logiciels "grand public", les routeurs intercalés entre la *box et le réseau local ont typiquement une architecture qui n'est pas basé sur du matériel grand-public. L'usage de matériels&logiciels courants diminuant la sécurité, et la loi impliquant de sécuriser son accès à internet : il est donc "proscrit" d'utiliser des logiciels de sécurisation crées pour du matériel courant. La loi "réprime" donc l'usage de PC Wintel pour jouer ce rôle là, ou même l'usage d'un Mactel.

L'usage de machines "atypiques" interdit implicitement et en pratique l'usage de logiciels issus d'éditeurs grand-public car ces logiciels ne seront pas adaptés à ces configurations. On est donc dans la mouise : on ne peut pas sécuriser techniquement son accès à internet et en même temps utiliser les logiciels de sécurisation de cet accès qui seront disponibles commercialement.

L'usage veut aussi que seules les communications autorisée sortent sur l'accès à internet vers ou depuis internet (Cela évite les contaminations de virus, ou les communications involontaires sur des voies "parallèles" par des "trojans"). Il est donc fortement possible que le "firewall", le proxy, etc protégeant l'accès à internet interdisent les connexions involontaires liées à l'usage de ces logiciels de sécurisation, qui dès lors deviendront inopérants. Il sera alors impossible pour eux de charger des mises à jour, de contacter leur serveur central à votre insu, etc.

Rigolade ultime

Cette loi ne s'applique pas sur les extranets privés non reliés à internet , constitués par exemple de serveurs et de routeurs accessibles depuis la rue par exemple.

Typiquement, pour Monsieur Michu(tm) : un point d'accès Wifi entièrement ouvert avec juste un serveur connecté dessus, et doté de tous les logiciels d'échanges possibles et imaginables n'est pas affecté par la loi. Et pour Monsieur tout-le-monde, l'usage de d'un routeur Mesh émettant en wifi(tm) sera un gros plus pour créer un réseau de voisinage s'étendant de proche en proche... La condition d'usage en wifi(tm) ouvert reste que ces outils se doivent d'être coupé des réseaux de télécommunication publique. Le plus étant le mieux : un déconnexion physique de ces outils serait le plus préférable même si cela impose quelques contraintes techniques.

Bref la copie privée ne semble pas interdite, comme du temps ou on se passait des copies de cassettes de la main à la main. Ce que permet l'usage de réseaux locaux décorrélé d'internet (ou d'un réseau public) ; et ce, même à l'échelle d'une ville.

Certains FAIs changent les IPs des points d'accès régulièrement (au pire toutes les huits ou neufs heures si on laisse les choses se faire d'elles même comme par chez moi), donc si ce n'est pas un flux allant directement à une IP publique qui est détecté à un instant T, mais juste la trace d'un passage enregistrée dans un fichier public laissé sur un serveur, lequel sera le plus probablement du monde situé à l'étranger : il n'est pas alors possible d'associer un nom à une adresse IP sauf si la saisie de cette IP au niveau du serveur est daté de façon fiable par ce même serveur (chose qui n'est absolument pas garantie...) ni même que la gestion des fuseau horaires soit correcte. Ce qui rend nulle la recherche d'IP "pirate". Il faudrait que le serveur soit "certifié" par le chasseur d'IP... et donc que l'utilisateur aille se fourrer lui même dans un "honeypot" sans contrôler ses connexions.

Bref... attendons les décrets d'application pour voir l'exact champ d'application de la loi. J'ai un peu fait mon boulet... on verra ce qu'il en restera.