Home » Internet

Hadopi / consultation « publique » : analyse rapide

31 juillet 2010 2 Comments

J’ai (enfin) fini de lire le « Projet de spécifications fonctionnelles des moyens de sécurisation » de la Hadopi, et c’est .. comment dire .. intéressant, mais aussi un peu terrifiant quand on voit les projets pour le futur …

Bon, on ne parlera à peine du problème de la « consultation publique » ni de « l’objectif de transparence » de la Haute Autorité qui compte publier les contributions reçues en réponse à ce document de 36 pages.

________________________________________________________________

  • On doit trouver une double journalisation des événements, une en clair et une sécurisée (page 28 : « ce journal (la version sécurisée) est confidentiel, authentique et infalsifiable [...] en mode binaire, compressée, signée électroniquement chiffrée et archivée [...] « ).
  • Les journaux devront être « archivés et conservés par le titulaire de l’abonnement pendant la période d’une année« .
  • La mise en place des listes d’autorisations (noires, grises et blanches) – page 21.
  • « Les moyens peuvent être réalisés à partir de logiciels libres et/ou fonctionner sur des systèmes d’exploitation libres« , j’ai hâte de voir les problèmes que les licences vont poser ..
  • le logiciel n’enregistrent pas l’historique de navigation (désignation en clair des sites visités, nom des fichiers téléchargés ..), et ne doivent pas transmettre d’informations à des tiers (à l’exception de la clé de chiffrement  du journal chiffré).
  • En cas de négligence caractérisée, c’est une contravention de 5ème classe, prévue à l’article R 335-5 du Code de propriété intellectuelle. Si vous voulez un peu plus de détails, c’est page 7 de la consultation.
    • « Les personnes coupables de la contravention définie au I peuvent, en outre, être condamnées à la peine complémentaire de suspension de l’accès à un service de communication au public en ligne pour une durée maximale d’un mois, conformément aux dispositions de l’article L. 335-7-1« .
    • « Le fait, pour la personne dont l’activité est d’offrir un accès à des services de communication au public en ligne, de ne pas mettre en œuvre la peine de suspension qui lui a été notifiée est puni d’une amende maximale de 5 000 €« .

Ah tiens, alors là on peut mettre un gros WARNING :

« Lorsque l’application est [...] embarqués dans les instruments de communication (modem, routeur, boitier ADSL), l’application est alors plus simple et plus efficace. [...] on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc« .

On peut aussi lire page 16 que l’exécutable pourra être préinstallé sur les netbook ou les PC.

Vous je ne sais pas, mais moi je vois là un bon gros Big Brother en puissance, et surtout la possibilité de contrôler quasiment totalement l’internet en France.

Dans les pages 11 à 13, on apprend que le logiciel devra être un mixte entre un contrôle parentale à plusieurs niveaux, un antivirus, un antispams et un pare-feu, le tout fonctionnant aussi bien pour des particuliers que pour des entreprises de plusieurs centaines de salariés.

  • Le logiciel sera compatible avec la majorité des suites de sécurité du marché,
  • le logiciel n’empêchera pas les logiciels légitimes du marché de fonctionner,
  • et surtout, ils ne seront pas reconnus comme un « malware » par les antivirus :D

Le logiciel doit respecter la vie privée du titulaire de l’abonnement (Page 15), et son intégration est possible dans tout les environnement (y compris le domaine du logiciel libre, ça aussi ça va être marrant).

On trouve les risques contre lesquels l’application doit être protégée page 32, et on retrouve le DDOS sur les serveurs de mise à jour et les serveurs de temps (mais bon, de toute façon, « Mais ils peuvent toujours attaquer, le site est super blindé«  !)

Ressources :

2 Comments »

  • Mathieu said:

    J’ai moi aussi procédé à une lecture détaillée du document.
    Plusieurs points ressortent ( je n’ai pas noté les pages, mais c’est dans le corps du document)
    1- les mise à jour sont obligatoires (ça c’est de la sécurité)
    2- les listes noires sont
    – des sites (URLs), des ports de communications, des plages d’adresses, des logiciels,
    – types de fichier vidéo, musique, exécutables, images, fichiers compressés, etc.
    – constituées par « diverses organisations ou groupes d’ordre éthique.  »
    – permettent le filtrage des sites interdits par décision de justice
    3- logiciel est principalement un logiciel d’analyse de flux en temps réel
    il analyse notamment
    – flux
    – protocoles
    – formats
    – débits
    – volumes
    – profils
    – plages horaires
    – politique de sécurité choisie
    – mots clefs
    – analyse à posteriori des flux chiffrés sur des éléments statistiques (on ne parle pas de décrypter mais c’est sous jasent)
    les cibles citées sont : le P2P, les mails volumineux 8-O le streaming.
    4- L’analyse du poste est également à l’ordre du jour seront journalisés
    – les logiciels installés
    – la topologie du réseau (quels équipements, quelles configuration, les traces d’utilisation de proxys « douteux »)
    – les boots à partir d’un cd 8-0 (il faudra m’expliquer comment détecter ça depuis la machine elle même)
    – les périphériques à risque pour la PI, il est mention de lecteurs DVD et de « boitiers multimédia.
    5- les logs comprendrons les décisions de l’utilisateur pour chaque alerte, pour moi c’est un moyen d’établir la responsabilité de l’utilisateur (vous avez téléchargé à telle heure, et comme par hasard sur les logs vous autorisiez le téléchargement)
    6- La chose doit détecter toute manipulation sur les logs (en clair et cryptés)
    7- plusieurs mentions sont faite du logiciel libre et de linux (mais pas de gnu/linux) pour dire que le bidule doit être compatible (vérifier l’obligation de compatibilité plus en détail, je doute que les SFH finales y fasse mention)
    Les points croustillants :
    - il est question d’installer les logiciels HADOPI sur
    – les postes utilisateurs
    – les MachinBox
    – les téléphones portables et les consoles de jeux
    – les routeurs d’entreprises (CISCO coucou !-P)
    - A plusieurs reprises les SFH font mention à une évolution dans le temps, ainsi qu’aux antispam. Il est question d’ajouter dans le futur une comparaison des signatures des fichiers téléchargés avec une base de fichiers légaux (je ne vois pas pourquoi les fichiers présents seraient épargnés). Une sorte de DRM global et universel (Ultraviolet?) qui ressemble beaucoup trop aux TC à mon goût
    On retrouve ici le Brevet du spécialiste de Hadopi et les deux principale menaces de ce logiciel
    – censure des fichiers non signés « légaux »
    – obligation d’accepter les ajouts de fonctionnalités les plus intrusives

    Enfin il est possible de répondre à cette consultation publique en secret…

    PS : le bidule pourra être intégré à des suites de sécurités préexistantes (stratégie d’installation : cheval de troie)

    bonne lecture et merci pour l’article…

    # 31 juillet 2010 at 16 h 52 min
  • obinou said:

    Concernant le déploiement d’un tel logiciel sur les box, ça ne se fera pas a court, ni à moyen terme:

    * Les box actuelles (nb4/freebox/livebox) n’ont certainement ni la puissance, ni le stockage nécessaire pour remplir ces fonctions (Elles ont déjà du mal a suivre avec ce qu’on leur demande actuellement, alors…)

    * Les box de prochaines génération (Freebox v6, nb6) sont basés sur la même architecture générales: Processeur MIPS, un peu plus de flash, un peu plus de RAM: Pas suffisant non plus pour assurer les fonctions du SFH.

    Or, ces box ont vocation à rester un looooong moment en service, vu le peu d’empressement qu’ont les FAI à fibrer le territoire (A ce propos, la neufbox5, la box de SFR pour les clients fibre, est un poil plus puissante qu’une neufbox4, mais ne comporte néanmoins pas assez de RAM ou de Flash pour en faire un candidat potentiel à l’implémentation des SFH, & surtout pas au débit d’une fibre).

    Le passage « on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc » concerne donc des « box » qui ne sont même pas encore conçus aujourd’hui, et qui seront bien plus complexe que les box actuelles (ça reste envisageable à long terme pour un prix à peu près équivalent au prix de reviens d’une box actuelle, en tenant compte de l’effet d’échelle)

    D’ici là, ou sera l’Hadopi…? Probablement dissoute.

    Pour moi les FAI se déchargent clairement de la problématique Hadopi: Eux n’ont rien à faire, à part automatiser un poil plus la procédure de traduction IPAbonné.

    Ce qui serais vraiment dangereux (mais qui apparement n’est pas a l’ordre du jour) serais que les FAI déploient un tel logiciel non pas sur les box (qui reste contournable par l’abonné averti), mais directement sur les DSLAM, via des équippements en coupures. Là, on est baisé, on peux *rien* faire, d’autant plus que apparemment, l’usage d’un VPN (bien que légal & qu’il ne soit pas possible de déterminer ce qui y passe) serais considéré comme « suspect » : « quels équipements, quelles configuration, les traces d’utilisation de proxys « douteux » », peut-être de nature à déclencher une enquête plus poussée.

    # 1 août 2010 at 22 h 07 min

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.