Category Archives: fr

divers, fr

Restez chez vous !

Hier, le président a expliqué — à nouveau — qu’il était important de rester chez nous pour ralentir au maximum la diffusion du virus covid-19 ; et a mis en place de nouvelles mesures pour décourager les déplacements inutiles, les annonces précédentes n’ayant guère été suivies d’effets.

Pourquoi ralentir au maximum la diffusion ? Parce que le virus, peu virulent d’ordinaire, peut être dangereux pour des personnes vulnérables, affichant un taux de mortalité supérieur à la grippe saisonnière. Surtout, sa diffusion — même lente — a toutes les chances de provoquer l’engorgement des hôpitaux, rendant ainsi impossible de prodiguer à tous les cas graves les soins dont ils ont besoin. C’est déjà le cas en Italie, cela commence à être vrai en France.

Plus la diffusion est lente, plus le pic à supporter par les hôpitaux sera réduit. Personne ne sait l’ampleur de celui-ci, c’est à dire, la façon dont devraient être dimensionnés les hôpitaux. C’est pourquoi les autorités de santé nous demandent de déployer tous nos efforts pour limiter la propagation. C’est pourquoi on nous demande également de rester chez nous et de ne pas diffuser le virus dans tout le pays. Ce n’est pas juste pour nous ; c’est surtout pour épargner les malades les plus vulnérables.

Actuellement, d’après les statistiques disponibles dans les pays européens, le virus touche chaque jour 30 % supplémentaires de la population. Autrement dit, la population infectée double tous les 3 jours. Doubler les capacités des hôpitaux ne donnerait que 3 jours de répit ; les quadrupler, 6 jours de répit. Cela ne peut être suffisant, même dans un monde idéal où nous en aurions le temps matériel.

Petit retour en arrière.

En janvier 2020 lors d’un voyage aux États-Unis, j’attrape un gros rhume qui dégénère. Environ 15 jours de rhume, fatigue, toux, fièvre, maux de tête et de gorge : « syndrome grippal ». 3 jours plus difficiles au milieu. Rien d’agréable, mais je n’y ai pas porté beaucoup d’attention, hors l’envie d’en sortir. J’ai supposé que j’avais pris froid lors de mes visites en plein air.

C’était 6 jours après l’avion de Paris à San Francisco via Amsterdam. Des heures dans deux avions, 3 aéroports bondés et autant de files de sécurité, douane, bagages. Autant d’occasions d’attraper ce virus, d’autant que je n’ai pas pris de précaution particulière, en l’absence de recommandations sanitaires à ce stade en France. Au retour, l’hôtesse me dira : « cette toux-là, je l’entends sans arrêt ».

L’infection est disparue comme elle est venue, comme un rhume. En voyage touristique, je n’avais pas l’intention de perdre du temps chez un médecin, et particulièrement pas aux États-Unis. J’ai trouvé les médicaments courants dont j’ai l’habitude pour apaiser fièvre et maux de tête. J’étais heureux que cela suffise.

Une semaine après mon retour en France, je me retrouve quelques jours à l’hôpital en Haute-Savoie, après le 12 février, suite à une fracture de la hanche. C’est ici que se terminera totalement ma toux.

Un mois après mon retour, j’apprends qu’un autre proche a également été malade. Je plaisante en lui demandant s’il n’aurait pas eu ce fameux covid-19. Il pense plutôt avoir attrapé mon rhume. C’est possible, malgré une durée d’incubation de plusieurs semaines. Ses symptômes sont très similaires.

Puis je lis que le ministre de la culture, Franck Riester, a été testé positif au virus et qu’il a repris son activité après 3 jours de maladie.

C’est là que je commence à me poser des questions. Dans mon esprit, marqué par les communications de panique sanitaire, le covid-19 était une maladie plus virulente et plus longue. Est-ce que, sans le réaliser, j’aurais pu le subir en janvier ?

Il m’est impossible de le savoir avec certitude. En France, les rares tests disponibles semblent réservés aux cas graves et aux ministres.

La semaine dernière, une autre de mes proches est tombée malade. « Syndrome grippal » encore : grosse fatigue, parfois un peu de fièvre, maux de tête, un peu de toux. Cela semble aujourd’hui toucher à sa fin.

Nous avons contacté les services spécialisés qui nous dit que, sauf aggravation des symptômes, il suffisait d’attendre la fin de la maladie, en restant chez nous. Pas de test : les cas bénins n’ont aucun traitement spécifique différent de celui d’une simple grippe. Il est donc inutile de savoir s’il s’agit du covid-19.

Combien sommes-nous dans un tel cas, à être potentiellement contaminés, non répertoriés, et sans aucun moyen de le savoir ?

Bien entendu, cette question est sans importance pratique, hors celle d’espérer une immunité personnelle dans les semaines qui suivent la guérison, nous permettant de nous alléger l’esprit comme les protections.

Mais combien sommes-nous, surtout, en l’absence de test, a avoir été malades du covid-19 sans le comprendre, c’est à dire sans prendre plus de précautions que pour un simple rhume ou grippe ? Et avoir, donc, contribué à diffuser la maladie qui a aujourd’hui ces conséquences sans précédent ? Le port du masque est maintenant un réflexe naturel pour protéger autrui — malheureusement, les masques sont indisponibles. Que dire de ceux qui, en masse, quittent les grandes villes, violant le confinement, pensant échapper à la maladie, mais ne réalisant pas qu’ils l’ont peut-être déjà et participent ainsi à sa diffusion plus rapide ?

La situation est sans précédent. Comment aurait-il fallu procéder ? Il n’est pas aisé, même pour les spécialistes de santé, d’évaluer la dangerosité d’une maladie généralement bénigne, lorsque sa gravité ne se révèle qu’à très grande échelle.

On aurait cependant pu supposer que les exemples chinois, puis italien plus proche de nous, auraient permis à nos dirigeants comme à nous de profiter de cette triste expérience anticipée. Il n’en a rien été. D’autres pays, après la France, sont en train de reproduire les mêmes erreurs, malgré les supplications des spécialistes en épidémiologie.

Mais il est également de la responsabilité de chacun de comprendre aujourd’hui la situation et de ne prendre à la légère, ni un gros rhume, ni les précautions à prendre pour épargner autrui. Cela inclut le respect aussi strict que possible des instructions de confinement, sans attendre que le gouvernement soit contraint de déployer des moyens de plus en plus coercitifs.

Nos gouvernants ne sont pas seuls responsables. Nous le sommes tous. Ils ont fait des erreurs. Nous aussi. Faisons maintenant notre part.

Cela n’a rien d’insurmontable : on nous demande tout simplement de rester chez nous.

divers, fr, Hacks, Weberies 2.0

Petit jeu de fraîcheur avec les moteurs Qwant et Bing

1 Comment

Vous connaissez sans doute le moteur de recherche français Qwant. Ce moteur a défrayé la chronique à plusieurs reprises ces dernières années, et à plusieurs titres.

L’un des critiques principales était sa dépendance au moteur états-unien Bing de Microsoft.

En effet, créer un index significatif du web est une entreprise difficile et coûteuse en temps comme en ressources. Qwant avait donc choisi plus ou moins officiellement de s’appuyer sur les résultats de Bing, pendant qu’il constituait son propre logiciel et son propre index, tout en vendant des publicités sur les pages de résultats pour s’assurer un début de revenu.

Rapidement sont apparues des critiques sur la vitesse d’indexation des sites, certaines pages n’étant manifestement rafraîchies que rarement.

J’ai voulu en avoir le cœur net en créant une page sur un site que je gère, nic.eu.org. La page est ici et affiche la date et heure du jour à Paris, avec une chaîne unique permettant de la retrouver facilement dans les moteurs. Elle est référencée par un lien caché sur la page d’accueil du même site.

Le résultat est plutôt bon en termes de fraîcheur. Ainsi, ce matin 11 mars 2020, on peut voir sur Qwant que la page indexée a été parcourue le 9 mars à 0h51 :

Cependant, les choses se gâtent en ce qui concerne l’indépendance vis-à-vis de Bing. En effet, la page retournée par Qwant est en fait celle indexée par Bing, comme le montre une recherche sur Bing qui donne une date identique.

On obtient le même résultat par une recherche sur Duckduckgo, autre moteur utilisant Bing :

Dans les journaux de connexion du serveur web, il est facile de voir qu’en effet, à cette date, c’est bien l’indexeur de Bing qui est passé sur la page, suivi peu après par celui de MSN :

40.77.167.206 - - [09/Mar/2020:00:51:23 +0100] "GET /d.html HTTP/1.1" 200 63 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" nic.eu.org

40.77.167.221 - - [09/Mar/2020:00:53:09 +0100] "GET /d.html HTTP/1.1" 200 63 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" nic.eu.org

À ce jour, l’indexeur de Qwant n’a pas visité cette même page. Il passe régulièrement sur le site, mais se contente en général de visiter la page d’accueil et l’icone du site :

194.187.171.130 - - [11/Mar/2020:10:28:48 +0100] "GET /favicon.ico HTTP/1.1" 404 196 "-" "Qwantify/1.0" nic.eu.org

194.187.171.142 - - [11/Mar/2020:10:28:48 +0100] "GET / HTTP/1.1" 200 1572 "-" "Qwantify/1.0" nic.eu.org

copyrightdirective, fr, vie privée

Le rapport du CSPLA sur les outils de reconnaissance de contenu

C’est Nextinpact qui a diffusé le premier ce vendredi (22 novembre 2019) le rapport du CSPLA (en commun avec la Hadopi et le CNC) qui était attendu pour la fin de l’été 2019 sur les technologies de reconnaissance de contenu nécessaires pour mettre en application l’article 17 (ex 13) de la directive copyright, votée cet été au parlement européen, et transposée avec empressement en France. Notre pays en est le principal promoteur, poussé par la forte influence des ayants-droit chez nous.

On ne présente plus le CSPLA (fiche Wikipédia ; conseil supérieur de la propriété littéraire et artistique) : il est le bras armé du ministère de la culture et du lobbying des ayants-droit de l’industrie du divertissement pour proposer des évolutions législatives en leur faveur et faire appliquer les lois votées.

On ne présente plus non plus l’article 17, déjà abondamment évoqué sur ce blog : il s’agit de mettre en place des filtres a priori, automatisés, sur les plateformes en ligne pour interdire la diffusion illégale de contenus sans l’autorisation des ayants-droit impliqués.

Après le vote de l’article 17, le CSPLA a donc été sollicité pour émettre des propositions sur son application.

Pour citer la lettre de mission :

Et, à vrai dire, le résultat n’est pas au rendez-vous. Même si le rapport propose un panorama relativement étendu de la situation existante d’un point de vue juridique et para-technique, il se garde soigneusement d’entrer dans lesdits “points sensibles” et problématiques de mise en œuvre. En ce qui concerne les propositions, il se contente de recommander des “concertations” et la mise en place d’une “gouvernance”. À de nombreuses reprises, le rapport est une publicité pour les efforts des GAFAM, les présentant en référence technique pour l’industrie.

Dès l’introduction, le rapport reconnaît qu’en somme, tout existe déjà sur les plateformes principales. Il se garde cependant d’en déduire qu’il était donc inutile de légiférer. Les mises en œuvre nouvelles concerneront donc essentiellement les plateformes européennes, cible réelle non avouée de cette directive. Sur le plus long terme, il s’agit de démolir le statut d’intermédiaire technique, autrement dit le statut d’hébergeur.

Pour les écueils éventuels, on se reposera sur l’intelligence artificielle, cette technologie magique et fourre-tout :

En matière de panorama technique (sujet que j’avais évoqué longuement ici — l’article 17 s’appelait alors article 13), pourtant, le rapport n’exclut aucune hypothèse, allant jusqu’à réfléchir ouvertement à une exploitation des technologies de reconnaissance faciale utilisées en matière de sécurité publique. Les synergies entre la société de surveillance et la protection des ayants-droit, souvent niées, sont ici exprimées noir sur blanc.

Tout cela n’aidera pas du tout les plateformes chargées de la mise en œuvre technique de l’article 17, car les recommandations pratiques sont inexistantes. Le rapport balaie toutes les objections de coût d’un revers de main, va jusqu’à tenter de nier les investissements faramineux consentis par Youtube pour le développement de Content-Id, un des rares chiffres dont on dispose, mais se garde soigneusement, de son côté, de proposer la moindre évaluation, que ce soit des coûts de développement ou des coûts de licence pour acquisition de technologies tierces.

Youtube a la chance, donc, de bénéficier d’un satisfecit de la part du rapport, sous la forme de nombreux paragraphes louant Content-Id et les efforts faits en faveur des ayants-droit. On se rappellera que, pendant le vote de la directive, le manque de coopération des GAFAM était brandi comme principale motivation pour voter les articles 15 et 17. Apparemment, de l’aveu du CSPLA, tout va bien avec les GAFAM. On peut donc penser que la cible de la directive était autre.

La société française Qwant, quant à elle, en cherchant à se poser en bon élève auprès du gouvernement, a tenté un « coup », sous les applaudissements de la SACEM, en étant la seule (hors ayants-droit) à soutenir la directive en France et en proposant une plateforme communautaire et open-source permettant à l’écosystème français concerné de mutualiser les coûts de mise en œuvre. Des responsables de Qwant ont été audités pour le rapport (quasiment seuls en matière de technique, à l’exception d’un chercheur CNRS et de représentants de Youtube, le reste des audités étant essentiellement constitué d’ayants droit). On en retient (page 42), entre force conditionnels et futurs, que la plateforme de Qwant n’est pas plus avancée qu’au moment des annonces faites par la société cet été :

En matière de reconnaissance de contenu écrit (un sujet cher à la presse et aux éditeurs), le rapport se borne à reconnaître qu’il n’existe actuellement rien, espérant implicitement là aussi que les acteurs qu’il est chargé d’aider ou d’éclairer vont se débrouiller tout seuls.

Enfin, le rapport n’omet pas de décerner quantité de lauriers à la directive, de manière univoque et sans réserve : celle-ci n’a aucun défaut et ne peut avoir aucun effet de bord néfaste.

Bon courage, en conclusion, à ceux qui devront l’appliquer : ils seront — évidemment — seuls pour en surmonter les difficultés. Tout au plus pourront-ils s’aider de l’inventaire commercial que fournit le rapport sur les différents prestataires de services de reconnaissance. Charge ensuite à eux d’en essuyer les plâtres.

Le rapport sera présenté le 28 novembre 2019 au CSPLA.

copyrightdirective, fr, Geek stuff, neutralité, vie privée, Weberies 2.0

La démission française sur la liberté d’expression numérique

1 Comment

Un point sur la directive copyright semble utile (j’avais écrit ici une petite introduction précédemment, pour les lecteurs qui ne sont pas au courant de l’article 13 de cette directive).

La nouvelle du jour, c’est qu’après des mois de tergiversations, la position française (totalement acquise aux ayants-droit) semble avoir eu gain de cause, ce qui est inquiétant. Les garde-fous demandés par les défenseurs des libertés en ligne semblent avoir été largement ignorés.

Ainsi, ni PME ni les sites à but non lucratif (ce dernier point ne semble pas certain, mais ce n’est pas encore très clair) ne seraient exclus du champ de l’article 13, ce qui revient à mettre une barrière d’entrée infranchissable à ceux-ci en face des GAFAM puisque ces derniers disposent déjà des technologies de filtrage nécessaires pour être à l’abri de l’article. Et il risque d’en résulter une censure sans subtilité des contenus produits par les utilisateurs, voire disparition pure et simple (ou inexistence) de certains services (voir ici le tout dernier article de Julia Reda, députée européenne allemande, pour les détails).

Revenons sur les facteurs qui font que la position française en la matière est particulièrement extrémiste.

Les institutions françaises et les ayants-droit

Sans revenir en détail sur la situation française autour de l’exception culturelle, un peu de contexte est nécessaire.

Depuis des décennies, la concrétisation de l’exception culturelle est le passage de lois de protection de l’industrie du spectacle, éventuellement au détriment de l’intérêt public.

Il y a ainsi eu les lois cherchant à protéger le cinéma contre la télévision (chronologie des médias), puis le cinéma et la télévision contre la cassette VHS et le DVD, puis les chaînes privées brouillées, puis la VHS et le DVD contre les importations contrariant les exclusivités nationales, puis le CD contre la musique en ligne, puis tout cela contre le piratage. Cette liste n’est, bien sûr, pas exhaustive (des séries de lois similaires existent concernant le livre).

S’y ajoutent les diverses taxes et redevances destinées à soutenir la même industrie : redevance télévisuelle (dont une bonne partie sert à acquérir des droits de diffusion), redevance copie privée (supposée dédommager les ayants-droit pour les copies de sauvegarde des œuvres que vous avez légalement acquises, mais que vous paierez également pour stocker vos vidéos de vacances ou en achetant votre téléphone), droits divers sur votre abonnement Internet, etc.

S’y ajoutent un certain nombre d’instances et d'”autorités administratives indépendantes”, suivant le terme consacré : la Hadopi et le CSA, mais aussi le CSPLA (conseil supérieur de la propriété littéraire et artistique) ou la commission pour la rémunération de la copie privée, qui décide unilatéralement du montant de la redevance copie privée. Toutes ces entités dépendent du ministère de la culture.

Une des missions principales attribuées au ministère de la culture est de réaliser, au niveau français, la législation pour protéger les ayants-droit, et à l’échelle européenne, le lobbying pour légiférer dans le même but, en particulier la directive copyright (dite “directive droit d’auteur” en France) qui nous intéresse en ce moment.

Officiellement, la mission du ministère est de « rendre accessibles au plus grand nombre les œuvres capitales de l’humanité et d’abord de la France ». En pratique, cette mission est interprétée de manière limitative : ne comptez pas sur le ministère pour défendre les licences libres ou le domaine public, car il s’agit d’un casus belli vis-à-vis des industries littéraires et du spectacle, et celles-ci l’ont clairement exprimé à plusieurs reprises.

Enfin, ce panorama ne serait pas complet sans un mot sur la représentation française au parlement européen : elle a été à l’avenant lors du vote de juillet, dans une écrasante majorité en faveur des ayants-droit, sans nuance et tous partis confondus, à l’exception notable des Verts.

Les médias et les ayants-droit

La couverture par les médias généralistes en France de la directive copyright a été quasiment inexistante, sinon pour :

  • accorder des tribunes aux ayants droit, pour défendre l’utilité de l’article 13, en en ignorant les effets néfastes ;
  • s’indigner du lobbying — réel — de Youtube et Google contre la directive, en oubliant totalement que les ayants-droit ne sont pas en reste, loin de là, en matière de lobbying ; et qu’au delà de ces 2 lobbies bien visibles et d’un storytelling binaire mais facile, devrait être évoqué l’intérêt général, celui des citoyens.

En ce qui concerne la presse, la directive prévoit l’article 11, censé obliger les moteurs de recherche à rémunérer les journaux pour le trafic que les premiers leur apportent. Pour en arriver à cette absurdité (qui équivaut à demander une commission à un taxi pour qu’il ait le droit de déposer ses clients à tel hôtel), il faut tordre le droit d’auteur et les usages d’Internet, en piétinant le droit de citation.

Les lobbyistes des articles 11 et 13 sont donc entrés depuis l’été 2018 dans un jeu de donnant-donnant. « Je soutiens ton article 11, en échange tu soutiens mon article 13, et réciproquement ». En effet, le sort de ces deux articles est lié : l’un comme l’autre visent clairement Internet sous couvert de cibler les GAFAM ; l’un comme l’autre sont contestés depuis des mois par les associations de défense des libertés ; et le reste de la directive copyright est relativement consensuel.

Ainsi, les tenants de l’article 11 (la presse) se sont vu reprocher par ceux de l’article 13 (les ayants-droit de l’industrie du spectacle) l’échec du vote de juillet 2018, qui aurait permis une validation accélérée au parlement européen, en donnant mandat au rapporteur Axel Voss pour terminer l’écriture de la directive.

Autrement dit, le sort de la directive copyright repose essentiellement sur le consensus qui sera obtenu sur ces articles 11 et 13 ; et cela traîne, car la position française, totalement calquée sur les demandes des ayants-droit, est loin de faire l’unanimité dans l’Union Européenne.

En France, le sujet ne suscite guère d’intérêt médiatique sinon pour s’indigner épisodiquement de manière pavlovienne de l’hégémonie des GAFAM, comme dans cette récente édition de l’Instant M de France Inter qui, toute occupée à dénoncer l’activisme de Youtube, en oublie accessoirement celui des ayants-droit, mais surtout arrive à faire l’impasse sur le sujet de la liberté d’expression, ce qui est plus gênant.

Précisons que je n’ai rien contre cette émission. C’est simplement l’exemple le plus récent auquel j’ai été confronté, mais il en existe bien d’autres, dans le Monde, dans Les Échos, et ailleurs, sous forme, souvent, de tribunes d’opinion à des collectifs d’artistes, ou d’interviews d’artistes en vue. Ainsi, pour ne citer que Jean-Michel Jarre, dès les titres, la tonalité est claire :

  • Le Monde : Jean-Michel Jarre : « YouTube ne doit pas devenir un monopole »
  • France Info : Jean-Michel Jarre défend les auteurs face aux “monstres d’internet”

On cherchera en vain des articles aussi médiatisés exprimant des positions allant clairement contre les articles 11 et 13 de la directive, ceux-ci étant essentiellement du ressort de la presse spécialisée, ou relégués dans des rubriques “actualité numérique”.

Il faut quand même noter quelques exceptions. J’ai eu la chance et l’honneur d’être sollicité par France 24 pour défendre le point de vue des utilisateurs et hébergeurs Internet, ainsi que pour des articles de BFMTV et Marianne, ce dont je les remercie. J’ai également été invité par l’April à l’émission Libre à vous sur Radio Cause Commune, qui est revenue à plusieurs reprises sur la directive. Enfin, on ne peut oublier la couverture régulière de ces sujets, et de tout ce qui concerne le lobbying numérique des ayants-droit, dans Nextinpact, sous la plume de Marc Rees.

La situation associative française

Plus préoccupant, et plus surprenant, l’une des associations phares de défense des droits numériques en France, la Quadrature du Net, a fait preuve d’un mutisme quasi complet sur le sujet de la directive, hors quelques déclarations de principe contre l’article 13 jusqu’à l’été 2018, suivies de prises de positions niant le danger de la directive pour l’« Internet libre », totalement à contre-courant du sentiment général dans les associations similaires.

La Quadrature n’a pas jugé possible non plus de prendre le temps de signer la lettre ouverte d’EDRI, au contraire de 90 des associations européennes et internationales les plus en vue se préoccupant de droits numériques, dont l’EFF états-unienne.

C’est d’autant plus ennuyeux que la Quadrature du Net dispose, dans le domaine associatif numérique, d’un historique et d’une écoute médiatiques qui n’ont guère d’équivalent en France. Son absence peut en partie expliquer la couverture médiatique univoque observée sur le sujet.

On note un autre absent de marque, le Conseil National du Numérique, qui semble se cantonner désormais aux missions que lui confie le gouvernement Macron.

Les deux principales associations françaises ayant réellement fait campagne contre la directive sont l’April, association de défense du logiciel libre, et Wikimédia, la branche française de la fondation qui édite le bien connu Wikipédia, concerné directement par les articles 11 et 13. On peut citer également le CNLL et Renaissance Numérique parmi les signataires de la lettre ci-dessus.

Un article 13 extrême

Même parmi les ayants-droit, l’article 13 ne faisait pas l’unanimité. Ainsi, en décembre, des ayants-droit du cinéma et du sport se sont désolidarisés de l’article tel qu’il était rédigé, estimant qu’il allait trop loin et ne bénéficierait qu’aux grandes plateformes. C’est également la position des associations.

Un résultat à la hauteur des efforts français

Comme précisé plus haut, il semble qu’après un combat entre la position française et celle d’autres pays, dont l’Allemagne, la directive copyright soit en train de passer avec un article 13 in extenso, minimaliste vis-à-vis de la protection des droits des citoyens et des intermédiaires techniques, la position de la France ayant prévalu. Rien n’étant jamais gratuit dans ces négociations, difficile de dire contre quel abandon réciproque la défense des ayants-droit a été troquée vis-à-vis de l’Allemagne.

Une situation plombée

En France, comme on l’a vu, la situation politique est verrouillée depuis des décennies par les ayants-droit, au détriment de l’intérêt général, et sans espoir ni même volonté d’en sortir.

Par parenthèse, car le domaine de la SVOD (vidéo par abonnement en ligne) est très anecdotique au regard des impacts potentiels des articles 11 et 13, le prochain échec sera celui d’un concurrent potentiel à Netflix, coulé d’avance par une législation et un écosystème hexagonaux hostiles à toute innovation en la matière, et une absence de vision. Ainsi, après avoir plombé molotov.tv par l’accumulation de règles sur les magnétoscopes virtuels, après le quasi échec de Canal Play qui en est réduit à imposer des procédures de désabonnement compliquées pour retenir ses abonnés (on notera que Vivendi n’a pas voulu acquérir Netflix à ses débuts), on nous prépare salto.fr, sur fonds publics, qui croit pouvoir s’imposer par des exclusivités sur les séries de France Télévision (celles-ci seront retirées de Netflix), et qui, inévitablement, rejoindra quelques temps après son ouverture la longue liste de nos échecs de stratégie industrielle et politique.

Et maintenant ?

La première chose à faire, urgente et essentielle, serait de sortir du raisonnement mortifère (et réactif) « ce qui est mauvais pour les GAFAM est bon pour l’intérêt général » qui actuellement motive et oriente l’essentiel de l’action législative française en matière numérique.

D’une part, parce que ce qui semble mauvais pour les GAFAM ne l’est pas forcément réellement pour eux. Ainsi, Google/Youtube dispose déjà de la technologie nécessaire pour appliquer l’article 13, ce qui lui donne une avance considérable sur le reste de l’industrie. Ensuite, on a appris récemment que Facebook, derrière une opposition de façade à l’article 13, poussait discrètement le législateur à l’adopter, parce que Facebook possède également une avance technologique en la matière.

D’autre part, ce qui semble mauvais pour les GAFAM, a, a priori, des chances de l’être également pour des acteurs similaires, les hébergeurs et autres intermédiaires techniques, qu’ils soient à but lucratif ou non, et Wikimédia l’a bien compris. Difficile de se plaindre de la prééminence persistante des GAFAM lorsqu’on a savonné également la planche des services concurrents, à moins que le plan soit de renforcer cette prééminence pour avoir un lieu de contrôle, surveillance et taxation centralisé plus simple à gérer par les états.

Dans un autre registre, on voit déjà dans les tentatives de taxation de Google et Facebook par l’état français que le crayon du législateur peut déborder : il suffit qu’un article de loi soit mal rédigé pour qu’il ait un impact bien au delà de Google ; la loi étant supposée ne pas viser un acteur particulier, ce qui serait discriminatoire, elle doit établir des principes, mais les acteurs similaires (dans le monde publicitaire en particulier) existent et, s’ils sont probablement ravis qu’on taxe Google, ils souhaiteraient éviter qu’on les taxe pour la même activité.

Il suffit de transposer la situation fiscale à celle des articles 11 et 13 pour imaginer les dangers vis-à-vis de la liberté d’expression.

Ensuite, parce que se focaliser sur la lutte contre les GAFAM revient à négliger les citoyens. Ceux-ci auraient du mal à migrer en masse vers d’autres services, même si cela pourrait être souhaitable, à supposer que de tels services existent. Notamment, restreindre par la loi la liberté d’expression sur les GAFAM, même si elle n’y est pas parfaite, revient à restreindre la liberté d’expression tout court.

Enfin, la loi doit poser des principes généraux et fonctionner le moins possible par exceptions. Ainsi, l’article 13 prévoit une liste limitative d’exceptions, qui correspondent à des services déjà existants. Mais l’imagination des développeurs de sites et d’applications est plus fertile que celle du législateur et des lobbies du moment, et les possibilités d’Internet plus larges. Ainsi, si les forges de logiciel ou les encyclopédies en ligne n’existaient pas déjà, avec des acteurs de taille notable pour les défendre, les exceptions correspondantes auraient été tout simplement oubliées.

À côté de quels autres services et usages encore inconnus sommes-nous en train de passer en écrivant la loi contre les acteurs hégémoniques du moment et pour soutenir tel ou tel groupe d’intérêt sur des modèles d’un autre temps qui, tôt ou tard, devront être repensés en fonction des possibilités de la technologie, et non contre celle-ci ?

Et pour revenir à la liberté d’expression : elle est — en partie — incluse dans le paragraphe qui précède, dans ces futurs services, même si elle mériterait un développement. Rappelez-vous du Minitel, un modèle qui a eu son heure de gloire, mais très encadré à tous points de vue, et en particulier pour préserver le modèle de la presse papier. Pensez-vous vraiment que la liberté d’expression y était aussi étendue que sur Internet aujourd’hui ?

Et plus largement, les attaques récentes contre l’anonymat en ligne par le gouvernement, beaucoup de politiques même dans l’opposition, et certains syndicalistes et éditorialistes montrent que la position de la France sur les articles 11 et 13 est loin d’être un accident de parcours.

fr, Geek stuff

la biographie de Louis Pouzin et l’aventure Cyclades

On ne présente plus Louis Pouzin : il a été, notamment, l’un des pionniers français des réseaux informatiques, dès les années 1960 et 1970, avec le réseau Cyclades.

Sa biographie vient d’être publiée aux éditions Economica, dans la “Collection Cyberstratégie”, par Chantal Lebrument et Fabien Soyez, avec une préface du blogueur clermontois Korben.

Cette biographie couvre principalement la carrière professionnelle de Louis, mais évoque également sa jeunesse et ses études.

Le livre nous place ainsi au cœur du combat entre les réseaux informatiques et les réseaux télécoms des années 70-90, finalement remporté par les premiers. C’est de ce passé que provient l’insistance maniaque de certains informaticiens l’ayant vécu à parler de réseau informatique plutôt que de réseau de télécommunications.

Le lecteur est plongé dans les affres de la SIMCA, de la société Bull, du Plan Calcul, de l’IRIA (aujourd’hui INRIA), du CNET, et d’un certain nombre d’entités moins connues. La société Bull, notamment, a longtemps défrayé la chronique en France avec ses tentatives pas toujours couronnées de succès (euphémisme) pour populariser sa gamme de machines face à ses gros concurrents états-uniens.

À travers les citations des anciens de Cyclades, le livre évoque aussi une partie des carrières de ces derniers. Ainsi, deux d’entre eux, Michel Gien et Hubert Zimmermann, ont travaillé chez Chorus Systèmes, bien connue dans les années 1990.

On découvre également de l’intérieur l’ambivalence, encore actuelle, d’un état français se voulant stratège, prêt à financer des projets de pointe, mais esclave d’alternances politiques et de raisonnements administrativo-politiques qui ne favorisent pas les meilleurs résultats à long terme, voire produisent des gâchis purs et simples.

L’époque MIT

Après un début de carrière en France, Louis Pouzin a passé une année au MIT, travaillant sur un système d’exploitation bien connu de l’époque : Multics.

Multics fut un des premiers systèmes à “temps partagé” (timesharing) : plusieurs utilisateurs peuvent utiliser simultanément l’ordinateur, et travailler comme s’ils avaient l’ordinateur à eux seuls. Le temps partagé permet un meilleur partage des ressources informatiques, et un travail plus facile. Cela semble très banal aujourd’hui, mais auparavant, les travaux informatiques étaient réalisés par lot : chacun mettait sa tâche dans une file d’attente (souvent, un bac de cartes perforées). Les travaux étaient traités séparément, un par un. Il fallait donc attendre son tour pour voir son travail traité, puis attendre le résultat de celui-ci, le tout pouvant prendre des heures ou des jours. On n’imagine pas le développement agile dans ces conditions…

Là, Louis invente le shell : l’interpréteur de commandes, un élément encore aujourd’hui central dans tous les systèmes.

Le livre évoque cette période, ainsi que, au retour en France, l’évangélisation à travers l’Europe, pour Bull, des clients de la société au timesharing.

Les prémisses de Cyclades : les communications informatiques des années 1970

Dans les années 1970, chaque constructeur informatique avait sa propre gamme, de l’unité centrale aux périphériques, quasi totalement incompatible avec celle de la concurrence. Même les formats de données texte n’étaient pas unifiés, l’ASCII se battant avec l’EBCDIC.

Pour faire communiquer deux ordinateurs sur une longue distance, on utilisait des modems et une ligne téléphonique classique, avec un ordinateur à chaque extrémité, comme pour deux correspondants humains. Ce fonctionnement était défendable pour une utilisation humaine, mais d’une inefficacité catastrophique pour relier des machines.

Tout était donc à créer : l’architecture des réseaux, mais aussi les protocoles d’échange indépendants des architectures de machines.

Cyclades, Arpanet et RCP

Une série de recherches et d’expérimentations ont donc lieu dès la fin des années 1960, essentiellement dans les pays occidentaux, pour réaliser les premiers réseaux informatiques. Ces programmes de recherche ont donné naissance, notamment, à Arpanet, le prédécesseur états-unien d’Internet, mais aussi, côté français, à Cyclades. Il s’agit, à l’époque, d’interconnecter les rares et gros ordinateurs entre eux, et d’en donner accès à distance aux utilisateurs, pour mutualiser les ressources.

Cette période de Cyclades est la plus passionnante et représente presque la moitié du livre.

Le livre couvre en détail la genèse du projet, au sein du Plan Calcul, la constitution de l’équipe — une belle bande de geeks ne comptant pas leurs heures et leurs voyages d’évangélisation, reliés par la passion –, les échanges internationaux nombreux, notamment avec les états-unis, les conférences, les aléas politiques, la reconnaissance des idées et des réussites propres à Cyclades, mais aussi la concurrence avec RCP, le projet monté par le CNET.

Cette partie s’appuie largement sur les travaux de Valérie Schafer et Pierre Mounier-Kuhn sur les débuts de Cyclades et de l’lnternet, qui nous détaillent le processus d’apparition des concepts, attributions et partages, de publication de papiers en reprise par d’autres équipes.

Les divergences principales entre Cyclades et RCP tournent autour de la notion de “paquet”. Dans Cyclades il est transmis tel quel (on finira par l’appeler “datagramme”) ; dans les réseaux d’inspiration télécom, on préfère l’enrober dans un “circuit virtuel”, imitant le fonctionnement du réseau téléphonique (on retrouve la même divergence de culture aux USA, aux débuts d’Arpanet, avec les ingénieurs d’ATT prenant de haut les informaticiens de BBN sur la façon de construire un réseau).

Ce choix du datagramme contre le circuit virtuel a de larges ramifications : le circuit virtuel complique le réseau, le rend moins résilient aux redémarrages d’équipements. Il complique également les interconnexions entre réseaux.

Le livre décrit les tensions entre les équipes Cyclades et RCP, les interventions de la hiérarchie pour faire taire les vilains petits canards, la tentative de fusion des projets, et la décision politique, à l’élection de Valéry Giscard d’Estaing en 1974, de ne poursuivre qu’un seul projet.

Le succès de RCP, X.25, Transpac et le Minitel

C’est RCP, projet issu de l’administration des télécoms, qui, soutenu politiquement, donnera naissance à Transpac (et, en partie, au standard X.25).

Transpac sera, entre autres, utilisé comme support pour le Minitel, et sa première révolution pour l’utilisateur sera la possibilité de communiquer numériquement à travers son propre pays à un tarif indépendant de la distance.

X.25 sera handicapé par son architecture, et en pratique les échanges internationaux fondés sur celui-ci resteront marginaux, éradiqués par un Internet naissant au fonctionnement et tarification plus simples (l’ATM, lui aussi fondé sur les circuits virtuels, qui devait prendre la relève de X.25, connaîtra le même sort funeste, pour des raisons similaires).

Selon Bernard Nivelet, ancien responsable du centre de calcul de l’IRIA, cité dans le livre, “l’attitude de la DGT nous a fait perdre environ 15 ans de maîtrise industrielle”.

Cyclades et TCP/IP

Aux USA, dès 1972-1973, un certain Vinton Cerf qui travaille à la conception de TCP/IP avec Robert Kahn, a compris l’intérêt du travail réalisé sur Cyclades, et s’en inspire.

D’après le livre, c’est dans TCP version 2 (à l’époque, IP et TCP sont traités séparément) que ces idées seront intégrées. Outre l’idée du datagramme, dont Cyclades a été le premier à montrer la faisabilité en réel, TCP/IP reprendra l’idée de fenêtre glissante (qui permet d’adapter la vitesse de transmission à la capacité du réseau), mais aussi les idées sur l’interconnexion des réseaux (le catenet dans les papiers Cyclades, terme repris tel quel dans l’IEN-48 de Vint Cerf en 1978, qui cite Louis Pouzin dès l’introduction).

À leur tour, ces concepts faciliteront la transition “douce” d’Arpanet de son protocole historique vers TCP/IP version 4, par morceaux, en 1983, avant de continuer sa croissance en agrégeant de nouveaux réseaux, aboutissant à l’Internet que nous connaissons.

“Ce sont les américains qui ont sauvé le datagramme”, expose Louis Pouzin. Mais dans Cigale (le réseau physique de Cyclades), “on avait défini que l’adresse destinataire n’était pas un point fixe, hardware (une adresse IP), mais une adresse virtuelle, dans les ordinateurs des utilisateurs”.

Il faut saluer la transparence du livre, qui permet aux anciens de l’équipe Cyclades de rappeler que beaucoup des idées du projet proviennent d’un travail collectif, et s’émeuvent que les projecteurs aient été beaucoup placés sur Louis Pouzin.

L’après Cyclades

La fin du livre évoque les aventures plus récentes de Louis Pouzin : les rencontres d’Autrans, le SMSI, le FGI, RINA, l’internationalisation de l’Internet, et les alternate roots (les racines DNS ne dépendant pas de l’autorité ICANN, sujet controversé qu’il serait trop long de développer ici). Le livre est écrit là sur un ton plus militant,  pas toujours facile à suivre, citant quelques anecdotes croustillantes de clashs, notamment entre Louis et les représentants de l’ICANN. On y note une coquille répétée surprenante quoique classique, l'”IUT” pour évoquer l’UIT (ITU en anglais). On y apprend aussi que Louis Pouzin est fan du langage Perl !

Pour terminer sur une note plus personnelle, j’ai eu l’occasion de croiser Louis Pouzin à différentes occasions, la première fois lorsque je travaillais au centre de calcul de l’ENST (école nationale supérieure des télécommunications, maintenant Télécom ParisTech), rue Barrault à Paris. On peut aussi croiser Louis, qui s’intéresse à tout ce qui peut concerner un geek, lors de sessions du FGI comme lors de conférences sur Bitcoin, et il manifeste toujours avec le sourire la même gouaille et la même ardeur à refaire le monde 🙂

Le centre de calcul de l’ENST a été relié à Cyclades, comme l’évoque le livre, par l’un des anciens de l’équipe. À l’époque où j’y ai travaillé, les traces de Cyclades avaient disparu depuis longtemps. Il y aurait également eu une époque où l’école avait été reliée “de force” à RCP pendant sa phase expérimentale. Seul subsistait, au début des années 2000, un lien X.25 utilisé pour le serveur Minitel des résultats du concours Mines-Ponts.

Depuis, le centre de calcul lui même a été déplacé et les locaux totalement reconstruits, lors du désamiantage du bâtiment dans les années 2000.

La première fois que j’ai eu accès à un papier sur Cyclades, Presentation and major design aspects of the CYCLADES computer network, j’ai été frappé par la similarité entre la structure de Cyclades et celle de l’Internet :

CYCLADES uses a packet-switching sub-network, which is a transparent message carrier, completely independent of host-host conventions. While in many ways similar to ARPANET, it presents some distinctive differences in address and message handling, intended to facilitate interconnection with other networks. In particular, addresses can have variable formats, and messages are not delivered in sequence, so that they can flow out of the network through several gates toward an outside target.

Traduction : CYCLADES utilise un sous-réseau à commutation de paquets, qui est un transport transparent de messages, complètement indépendant des conventions hôte-hôte. Bien qu’à de nombreux égards similaire à ARPANET, il présente des différences notables dans la gestion des adresses et des messages, destinées à faciliter l’interconnexion avec d’autres réseaux. En particulier, les adresses peuvent avoir des formats variés, et les messages ne sont pas délivrés en séquence, afin de pouvoir sortir du réseau à travers plusieurs portes vers une cible extérieure)

Ce papier sur Cyclades n’est malheureusement pas disponible librement (on retrouve les problèmes actuels liés à la diffusion des papiers de recherche, un système passant par les fourches caudines des éditeurs de recherche, rendu caduc par Internet). Il date de janvier 1973, pour des concepts qui n’ont été réellement déployés qu’à partir de 1982-1983 dans l’Internet.

Louis Pouzin explique même dans le livre que TCP/IP ne va pas jusqu’au bout des idées de Cyclades sur l’adressage, qui étaient (de ce que j’en ai compris) destinées à permettre l’interconnexion de réseaux hétérogènes.

C’est là que s’arrêtent la plupart des travaux récents que j’ai pu lire sur ces sujets : on aimerait des détails plus techniques sur les fondamentaux de Cyclades, et notamment son format de paquet et ses protocoles élémentaires, que je n’ai réussi à retrouver nulle part à ce jour.

Un livre relatant l’histoire du côté RCP apporterait peut-être, également, un éclairage intéressant sur cette période.

En conclusion, je recommande vivement la lecture de ce livre à ceux qui veulent en savoir plus sur Louis Pouzin, mais aussi lire de belles histoires de geeks passionnés sur le réseau Cyclades, les avatars du Plan Calcul, le tout dans un contexte où l’informatique naissante était très différente de l’environnement que nous connaissons aujourd’hui, mais qui a littéralement construit les réseaux que nous utilisons maintenant quotidiennement.

Complément

On lira également avec intérêt la fiche de lecture de Laurent Bloch sur son blog, qui entre dans des explications détaillées sur le datagramme, la fenêtre glissante, ainsi que le modèle OSI, une autre contribution essentielle, dont je n’ai pas parlé ici.

Deux articles de Fabien Soyez sur Louis Pouzin, “à la base du livre” pour le citer : Louis Pouzin n’a pas inventé Internet, mais sans lui, il n’y aurait pas d’Internet partie 1 et partie 2.

Commentaire intéressant de Chantal Lebrument (co auteure), sur twitter :

Avoir trouvé un éditeur qui accepte ce livre a pris 2ans, tous ont refusé… donc bien contente qu’une maison d’édition de qualité ait décidé de porter ce projet.

 

On peut trouver le livre en ligne notamment chez :

 

copyrightdirective, fr, neutralité

La directive copyright et le problématique article 13

4 Comments

La « directive sur le droit d’auteur dans le marché unique numérique », aussi appelée « directive copyright », est actuellement en cours d’examen au parlement européen ; les amendements (V6 du document) seront votés le 20 juin 2018 en commission “JURI”.

J’ai écrit le texte qui suit pour établir un argumentaire avant d’appeler quelques députés européens (pour être plus convaincant, il vaut mieux connaître son sujet), participant ainsi à la campagne lancée par le site saveyourinternet.eu.

Je vous invite à en faire autant, non sans avoir lu quelques unes des références citées en fin de page, et consulté https://juliareda.eu/2018/06/saveyourinternet/ pour connaître les partis et députés qui sont susceptibles de faire pencher la balance.

Deux articles sont particulièrement problématiques, l’article 11, qui concerne la citation d’articles de presse, mais dont nous ne parlerons pas ici, et surtout l’article 13, qui vise à mettre en œuvre des filtres sur tous les sites participatifs (c’est à dire, visant à partager du contenu, de quelque nature qu’il soit, ceci incluant donc les réseaux sociaux).

L’objectif poursuivi par l’article 13 de la directive est de protéger les ayants-droit de l’industrie du divertissement contre l’hégémonie des plateformes de partage, notamment Youtube, qui provoqueraient une “évasion” de revenus lorsque des œuvres leur appartenant sont diffusées illégalement sur ces plateformes.

La solution proposée est d’instaurer une obligation légale de systèmes de “listes noires” de contenus protégés., sur tous les sites en ligne,  et de tous les contenus, même de ceux qui n’ont pas besoin de protection (par exemple, le code source de logiciel informatique).

Nous allons voir comment de tels systèmes fonctionnent, pourquoi ils sont complexes à mettre en œuvre avec des dégâts collatéraux significatifs, et pourquoi le but recherché est déjà atteint sur les plateformes visées, rendant l’article 13 néfaste.

Les systèmes de “liste noire” de contenus

On peut les classer en trois catégories :

Les systèmes de détection “à l’identique”

Relativement peu coûteux en ressources, ils fonctionnent sur le contenu numérique des fichiers concernés, et n’ont pas besoin de connaître le format ou le type de média, ni même le détail du contenu à protéger, grâce à l’utilisation d’algorithmes de “hachage” (ou “résumé”).

Ces caractéristiques rendent ces systèmes très simples à implémenter et exploiter, et peu coûteux. Les algorithmes concernés sont des logiciels libres / open source, ou libres de droits, et faciles à adapter à toute plateforme technique.

En revanche, ces systèmes sont très faciles à contourner, par simple modification mineure du fichier concerné. Ils ont donc une utilité très limitée pour protéger les détenteurs de droits.

Les systèmes de détection “par similarité”

Ces systèmes sont beaucoup plus complexes. Ils ont la connaissance des formats employés, et en extraient des éléments “caractéristiques”, une sorte d’empreinte digitale du contenu à protéger. Ce procédé d’empreinte permet de détecter un contenu même très altéré, par exemple un fond musical à peine audible dans une vidéo de fête familiale ou de théâtre amateur.

Le plus connu, auquel font fréquemment référence les réactions à l’article 13, est Content-Id, de Youtube, décrit ici par Google.

Les systèmes “par similarité” sont très coûteux à développer et à exploiter. Google cite la somme de plus de 100 millions de dollars d’investissement pour Content-Id. Il n’en existe pas d’implémentation libre de droits, ce qui les rend d’autant plus difficiles à mettre en œuvre : il faut, ou bien développer un système “à façon”, ou bien acquérir une licence d’un système commercial existant, s’il en existe. Les sociétés en mesure de proposer de tels mécanismes très spécifiques sont rares.

Par ailleurs, la qualité des résultats (taux de faux positifs ou faux négatifs) de ces algorithmes est difficile à estimer, d’abord pour les raisons qui précèdent (systèmes propriétaires à accès limité), ensuite parce que les systèmes techniques de détection n’ont pas une fiabilité absolue.

Enfin, ces systèmes souffrent d’un autre défaut important : comme l’explique Google dans la vidéo ci-dessus, les ayants-droit doivent fournir les originaux ou des extraits des contenus à protéger, ce qui est difficile à mettre à œuvre à grande échelle (beaucoup d’œuvres et beaucoup d’acteurs).

Les systèmes par “marquage”

Ces systèmes dits de watermarking, évoqués dans les annexes de la directive, ne sont cités ici que pour mémoire. Ils ont des coûts similaires aux systèmes par similitude, mais sont d’application limitée, peu envisageables dans le cas de l’article 13.

La gestion des listes noires

La gestion des listes constitue, indépendamment des procédés techniques qui précèdent, un problème en soi.

Ni l’article 13 en sa rédaction originale, ni les amendements proposés, qui le complexifient considérablement, ne proposent de solution suffisante aux problèmes sous-jacents :

  •  risque de sur-blocage : blocage de contenus qui ne sont pas en infraction, en raison d’un enregistrement abusif par un détenteur de droit supposé, blocage de contenus bénéficiant d’une exception (mèmes, parodies, etc) dans lesquels les automates ont reconnu un contenu protégé.  Le risque existe si la liste noire est mal alimentée, ce qui a déjà été observé dans d’autres contextes, par exemple à plusieurs reprises avec le système national de blocage DNS de la police française, y compris par des systèmes de test mal configurés : voir Google.fr bloqué pour apologie du terrorisme suite à une « erreur humaine » d’Orange).
  • risque de sous-blocage : non blocage de contenus soumis à droits. L’enregistrement des contenus est lourd à mettre en œuvre ; de nombreux contenus n’ont même jamais été numérisés par leurs détenteurs légitimes
  • L’ajout en liste noire peut nécessiter une vérification manuelle, donc lourde, pour réduire les taux de faux positifs sans pour autant les faire disparaître.
  • lourdeur et manque de fiabilité des procédures de contestation : tous les cas de sur-blocage ou de sous-blocage doivent être traités par intervention humaine, voire judiciaire. Or, les cas de censure abusive sont quotidiens ; cela a été observé avec le DMCA (Digital Millenium Copyright Act) états-unien, où des détenteurs de droits ont engagé des procédures sur des œuvres qui ne leur appartenaient pas, sur similarité de titre, ou par détournement de finalité pour obtenir le retrait de listes de comparateurs de prix. L’amateur est démuni devant la lenteur et le coût d’un recours éventuel en justice en cas de blocage abusif.

Ni l’article 13 originel, ni les amendements ne répondent de manière satisfaisante à ces points, et en particulier au problème des blocages abusifs, où la solution de dernier recours proposée est une procédure en justice.

Le système Content-Id

Bien qu’appartenant à Google et spécifique à Youtube, ce système nécessite un examen plus détaillé. Il semble en effet avoir servi de modèle implicite à l’article 13.

Content-Id est un système de détection “par similarité”. Pour en bénéficier, les détenteurs de droits doivent fournir à Youtube des vidéos à protéger, ou des échantillons.

Ensuite, 3 options sont proposées en cas de détection d’un contenu “à protéger” :

  • bloquer la vidéo
  • monétiser celle-ci (publicité)
  • obtenir des données de consultation, pour savoir par exemple dans quels pays la vidéo est populaire

Selon Google, Content-Id a déjà permis le reversement de plusieurs milliards de dollars de revenus. Le système inclurait des centaines de millions de vidéos.

Impact de la directive

Le résumé de l’étude d’impact joint au projet de directive est très incomplet : en comparaison de l’étude d’impact complète, il ne parle que très partiellement de l’impact pour les détenteurs de droits, se limitant à une réflexion juridique sur le marché unique, et n’évoque pas l’efficacité et la faisabilité technique des mesures, ni l’impact sur les sites et l’écosystème Internet. Il est conseillé de se reporter à l’étude d’impact complète.

1. Disparition ou marginalisation des sites contributifs

Les sites de partage de contenus libres et sites contributifs n’auront pas les ressources financières pour exploiter,  a fortiori développer, ni même louer, des systèmes équivalents à Content-Id.

L’étude d’impact fournit un exemple de coût d’abonnement à un tel service : 900€/mois pour un petit site (5000 transactions/mois, soit 0,18€/transaction).

Mais l’étude n’en considère l’impact que pour des sites commerciaux dont le partage est la vocation principale, omettant donc l’impact négatif sur les sites participatifs et contributifs à fort volume (tels que Wikipédia), les réseaux sociaux, les sites de partage de photos amateurs ou familiales, petites annonces, etc, pour lesquels les revenus sont inexistants ou faibles en comparaison des coûts d’une vérification a priori des contenus.

Ce premier impact sur la liberté d’expression est donc minimisé.

2. Tous les contenus sont visés

Les systèmes de protection des droits d’auteur actuellement déployés s’intéressent essentiellement aux contenus qui concernent l’industrie du divertissement :

  • vidéos et films
  • musiques

Or, les partages sur Internet concernent bien d’autres types de contenus, notamment :

  • logiciels en source (logiciel libre)
  • photographies

Là encore, l’impact sur le coûts de fonctionnement des services en ligne concernés sera significatif, avec les mêmes risques de censure abusive des contenus, donc impact amplifié sur tous les autres points cités ici.

3. Dangers à l’égard de la liberté d’expression

Comme l’ont signalé de nombreuses associations, et comme expliqué ici, les systèmes par similarité sont incapables de distinguer une contrefaçon, un plagiat, une parodie, un mème, etc. Il est également fréquent que des œuvres libres de droit se retrouvent indûment répertoriées, par exemple parce qu’elles sont apparues ou ont été citées dans une œuvre soumise à droits (reportage télévisé, émission, etc).

Dans tous ces cas, les robots de détection produisent déjà, là où ils sont mis en œuvre, des censures abusives. Forcer l’extension de leur usage par la directive ne peut donc résulter qu’en des atteintes supplémentaires et sérieuses à la liberté d’expression, tout particulièrement sur les réseaux sociaux, rendant impossible ou difficile l’exercice des exceptions légales citées ci-dessus.

Enfin, comme exprimé précédemment, l’élargissement à tous les types de contenus ne peut qu’accentuer ce risque.

4. Inefficacité du dispositif pour protéger les ayants-droit

Comme on l’a vu, les systèmes de type Content-Id ne sont pas généralisables en raison de leur coût, et les systèmes de détection de contenus à l’identique sont faciles à contourner.

En outre, ces systèmes sont déjà mis en œuvre sur les grands sites, comme l’étude d’impact le reconnaît :

In all, as content recognition technologies are already applied by the major user uploaded content services, it is likely that this option would not lead to significant increases in unjustified cases of prevented uploads compared to the current situation

L’étude estime que l’article 13 ne pénalisera pas la liberté d’expression, ce qui n’est pas avéré, mais on peut dire également que l’article 13 serait d’une utilité limitée sur les plateformes visées.

5. Inefficacité du dispositif pour promouvoir la diversité culturelle

L’étude d’impact affirme que l’article 13 favorise la diversité, celle-ci étant supposée découler directement de la protection des ayants-droit.

Or,  l’article 13 défavorise les sites contributifs et/ou non lucratifs, qui font eux aussi partie de la diversité, avec des contenus souvent libres de droits, donc d’une diffusion naturellement maximale. Les statistiques d’audience de Wikipédia le démontrent : 5e site mondial d’après l’étude Alexa. De plus, selon la fondation Wikimédia France, « les plateformes opteront pour un principe de précaution en bloquant plus de contenu que nécessaire ce qui réduira la diversité de ces plateformes en empêchant les personnes peu aguerries aux nouvelles technologies d’y participer ».

En résumé, l’article 13 :

  • n’améliorerait en rien la situation des ayants-droit vis-à-vis des grandes plateformes, celles-ci ayant déjà déployé des systèmes de détection et de reversement de droits ;
  • n’améliorerait en rien, non plus, la situation des ayants-droit par rapport aux plateformes non commerciales ou de faible audience, qui n’ont pas la capacité de déployer des systèmes complexes, ne pratiquent pas de contrefaçon des œuvres protégées autre qu’accidentelle donc marginale, et sont déjà en mesure de retirer les contenus illégitimes  ;
  • présente, en revanche, de grands risques de censure arbitraire, de confortement de la position des grandes plateformes par la création de barrières significatives à l’entrée, de disparition pure et simple des plateformes non lucratives, ou de repli de celles-ci sur de la diffusion de contenus figés, sans aspect participatif ;
  • présente également des risques graves vis-à-vis de la liberté d’expression et de la diversité culturelle.

Pour toutes ces raisons, et comme l’ont également exprimé de très nombreuses associations et experts renommés, il semble préférable d’abandonner totalement l’article 13 en l’état actuel des connaissances et techniques.

Quelques références

Deux articles sur le blog de Julia Reda, la députée allemande qui a été en pointe sur la critique des articles 11 et 13 :

La lettre ouverte de 70 experts de l’Internet https://www.eff.org/files/2018/06/12/article13letter.pdf

Les avis de l’EFF (Electronic Frontiers Foundation) https://www.eff.org/deeplinks/2018/06/internet-luminaries-ring-alarm-eu-copyright-filtering-proposal

https://www.eff.org/deeplinks/2018/06/eus-copyright-proposal-extremely-bad-news-everyone-even-especially-wikipedia

D’autres sites faisant campagne contre l’article 13 :

https://www.liberties.eu/en/news/delete-article-thirteen-open-letter/13194

https://saveyourinternet.eu/

La position de la fondation Wikimédia :

https://blog.wikimedia.org/2018/06/14/dont-force-platforms-to-replace-communities-with-algorithms/

La position de Wikimédia France :

https://www.wikimedia.fr/2018/06/11/reforme-europeenne-droit-dauteur/

La position de la Quadrature du Net, plus complexe, qui a laissé perplexe bon nombre de gens (je déconseille le point 1 de l’argumentaire, non souhaitable à mon avis) :

https://www.laquadrature.net/fr/copyright_plateforme

Autres liens :

2 articles détaillés de l’indispensable nextinpact.com (abonnez-vous !) qui suit le sujet depuis longtemps :

Pourquoi les mèmes sur Internet sont en danger https://www.bfmtv.com/tech/pourquoi-les-memes-sur-internet-sont-en-danger-1468454.html

Adieu mèmes et parodies ? Pourquoi « l’article 13 » menace Internet https://usbeketrica.com/article/adieu-memes-et-parodies-pourquoi-l-article-13-menace-internet

divers, fr, Geek stuff, vie privée

500 000 doublons sur les listes électorales françaises ; pas grave

10 Comments

[Ce billet étant en grande partie déductif (voire spéculatif), veuillez lire un conditionnel implicite dans tout ce que j’affirme ci-dessous ;  je suis ouvert à toute correction technique sur des erreurs que j’aurais pu éventuellement commettre sur le processus électoral]

Vous n’en avez peut-être pas entendu parler, comme moi, qui l’ai découvert par hasard hier. Je vous invite à commencer par lire cet article du Monde datant du 13 avril 2017. L’article est rempli de petits détails qui comptent :

Vote en 2017 : quelque 500 000 électeurs sont inscrits deux fois sur les listes électorales

500 000 électeurs français environ sont inscrits sur 2 listes électorales, en général suite à déménagement : une fois à leur nouvelle adresse, et une fois à leur ancienne adresse.

Lors d’un déménagement, l’électeur s’inscrit à la mairie, et c’est l’administration, plutôt que l’électeur, qui s’occupe des formalités de radiation à l’ancienne adresse. L’article explique le processus : la nouvelle mairie remonte l’information d’inscription à l’INSEE, qui se charge de transmettre une demande de radiation à l’ancienne mairie.

Or, le processus semble ne pas fonctionner correctement : les radiations ne sont pas toutes actées, pour des raisons obscures. Les mairies accusent l’INSEE, qui assure que de son côté tout est exécuté dans les règles. Le tout circule par… la poste.

Il existe donc à ce jour 500 000 radiations qui n’ont pas été effectuées et qui correspondent à autant de doublons dans les listes.

Et c’est là que la situation, déjà préoccupante en elle-même, devient de plus en plus ubuesque.

Le ministère de l’intérieur, chargé de l’organisation du scrutin et d’assurer sa “sincérité”,  semble tout simplement n’avoir aucune intention de changer quoi que ce soit avant le premier tour du 23 avril (je n’ai trouvé aucun communiqué officiel sur la question).

Si on creuse un peu (il suffit en fait de lire attentivement l’article qui précède), on s’aperçoit que le problème ne date pas de 2017. En 2012 déjà, 400 000 électeurs étaient inscrits en double.

Si on suppose que le volume d’erreur est resté relativement fixe et qu’on extrapole la période 2012-2017 au passé, on peut calculer qu’à raison d’environ 100 000 doublons supplémentaires par période de 5 ans, le problème date d’environ 25 ans, donc remonte à 1992 approximativement, et est connu de l’administration depuis au moins 5 ans — version optimiste ; au pire, 25 ans — plutôt que 2 semaines, et persiste néanmoins aujourd’hui.

Que faudrait-il faire pour y mettre fin ? C’est difficile à dire, car les détails qui filtrent sont rares ; et on nous assure que le problème est très complexe. Apparemment l’INSEE dispose d’une liste nationale (puisque c’est lui qui sait à qui communiquer les radiations), et les mairies disposent évidemment chacune des listes électorales locales, bureau par bureau (puisqu’elles réalisent les inscriptions et radiations).

Il serait possible (mais cela serait étonnant) que l’INSEE ne garde tout simplement pas trace des notifications de radiations proprement dites. Il est néanmoins très probable que l’INSEE conserve un historique des versions successives (au moins sur les années récentes ; peut-être pas sur les années plus anciennes, s’il existe des lois interdisant la conservation longue de ces données de nature très personnelle) du fichier national, dont il est facile de déduire la liste des radiations.

Quelques petites informations supplémentaires sur la procédure sont données dans les interviews de cette vidéo de LCI :

Présidentielle 2017 : 500 000 électeurs inscrits en double, le ministre de l’Intérieur sommé de “faire son boulot” pour éviter des fraudes

Le responsable électoral de la mairie de Paris 17e décrit rapidement ce que j’ai exposé plus haut.

On y entend également un avocat spécialisé en droit électoral nous expliquer que 500 000 doublons correspondent à environ 1% du corps électoral, soit 1% indûment compté en abstention ; ce qui selon lui ne serait pas très grave. Pour un premier tour de présidentielle, c’est relativement exact (hors tentatives d’exégèse du taux d’abstention) ; pour les législatives, où les candidats de second tour doivent obtenir au moins 12,5% des inscrits, cela peut changer significativement les choses.

La raison citée par la place Beauvau pour minimiser la gravité de la situation, et excuser l’absence de mesure avant le 23 avril, est que, de toute façon, la loi punit sévèrement le fait de voter en double : de 6 à 24 mois d’emprisonnement et jusqu’à 15 000 euros d’amende.

Or, retrouver les contrevenants semble quasiment impossible dans le cas général : en effet, pour cela il faudrait, d’abord, effectuer le dédoublonnage — opération dont on nous dit qu’elle est difficile, ce que semble confirmer le fait qu’elle n’ait pas été réalisée depuis 5 ans –, et, en plus, croiser le résultat avec les listes d’émargement bureau par bureau. Les listes d’émargement étant tenues de manière manuelle, puisque c’est la signature du votant qui y atteste de son vote, leur vérification a posteriori ne peut être également que manuelle.

Le plus triste à mon sens est que cette situation touchant un des éléments les plus essentiels de notre démocratie perdure depuis au moins 5 ans et soit minimisée voire ignorée par l’administration dans la plus parfaite opacité.

PS : pendant que ces trous béants persistent, les pouvoirs publics communiquent avec conviction sur les efforts déployés pour sécuriser nos élections contre les attaques informatiques provenant de puissances étrangères hostiles.

Ajout du 23 avril 2017 : on me fait remarquer dans les commentaires que la poste est supposée ne pas réexpédier les cartes d’électeur, et on me dit sur twitter que cela figure même sur l’enveloppe, ce que je n’avais pas remarqué. En effet.

fr, Geek stuff, vie privée, Weberies 2.0

Sécurité des serveurs web avec TLS, petite toilette d’automne 2016

4 Comments

Résumé pour gens très pressés : ce n’est pas si difficile que cela en a l’air.

Résumé pour gens pressés : même sans être un gourou de la cryptographie, il est possible de sécuriser son site au niveau approximatif de l’état de l’art (du moment — ce n’est jamais une tâche définitive) en s’appuyant sur des sites de recommandations réalisés par des spécialistes.

Après avoir passé quelques heures à peaufiner ma configuration, je pense utile de partager ce que j’ai appris pour dispenser autour de moi un peu de bonheur artificiel par l’entremise de la sécurité cryptographique.

L. Hirlimann (@lhirlimann) m’a récemment orienté sur un excellent site de la fondation Mozilla, observatory.mozilla.org,  qui permet de vérifier la configuration sécurité basique de votre site web, à commencer par l’aujourd’hui indispensable TLS, et mutualise également (par défaut, mais c’est débrayable) les résultats des non moins excellents :

1. TLS, les algorithmes cryptographiques

Au-delà de ses origines mathématiques, la cryptographie est une affaire de paranoïaques qui n’ont pas tous exactement le même avis sur ce qui est casher ou pas à un instant donné.  Les audits rapides réalisés par les sites qui précèdent vous en convaincront rapidement.

Ainsi, après quelques premières modifications rapides sur ma configuration TLS, SSL Labs attribuait un A+ à ce site, alors que tls.imirhil.fr l’affublait d’un catastrophique F sous prétexte que l’algorithme DES n’était pas désactivé.

Bien entendu, cela évolue aussi au fil du temps, qui fait qu’un algorithme donné va passer en quelques petites décennies à peine du statut de “sûr” à celui de “passoire”, que ce soit par l’évolution des performances brutes ou par celles de la recherche en attaques cryptographiques.

Par ailleurs, vous aurez éventuellement également le plaisir de vous faire rappeler à l’ordre par ces analyses si votre implémentation TLS comporte des trous de sécurité connus. J’ai découvert qu’il est assez facile de se faire avoir, même avec un système d’exploitation que l’on pensait à jour.

Les “suites” cryptographiques recommandées varient au fil des sites spécialistes que l’on consulte.

Voici, pour ne pas vous faire languir, celle que j’ai concoctée pour satisfaire les sites cités (!) ci-dessus, et qui est certainement sujette à commentaires et critiques (attention, c’est supposé tenir sur une ligne sans retour) :

EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA
-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-S
HA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-
SHA:DHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-
SHA256:AES256-SHA:AES128-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4

N’allez surtout pas croire que j’ai construit ni même analysé en détail ce qui précède : la liste provient à l’origine de https://www.digicert.com/ssl-support/ssl-enabling-perfect-forward-secrecy.htm dont l’objet est d’expliquer la configuration d’un serveur web pour éviter qu’un vol de clé privée permette le déchiffrement a posteriori des communications, une mesure à prendre suite aux révélations de l’affaire Snowden sur les capacités de la NSA, et suite également à l’affaire Lavabit.

J’ai simplement amendé la liste pour y ajouter !DES:!3DES: pour évacuer ce vieil algorithme des choix et passer chez tls.imirhil.fr d’un catastrophique F à un passable B.

Si comme moi vous utilisez Apache, cette liste est à placer dans la directive SSLCipherSuite.

Problème : l’incantation qui précède est difficile à comprendre, et donc à modifier, si on n’a pas lu la documentation. En particulier il ne suffit pas d’ajouter !DES pour se débarrasser également de 3DES. Ce n’est pas facile à découvrir rapidement en passant par les sites ci-dessus, qui pour éviter d’être surchargés ne permettent pas des accès trop fréquents (limite à 5 minutes au mieux).

J’ai donc découvert également l’excellente (tout le monde est excellent ici, vous l’aurez compris) commande :

openssl ciphers "la chaîne"

et son avatar plus bavard :

openssl ciphers -v "la chaîne"

qui permettent de tester la chaîne immédiatement en local pour voir ce qu’elle produit sans avoir à attendre la réponse d’un serveur situé à l’autre bout de la planète.

2. Sécurité “web” :  contenu et entêtes

Ce qui précède ne concerne que la partie TLS, c’est-à-dire la couche de chiffrement.

C’est ensuite que observatory.mozilla.org prend tout son sens, en complétant l’expertise cryptographique avec l’expertise web des auteurs de Firefox par le tableau suivant (exemple pour ce site au jour de la publication de ce billet) :mozJe ne vais pas entrer dans les détails ; chaque point correspond à des catégories particulières d’attaques plus ou moins pertinentes pour chaque site, et comme vous pouvez le voir je n’ai pas encore débloqué tous les trophées. On y trouve des recommandations sur :

  • HSTS (Host Strict Transport Security), permettant au site de s’engager vis-à-vis du navigateur sur la disponibilité de https.
  • Subresource Integrity, pour valider les contenus inclus (en particulier scripts) stockés sur des serveurs tiers ;
  • X-Content-Type-Options, pour interdire au navigateur d’interpréter n’importe quoi (par exemple une supposée image téléchargée par un attaquant) comme un script ;
  • X-Frame-Options, pour bloquer des attaques par détournement de clics (clickjacking) ;
  • les redirections diverses afin d’amener l’utilisateur à un site https même dans le cas où il ne s’y est pas dirigé lui-même initialement ;
  • etc

observatory.mozilla.org vous donne par les liens bleus (dont j’ai recopié certains ci-dessus) toutes les explications détaillées sur les possibilités et le sens de chaque option de configuration.

Sous Apache, cela se configure comme ci-dessous, à condition d’avoir chargé le module mod_headers.

Attention : les options pour mon site ne sont certainement pas exactement celles dont vous aurez besoin ; en particulier vous pouvez facilement vous tirer une petite balle dans le pied et vous retrouver avec Javascript désactivé sur certaines fonctions essentielles. Ce fut mon cas, ce qui m’a fait perdre temporairement l’éditeur Wysiwyg de WordPress, et le problème est encore potentiellement présent dans l’exemple qui suit.

Attention également aux sauts de ligne si vous recopiez.

  # HSTS 366 days
Header set Strict-Transport-Security "max-age=31622400"
# Prevent browsers from incorrectly detecting non-scripts as scripts
Header set X-Content-Type-Options: nosniff
# Block site from being framed
Header set X-Frame-Options "DENY"
# Do the same thing, but with Content Security Policy
# +Disable unsafe inline/eval, only allow loading of resources
# (images, fonts, scripts, etc.) over https (recommended)
Header set Content-Security-Policy "default-src https:; frame-ancestors 'none'"
# Block pages from loading when they detect reflected XSS attacks
Header set X-XSS-Protection "1; mode=block"

Ces recommandations permettent d’élucider le comportement souvent mystérieux des navigateurs en ce qui concerne le contenu sécurisé, dans le but de comprendre comment passer du cadenas https “avec avertissement” c0 au cadenas “vert”c1.

Je n’ai pas encore tout à fait réussi en ce qui concerne la page https://signal.eu.org/osm/, malgré la mise en œuvre de Subresource Integrity.

3. Les cookies

Pour les cookies, c’est encore différent, cela dépend de l’environnement (framework) web que vous utilisez. Concernant WordPress je n’ai pas encore trouvé si/où cela se gérait, pour Django voici ce que j’ai configuré dans le fichiers settings.py :

LANGUAGE_COOKIE_AGE=1209600
CSRF_COOKIE_HTTPONLY=True
CSRF_COOKIE_SECURE=True
SESSION_COOKIE_AGE=1209600
SESSION_COOKIE_HTTPONLY=True
SESSION_COOKIE_SECURE=True

4. One more thing

Enfin, vous pouvez aussi pour tout cela vous faire assister par un autre site proposé par la fondation Mozilla, le générateur de configuration pour serveur web, qui vous conseillera sur la configuration de l’agrafage (stapling) OCSP et certains des points qui précèdent :

https://mozilla.github.io/server-side-tls/ssl-config-generator/

 

 

Nul doute qu’il y a des précisions ou corrections à apporter à ce qui précède, si vous le jugez utile n’hésitez pas ci-dessous.

Mise à jour : @_eric_quinton me signale gentiment sur twitter ce document de l’ANSSI :  Le nouveau (juillet 2016) C’est très complet mais très technique, et cela mixe recommandations à destination des administrateurs de site comme à destination des développeurs de suites crypto, ce qui complique la lecture.

divers, fr

Professions de foi et bulletins, élections régionales 2015, Île de France

2 Comments

Comme pour les élections européennes, voici le PDF des professions de foi reçues par la poste hier (27 novembre 2015). Le PDF inclut les papiers dans l’ordre exact à leur réception. Il y avait deux paquets séparés dans l’enveloppe, l’un commençant par les papiers de Lutte Ouvrière, l’autre commençant par ceux du FN.

Toutes les listes candidates ne sont pas dans les papiers reçus, il manque :

  • Fédération libertaire unitaire ouverte (FLUO), liée d’après son affiche, entre autres, au “Parti pirate”
  • Liste d’union citoyenne
  • Nous Citoyens (NC)
  • Parti libéral démocrate (PLD) – Génération Citoyens (GC)
  • Union des démocrates musulmans français (UDMF)
fr, vie privée

EU.org, les métadonnées et la loi renseignement

2 Comments

Après avoir écrit ce billet sur la surveillance de masse comparée aux écoutes téléphoniques classiques, je ressens la nécessité de revenir en détail sur le communiqué de eu.org, en particulier l’extrait ci-dessous sur ses motifs :

En effet, cette loi — dont le texte doit encore être voté définitivement à l’assemblée le 5 mai 2015, puis au sénat — instaure une surveillance légale systématique du trafic Internet par les services de renseignement français, dans des conditions d’opacité complète, sous la seule responsabilité de l’exécutif, sans contre-pouvoir.

Ce trafic inclut notamment des requêtes de résolution DNS des utilisateurs accédant aux 28 000 domaines délégués par Eu.org.

Eu.org ne peut moralement laisser en toute connaissance de cause le trafic de ses utilisateurs — incluant des sites d’activisme politique dans le monde entier — et, par ricochet, le trafic d’accès de leurs propres utilisateurs, exposé à de telles écoutes.

Ces éléments méritent d’être développés car ils ne touchent pas tout à fait aux mêmes sujets que l’hébergement web proprement dit. Ils concernent :

  • le trafic DNS, et la question de son chiffrement
  • les méta-données
  • la localisation des serveurs EU.org

Elles sont au cœur du projet de loi sur le renseignement.

Sur le trafic DNS

Tout accès à un site web commence par une résolution DNS depuis l’ordinateur du demandeur. Celui-ci demande, en général au serveur DNS du fournisseur d’accès, l’adresse IP (la seule utilisable pour effectuer la connexion) du nom de site désiré, ici par exemple signal.eu.org.

Sur Internet vont circuler des paquets contenant cette demande. D’abord de l’ordinateur initial au serveur DNS du fournisseur puis, si celui-ci ne connaît pas la réponse, du fournisseur aux serveurs de .ORG pour obtenir les adresses des serveurs EU.ORG, puis du fournisseur aux serveurs de EU.ORG pour y récupérer l’adresse de SIGNAL.EU.ORG.

Les réponses suivent le même chemin, en sens inverse.

Ce trafic circule “en clair”, que le site web finalement accédé soit protégé ou pas par du chiffrement, et est donc susceptible de révéler cette tentative d’accès à toute écoute en chemin.

Il n’existe actuellement aucun moyen de chiffrer le trafic DNS de résolution : les serveurs DNS “faisant autorité” (détenant les informations utiles) ne peuvent recevoir et répondre qu’en clair. Des travaux à l’IETF (l’organisation qui travaille à l’évolution des protocoles Internet) sont en cours pour résoudre ce problème.

Ce trafic est donc vulnérable à toute écoute et révèle des informations sur les accès à tel ou tel site, ou l’envoi de mail à tel ou tel serveur, etc. Dans le cas de EU.org, 28 000 domaines sont ainsi concernés, et un nombre inconnu mais probablement beaucoup plus élevé d’utilisateurs accédant à ces sites.

J’aurais pu développer ici également une réflexion sur les résolveurs DNS “personnels” par opposition à ceux du fournisseur, par rapport à la volonté affichée du ministère de l’Intérieur d’identifier les comportements “déviants” comme l’utilisation de chiffrement, de Tor ou de VPN, mais cela rendrait cet article trop long.

Sur les méta-données

Les méta-données sont les données techniques nécessaires à l’acheminement d’une communication.

Dans le réseau téléphonique il s’agit en particulier des numéros de l’appelant et de l’appelé.

Pour un routeur Internet ce sont les adresses IP origine et destination.

Pour un serveur d’application, ce sont les adresses IP, les numéros de port (qui permettent de savoir si la communication est un envoi de message ou un accès web) et le protocole.

Pour un site web cela peut être le nom du serveur, certaines informations sur le navigateur, le type de document consulté (texte, image), etc.

Et le trafic DNS ? Pour le routeur Internet il s’agit d’une donnée. Pour un serveur DNS, il s’agit en partie de méta-données, en partie de données. Pour le site web, il s’agit d’une méta-donnée.

Et pour le fournisseur d’accès ? Bonne question, la réponse n’est pas simple car le fournisseur d’accès gère à la fois des routeurs et des serveurs DNS de résolution.

La loi renseignement et les méta-données

Que dit la loi renseignement ? Dans son texte, rien. Elle ne parle que de données et de données de connexion. Mais ses promoteurs ont plusieurs fois affirmé, pour nous rassurer, que seules les méta-données étaient concernées.

Mais lesquelles ? Comme on l’a vu ci-dessus, la question est très floue puisque la réponse n’est pas la même suivant les équipements ou intervenants à qui on s’adresse.

Et, par ailleurs, pour reprendre un exemple très parlant, si quelqu’un sait que j’ai appelé le numéro d’un centre d’analyses médicales, puis un numéro vert d’information sur le SIDA, puis mon médecin, puis ma mutuelle, il peut avoir une idée suffisante du contenu de mes conversations sans pour autant y avoir accès.

La localisation des serveurs EU.org

Le trafic EU.org circulant en France sera donc sujet à écoute systématique et contient, comme on l’a vu, des informations sur des usages dont certains peuvent être sensibles.

Le chiffrement du trafic DNS de EU.org est actuellement impossible, et cela restera le cas à moyen terme. Même lors du déploiement des protocoles de chiffrement du DNS, leur usage ne sera pas systématique avant des années, voire jamais, comme le montrent l’exemple du web avec https, et celui du courrier électronique…

Par ailleurs, le chiffrement du trafic DNS, comme celui des sites web ou du courrier électronique, ne cacherait pas les méta-données d’acheminement du trafic.

La seule autre solution, celle choisie, est de déplacer les serveurs DNS EU.org dans des pays ne pratiquant pas l’écoute systématique légale.

Cette solution est très imparfaite : le trafic de résolution depuis des utilisateurs situés en France, ou vers des serveurs DNS situés en France, sera toujours sujet à écoute. De même, du trafic transitant par la France (peut-être entre Espagne et Allemagne, ou Royaume-Uni et Tunisie, ou d’autres pays, au gré des variations du routage d’Internet) risquera également d’être écouté.

Néanmoins, le trafic ainsi concerné sera évidemment beaucoup plus réduit que si  les serveurs DNS de EU.org sont situés en France.

Les spécificités de la loi renseignement française

La plupart des pays démocratiques pratiquent des écoutes, mais ce sont généralement des écoutes légales ciblées, sur le modèle déjà évoqué des écoutes téléphoniques, et encadrées par une décision judiciaire préalable.

En aucun cas — dans les pays démocratiques — il ne s’agit, comme le gouvernement souhaite le faire en France, d’écoutes légales et sans autorisation judiciaire a priori et systématiques (en masse), et même destinées à détecter des comportements parfaitement légaux mais “déviants”.

Je parle bien ici de la loi et non des décrets et mises en œuvre techniques, qui promettent à ce jour un cadre plus restreint que ne le permettra la loi elle-même, mais ne disent rien de mesures encore plus intrusives qui pourraient être déployées ultérieurement sans nécessité de retour au parlement.

Il peut exister parfois, n’importe où, et comme l’affaire Snowden/NSA l’a montré, des écoutes illégales ou découlant d’une interprétation très extensive de la loi, contre lesquelles il est difficile de se prémunir.

Mais mieux vaut, à mon avis, risquer ce genre d’écoute dans un pays où elles sont explicitement illégales que dans un pays où elles sont explicitement légales.