Вы находитесь на странице: 1из 23

CNAM Montpellier

La loi HADOPI, ses limites

par Ludovic CASTAGNEDOLI

Soutenu le

Membres du jury :

M. Michel SALA - Responsable de la filière Informatique, CNAM Languedoc-Roussillon

Mme Maguelonne TEISSEIRE, enseignante au CNAM Languedoc-Roussillon


Sommaire

Listes des figures ..................................................................................................................................... 3


Liste des sigles et abréviations ................................................................................................................ 4
Introduction............................................................................................................................................. 5
1 Présentation de la loi HADOPI ......................................................................................................... 6
1.1 La loi Création et Internet ....................................................................................................... 6
1.2 La loi HADOPI 2 ........................................................................................................................ 6
1.3 Les ayants droit ....................................................................................................................... 8
2 Identification des téléchargements illégaux : seul le peer-to-peer est concerné ........................... 9
2.1 De la collecte des adresses IP à l'identification des contrevenants ...................................... 11
2.1.1 Une adresse avec plusieurs identités ............................................................................ 11
2.1.2 Une imprimante accusée de téléchargement ............................................................... 12
2.2 L'identification des fichiers de droits protégés ..................................................................... 12
2.3 Une absence de contrôle dans le processus ......................................................................... 13
2.4 Les accès non concernés par le contrôle............................................................................... 13
2.4.1 Le streaming et le téléchargement direct ..................................................................... 14
L'exemple de la lutte contre la pédopornographie ....................................................................... 14
2.4.2 Les réseaux privés virtuels (VPN) .................................................................................. 15
2.4.3 Les newsgroups (groupes de nouvelles) ....................................................................... 15
2.4.4 Le chiffrement du contenu ............................................................................................ 16
3 Le défaut de sécurisation .............................................................................................................. 16
3.1 L'accès aux bornes WiFi......................................................................................................... 17
3.1.1 Le WEP ........................................................................................................................... 17
3.1.2 Le WPA .......................................................................................................................... 17
3.1.3 Le WPA2 ........................................................................................................................ 17
3.1.4 La configuration des matériels ...................................................................................... 17
3.2 La sécurité des ordinateurs personnels ................................................................................ 18
4 L'effet de masse............................................................................................................................. 19
4.1 Un dispositif coûteux pour l'Etat ........................................................................................... 19
4.2 La contestation ...................................................................................................................... 20
5 Quels moyens pour appliquer la loi ? ............................................................................................ 21
Conclusion ............................................................................................................................................. 22
Bibliographie/ Webographie ................................................................................................................. 23

2
Listes des figures

Figure 1 : La riposte graduée présentée sur le site de la HADOPI........................................................... 7


Figure 2 : le modèle P2P centralisé Figure 3: le modèle P2P décentralisé ...................................... 10
Figure 4 : le modèle P2P hybride ........................................................................................................... 10
Figure 5 : 1 français sur 2 s'estime peu compétent pour utiliser un ordinateur................................... 18
Figure 6 : Evolution des parts de marché des principaux Systèmes d'Exploitation en France ............. 19

3
Liste des sigles et abréviations

Sigles

ALPA : Association de Lutte contre la Piraterie Audiovisuelle


CNC : Centre national de la cinématographie
CNIL : Commission Nationale de l'Informatique et des Libertés
CREDOC : Centre de Recherche pour l'Etude et l'Observation des Conditions de Vie
ESEIA : Ecole Supérieure d'Informatique Electronique Automatique
HADOPI : Haute Autorité pour la Diffusion des Œuvres et la Protection des droits sur Internet
IDATE : Institut de l'Audiovisuel et des Communications en Europe
M@RSOUIN : Môle Armoricain de Recherche sur la Société de l'Information et les Usages d'Internet
SACEM : Société des Auteurs, Compositeurs et Editeurs de Musique
SCPP : Société Civile des Producteurs Phonographiques
SPPF : Société Civile des Producteurs de Phonogrammes en France
SPRD : Société de Perception et de Répartition des Droits
SRDM : Société pour l'Administration du Droit de Reproduction Mécanique
TMG : Trident Media Guard

Abréviations

ADSL : Asymmetric Digital Subscriber Line ou liaison numérique assymétrique


CD : Compact Disk ou disque compact
CPD : Commission de Protection des Droits
DNS : Domain Name System ou système de nom de domaine
DVD : Digital Versatile Disc ou disque numérique polyvalent
FAI : Fournisseur d'Accès à Internet
FTP : File Transfert Protocol ou protocole de transfert de fichiers
HTTP : Hypertext Transfer Protocol ou protocole de transfert hypertexte
HTTPS : Hypertext Transfer Protocol Secure ou protocole de transfert hypertexte sécurisé
IP : Internet Protocol ou protocole d'internet
MP3 : Moving Picture Experts Group audio layer ou couche audio du format MPEG
NNTP : Network News Transfer Protocol ou protocole de transfert du réseau de nouvelles
P2P : peer-to-peer ou pair à pair
PGP : Pretty Good Privacy
TCP : Transmission Control Protocol ou protocole de contrôle de transmissions
URL : Uniform Resource Locator ou localisateur uniforme de ressource
VPN : Virtual Private Network ou Réseau Privé Virtuel
WEP : Wired Equivalent Privacy ou protection similaire au cable
WiFi : Wireless Fidelity
WPA / WPA2 : WiFi Protected Access ou accès sans fil protégé

4
Introduction

"La loi, comme expression du droit, est faite par les hommes ; elle est le produit d'une situation
historique donnée, mais elle est aussi, du même mouvement, un projet, une action qui veut anticiper
sur le futur, peut-être même le prendre pour règle et, par là, changer la société." Encyclopédie
Universalis [WEB01]

Le rapport de Denis Olivennes au Ministère de la Culture [OLI07], préambule à la loi HADOPI, cite
l'étude IDATE et Médiamétrie/NetRatings de 2007. Selon cette étude, 51% des internautes français
auraient téléchargé des œuvres illégalement la même année. La loi HADOPI a été créée pour enrayer
les pratiques illégales de téléchargement. Elle a été construite dans une logique de réaction.

Cette loi a comme objectif principal de protéger le droit d'auteur et sa rémunération sur internet.
Malgré un ensemble de moyens mis en œuvre, on trouve des limites dans son application à chaque
étape :

- dans le fait de cibler le partage de fichiers sur internet,


- dans les technologies et les processus utilisés pour identifier les contrevenants,
- dans la volonté de porter les accusations sur le titulaire de l'accès à internet.

Après une présentation de la loi, nous ferons un point sur les limites liées à l'identification sur les
réseaux de partage de fichiers. Ensuite, nous aborderons les limites des responsabilités qui
incombent aux titulaires d'un accès à internet. Enfin, nous verrons les moyens mis en œuvre pour
appliquer cette loi.

5
1 Présentation de la loi HADOPI

1.1 La loi Création et Internet

La loi 2009-669 du 12 juin 2009 [CPI10] favorisant la diffusion et la protection de la création sur
internet constitue le premier volet de la loi HADOPI.
Cette loi, dite "Création et internet" ou HADOPI 1, crée une Haute Autorité pour la Diffusion des
Œuvres et la Protection des droits sur Internet (HADOPI) se substituant à l'Autorité de Régulation des
Mesures Techniques dont elle reprend les missions. Cela comprend l’interopérabilité des mesures
techniques et la garantie de la copie privée. De plus, elle se doit d'encourager le développement de
l'offre légale sur internet.
La HADOPI est composée d'un Collège, organe dirigeant de la Haute Autorité, ainsi que d'une
Commission de Protection des Droits (CPD), organe exécutif.
La CPD traite les saisines transmises à la HADOPI. Elle peut adresser des recommandations aux
internautes dont l'accès à internet est susceptible d'avoir permis le téléchargement illégal d'œuvres
protégées. Ces avertissements sont réitérés par courrier électronique ou par courrier recommandé
en cas de seconde suspicion dans les six mois, après avoir obtenu leur identité auprès des
fournisseurs d'accès à internet (FAI).
En cas d'échec de ces démarches, la HADOPI peut transmettre le dossier au Tribunal de Grande
Instance. Ce dernier peut ordonner "toutes [les] mesures propres à prévenir ou à faire cesser une telle
atteinte au droit d'auteur [...] à l'encontre de toute personne susceptible de contribuer à y remédier"1.

Enfin, la loi introduit la notion de négligence caractérisée pour l'absence de sécurisation de son accès
à internet. C'est-à-dire qu'elle impose à tout titulaire d'un accès à internet de mettre en œuvre des
sécurités suffisantes dans les accès à son ordinateur et à sa connexion internet afin qu'ils ne puissent
pas être utilisés pour partager ou télécharger des contrefaçons.

1.2 La loi HADOPI 2

La loi n°2009-1311 du 28 octobre 2009 [idib.] relative à la protection pénale de la propriété littéraire
et artistique sur internet, dite HADOPI 2, vient compléter ce premier texte.

Elle habilite des agents à constater les infractions et introduit le volet répressif des dispositions prises
à l'encontre des contrevenants.

Elle autorise les membres de la CPD et des agents assermentés des ayants droit à constater les
infractions liées au téléchargement illégal de fichiers sur internet et à recueillir les contestations des
personnes concernées2.

De plus, la loi prévoit une procédure simplifiée de saisine du juge : l'ordonnance pénale. Dans cette
procédure, le Procureur de la République peut statuer seul. Il n'y a pas de tribunal pour permettre un

1
art.L.336-2 du Code de la Propriété Intellectuelle
2
art.L.331-21-1 du Code de la Propriété Intellectuelle

6
débat contradictoire. Seule la contestation de cette procédure simplifiée conduit à un jugement
devant le tribunal avec la présence d'un avocat.

Enfin, la loi HADOPI 2 précise que les coupables peuvent être condamnés à une peine
complémentaire se traduisant par la suspension de l'accès à Internet pendant une durée maximale
d'un an. Cette coupure d'internet doit permettre de maintenir l'accès au téléphone ou à la télévision
et ne dispense pas du règlement de l'abonnement à internet auprès du fournisseur d'accès.

Trois décrets concernant la loi HADOPI ont été publiés. Les décrets du 5 mars 20103 et du 3
septembre 20104 définissent les modalités du traitement des données. Les informations enregistrées
sont les données à caractère personnel et celles concernant les faits susceptibles de constituer le
manquement. De plus, le premier décret fixe leur durée de conservation. Le décret du 25 juin 20105
met en place la contravention de 5ème classe pour le délit de négligence dans la sécurisation de
l'accès à internet. Les personnes reconnues coupables de ce délit peuvent aussi avoir une peine
complémentaire de suspension d'accès à internet, d'un mois au plus.

Figure 1 : La riposte graduée présentée sur le site de la HADOPI

3
Décret n°2010-236 du 5 mars 2010
4
Décret n°2010-1057 du 3 septembre 2010
5
Décret n° 2010-695 du 25 juin 2010

7
1.3 Les ayants droit

Les ayants droit sont les sociétés de gestion des droits d'auteur ou Sociétés de Perception et de
Répartition des Droits (SPRD). Parmi celles-ci, cinq ont reçu l'autorisation de la CNIL pour la collecte
et le traitement automatisé "de données à caractère personnel ayant pour finalité la recherche et la
constatation des délits de contrefaçon commis via les réseaux d'échanges de fichiers dénommés
"peer-to-peer" "6.

Les SPRD sont les quatre représentants de l'industrie musicale (SACEM,SPPF, SCPP, SRDM) et un
représentant de l'industrie cinématographique (ALPA). Elles se sont regroupées pour mandater un
seul prestataire chargé de relever les infractions sur internet pour les œuvres dont elles gèrent les
droits.

Un seul prestataire technique : Trident Media Guard

Il s'agit de la société Trident Media Guard (TMG). Elle est chargée de la collecte des informations sur
les réseaux de peer-to-peer (P2P) sur la base d'une liste d'œuvres à protéger. Cette liste est
constituée de 10.000 titres musicaux et de 1.000 films. Elle sera mise à jour régulièrement sans
modification du nombre total des œuvres à surveiller.

Les données que TMG va relever sur les réseaux P2P sont celles pour lesquelles les SPRD ont reçu
une autorisation de la CNIL pour le traitement automatisé.

Les données relevées sont :

 des informations relatives à l'internaute (adresse IP, fournisseur d'accès à internet,


identifiant P2P)
 des informations relatives au mode de téléchargement (client P2P, numéro de port,
identifiant utilisé sur le client P2P)
 des informations sur l'œuvre téléchargée (nom de l'œuvre, titre, ayant-droit, segment de
fichier, hashcode)
 et un horodatage

Ces données sont validées par les agents assermentés des sociétés de perception. Les listes fournies
vont servir de "preuve" de l'infraction. Elles sont ensuite transmises à la CPD. L'identification des
internautes par les fournisseurs d'accès ne sera effectuée qu'à la demande de la CPD. La HADOPI sera
la seule à connaître les identités des contrevenants potentiels.

Chaque relevé pourra atteindre 25.000 constats par jour et par société de perception. Au plus fort de
son activité, la HADOPI pourra recevoir jusqu'à 125.000 procès verbaux par jour.

6
Délibération CNIL n°2010-223, 2010-224, 2010-225, 2010-226 et 2010-255

8
2 Identification des téléchargements illégaux : seul le peer-to-peer
est concerné

Le P2P est un modèle réseau fondé sur le partage des ressources. Dans un environnement P2P, tous
les nœuds de communication sont à la fois clients et serveurs. Ce modèle de réseau peut servir au
partage de fichiers (eDonkey, eMule, Kaaza, Gnutella, ...), au calcul distribué (SETI@home), ou à
l'échange de flux entre pairs (Skype).

Aujourd'hui, la loi HADOPI cible le partage et les échanges de fichiers en P2P.

La raison principale en est que le téléchargement illégal en P2P s'est largement démocratisé. Il est
simple à mettre en œuvre, même pour un néophyte en informatique. Il demande l'installation dans
son ordinateur personnel d'un programme de mise en réseau. Ces logiciels permettent aux
ordinateurs de communiquer et de partager des dossiers et des fichiers sur un même réseau P2P.
Parmi ces programmes, certains, comme eDonkey, offrent une fonction de recherche de fichiers (par
nom et par type) sur l'ensemble du réseau P2P.

Une autre raison est que le système P2P est ouvert. L'écoute du réseau ne pose pas de problème
légal puisque chaque utilisateur partage des informations avec tous les autres. Seul le traitement des
informations relevées doit bénéficier d'une autorisation de la CNIL.

Enfin, le P2P ne permet pas l'anonymat par défaut et les données échangées circulent sans
chiffrement dans la majorité des situations.

Les différents modèles de peer-to-peer pour l'échange et le partage de données

Sur un environnement réseau, un client est un logiciel (ou utilisateur) qui utilise un service présent
sur le réseau. On désigne par serveur celui qui fournit ce service. Pour les réseaux P2P, il existe
plusieurs architectures.

Le P2P centralisé

Dans cette configuration, il existe un serveur central, ou un groupe de serveurs, qui gère les
identifications des utilisateurs (Figure 2), l'indexation des fichiers, et la mise en relation entre pairs.
Les clients se connectent au serveur central et s'identifient. Les recherches de données sont
envoyées au serveur central. Celui-ci traite la demande et se charge de mettre le client en relation
avec les utilisateurs identifiés sur le réseau et pouvant fournir la ressource. Ceux qui fournissent la
ressource deviennent des serveurs.

Le P2P décentralisé

En se connectant à un réseau P2P décentralisé (Figure 3), l'ordinateur n'en connaît pas la topologie.
Un logiciel mi-client, mi-serveur va se charger d'établir la connexion avec une ou plusieurs machines
équipées du même programme. Dans cette architecture, tous les pairs sont égaux, ils fournissent ou
se servent des mêmes services. Chaque nœud doit apprendre la topologie du réseau auquel il se
connecte. Il peut envoyer une requête et recevoir la réponse d'un nœud qui répond aux critères.

9
Figure 2 : le modèle P2P centralisé Figure 3: le modèle P2P décentralisé

Le modèle hybride

Pour ce schéma, on utilise des serveurs particuliers appelés super-nœuds, ou super-peer, qui
réalisent l'indexation des données et servent d'intermédiaires pour les nœuds qui y sont rattachés. A
la connexion au réseau, un pair appartient à un essaim géré par un super-peer. A partir des
informations des autres serveurs, chacun d'entre eux tient à jour un annuaire des clients et un index
des fichiers. Ceci permet de réduire l'utilisation de la bande passante. Les échanges de fichiers ont
lieu directement entre les pairs.

Figure 4 : le modèle P2P hybride

10
2.1 De la collecte des adresses IP à l'identification des contrevenants

Le procédé de collecte des adresses IP sur les réseaux laisse apparaître des failles pour identifier les
personnes qui téléchargent illégalement.

La société TMG a déposé deux brevets depuis sa création. Le premier est un procédé visant à ralentir,
voire à empêcher le téléchargement illégal à travers les systèmes d'échanges de fichiers pair à pair.
Le procédé met en place des utilisateurs de réseau P2P contrôlé par la TMG. Ces clients contrôlés
injecteront de fausses informations pour réserver la source d'un fichier servi par un pair. Cette
réservation du fichier source d'un pair bloquera le téléchargement par d'autres pairs, utilisateurs du
réseau non contrôlés par TMG. L'échange peut servir à récolter la preuve que le fichier, mis à
disposition par le pair qui fournit la source, est bien une œuvre protégée par le droit de propriété
intellectuelle.

Le second brevet met en œuvre un procédé similaire qui introduit un processus d'écoute ou sniffer,
sur le réseau P2P. Dans ce procédé, l'échange de données avec un fichier source n'est que partiel. En
outre, le sniffer, pour rester anonyme aux yeux des super-peers, changera d'identifiant et d'adresse
IP sur le réseau. Ce changement d'adresse IP sera généré aléatoirement à chaque connexion au
réseau.

Il est à noter que l'usurpation d'adresse IP est répréhensible par la loi.

2.1.1 Une adresse avec plusieurs identités

Une adresse IP correspond à l'identifiant du point d'entrée sur le réseau internet. Différentes
situations peuvent mener à une erreur dans l'identification de la personne ayant commis des
infractions au droit d'auteur.

Un point d'entrée peut servir d'accès individuel à internet, ou d'accès partagé. Il peut s'agir d'une
adresse IP pour une personne, comme pour l'ensemble d'un foyer, ou encore d'une entreprise, d'un
hôtel ou d'une université. Il devient alors difficile de cibler le contrevenant.

Du fait de l'absence de présomption d'innocence, l'accusation est portée sur le titulaire de l'accès à
internet. La procédure de réponse graduée ne prévoit pas d'aller plus loin dans l'investigation.
L'objectif est de faire en sorte que l'abonné à internet mette en place des sécurités suffisantes pour
que, ni son accès à internet, ni son ordinateur, ne soient utilisés à des fins de téléchargement illégal.

Si les protections mises en œuvre ne suffisent pas et que de nouvelles infractions sont constatées, la
réponse graduée peut aller jusqu'à la coupure de l'accès à internet. Cette sanction peut alors être
appliquée sans que l'auteur de l'infraction ne soit identifié et pénalement puni.

Le dépôt de brevet n'impose pas à la société TMG ces seuls procédés pour la collecte des adresses IP.
Selon le procédé qui est utilisé, une accusation peut être portée à tort sur un titulaire d'accès à
internet.

11
2.1.2 Une imprimante accusée de téléchargement

L'injection de fausses informations dans un réseau peut aboutir à une mise en accusation à tort. En
effet, selon le mode d'identification des adresses IP, ces mises en cause peuvent être plus
importantes. De plus, les différents modes de détection des contrefaçons sur les réseaux P2P
exposent les agents de surveillance par leurs pratiques.

Une étude réalisée par Michael Piatek de l'université de Washington


[PIA08] montre que l'on peut générer des accusations à tort d'adresses IP
correspondant à des machines qui ne téléchargent pas, ni ne partagent de
fichiers. L'étude a porté sur le réseau BitTorrent. Sur des dizaines de milliers
d'objets, la détection indirecte a généré des centaines de faux positifs. La
détection indirecte correspond à une écoute sur le réseau P2P et à une
analyse des paquets/trames sans échange de fichiers. Ainsi, les techniques
mises en œuvre ont permis de porter volontairement les accusations de
téléchargement illégal sur des imprimantes réseaux, un point d'accès sans
fil et un ordinateur de bureau innocent.

L'étude a aussi mis en évidence que les agents qui détectent les infractions
sont facilement repérables des utilisateurs réguliers de BitTorrent lors de
détection indirecte. En effet, ceux-ci n'échangent pas de fichiers avec les
autres pairs.

Un autre apport de cette étude concerne la détection directe des infractions. Cette technique
implique l'échange réel de données avec des pairs sur le réseau. Les agents de surveillance doivent
avoir différentes IP et limiter la quantité de requêtes. Malgré cela, le risque d'avoir une popularité
importante est présent sur de tels réseaux et cela permettrait aux pairs de repérer les adresses IP des
agents de surveillance.

2.2 L'identification des fichiers de droits protégés

Dans la lutte contre la piraterie, l'objectif est de vérifier qu'une œuvre a bien été achetée et que sa
copie n'est qu'une copie privée non diffusée au-delà du cadre de la loi.

Les SPRD cherchent des moyens pour que les copies illégales ne soient pas possibles. Pour cela, ils
ont mis en place des systèmes de gestion des droits numériques, visant à empêcher la copie de
l'œuvre une fois qu'elle est sur son support.

Accéder à une œuvre demande un matériel approprié : un lecteur CD ou MP3 avec des enceintes ou
un casque pour la musique, un lecteur DVD et un téléviseur ou un vidéoprojecteur pour la vidéo. Cela
se traduit par une transformation de l'œuvre numérique en contenu analogique. A partir de ce
contenu analogique, on peut effectuer un nouvel enregistrement, avec une dégradation potentielle
de la qualité. Quelle que soit la protection mise en œuvre pour bloquer la copie numérique, celle-ci
est rendue possible dans cette transformation en analogique, c'est ce que l'on appelle le "trou
analogique".

12
Le paradoxe vient du fait que pour empêcher la copie, il faudrait empêcher la lecture. L'intérêt de
développer un système de gestion des droits numériques est uniquement de vérifier que l'œuvre qui
a été diffusée, l'a été dans le respect de la gestion des droits d'auteur. Les fichiers numériques, audio
ou vidéo, ont tous une signature numérique qui permet de les identifier.

2.3 Une absence de contrôle dans le processus

Comme nous l'avons vu précédemment, rien ne garantit l'absence d'erreur dans la collecte des
adresses IP. Cela induit que les éléments portés au dossier, comme preuve d'une infraction, risquent
de ne pas être recevables devant un tribunal.
La question est soulevée depuis le début par les détracteurs de la loi :
Qui sera chargé du contrôle de Trident Media Guard ?

A ce titre, tout processus demande d'être certifié, comme c'est le cas pour les radars automatiques
sur les routes qui constatent les excès de vitesse. Ces radars sont contrôlés régulièrement par des
sociétés indépendantes afin de certifier l'impartialité de la mesure. L’automatisation du processus ne
garantit pas l’absence d’erreur dans les données ainsi récoltées et transmises aux agents
assermentés. Les agents ont pour tâche de contrôler les listes, pour les valider avant de les
transmettre à la HADOPI. Le contrôle consiste à vérifier que l’œuvre téléchargée relève bien de la
gestion des droits d’auteur de la société pour laquelle ils travaillent.

2.4 Les accès non concernés par le contrôle

Le réseau peer-to-peer comporte cependant quelques inconvénients. En premier lieu à cause du


risque de téléchargement d'un fichier comportant un virus informatique, un cheval de troie, ou tout
autre code malicieux qui s'exécute à son ouverture. En second lieu parce que les noms de fichiers ne
désignent pas toujours leur contenu. Et enfin, parce que ces réseaux ne donnent pas un accès
immédiat au fichier, le temps de téléchargement pouvant durer plusieurs jours.

Les internautes se sont tournés vers d'autres moyens pour accéder à des musiques ou des films : le
streaming et le téléchargement direct. Selon l'étude M@rsouin [DEJ10] effectuée en région Bretagne
fin 2009, la consommation de musique et de vidéo illicite sur internet est faite via les sites de
streaming pour 20%, contre 14% pour les réseaux P2P et 9% pour le téléchargement direct. Les
autres accès ayant lieu avec respect de la loi.

D'autres alternatives comme les newsgroups, les tunnels sécurisés ou le chiffrement des données
permettent de ne pas être ciblées par la loi pour le moment.

13
2.4.1 Le streaming et le téléchargement direct

Dans son application, aucun contrôle ne porte encore sur la lecture directe des œuvres sur internet,
tant pour les flux audio que vidéo. Le streaming, appelé aussi lecture directe de flux, permet de
rendre accessible des contenus audio ou vidéo sans avoir à les télécharger.

Pour cela, l'internaute se connecte à un serveur web avec un navigateur et saisit l'URL qui lui
permettra d'accéder à un moteur de recherche de flux. La lecture est soit continue soit progressive.

Dans le cas de la lecture continue, un seul fichier est diffusé et c'est le serveur qui effectue la lecture
continue et adapte la diffusion en fonction de l'information demandée. Cette information est liée au
format de la vidéo, ou à la bande passante, afin de conserver suffisamment d'avance en mémoire
tampon.

Dans le cas de la lecture progressive, il s'agit d'un serveur HTTP standard qui diffuse le flux. C'est le
navigateur qui se charge d'effectuer la lecture de la vidéo. La mémoire tampon sert d'une part à
répondre aux effets de latence du réseau et aux opérations de codage/décodage des flux. Et d'autre
part, elle sert à anticiper sur la lecture afin de maintenir une diffusion continue pour l'utilisateur. De
fait, pour pouvoir commencer la lecture du flux, le navigateur attend que la mémoire tampon
contienne suffisamment de données.

On retrouve une fois de plus une utilisation du trou analogique. En effet, un certain nombre de
logiciels permet la capture des flux et effectue un enregistrement continu de la musique ou de la
vidéo diffusée (exemples : FLV, Orbit downloader, etc.).

En ce qui concerne le téléchargement direct, il s'agit de télécharger des données depuis un site web.
Cela fonctionne aussi sur le modèle client/serveur. Le mode de sélection des fichiers se fait en
passant par des forums. Certains forums sont payants, mais beaucoup restent gratuits. Après s'être
inscrit, l'internaute peut accéder aux URL postés sur le forum et qui renvoient vers des plateformes
de téléchargement. Celles-ci permettent d'héberger tout type de contenus : musique, film, logiciel,
jeux, documents texte, etc..

Empêcher de telles pratiques demanderait soit de s'attaquer directement aux serveurs hébergeant
ces œuvres, soit de bloquer les flux. Les méthodes qui peuvent être utilisées sont multiples :
demander le retrait de l'œuvre ou bloquer l'accès aux serveurs qui l'hébergent. L'exemple de la lutte
contre la pédopornographie montre combien il serait difficile d'empêcher le streaming, comme le
téléchargement direct des œuvres piratées en bloquant l'accès aux contenus.

L'exemple de la lutte contre la pédopornographie

Dans le rapport sur le filtrage d'internet, de C.Callanan & al. [CAL09], mettent en avant les difficultés
liées au filtrage des sites. En effet, plusieurs techniques de filtrage sont possibles.

Le filtrage DNS entraine des risques de filtrage trop fort. En effet, filtrer un nom de domaine filtrera
tout le contenu présent sur ce domaine. De plus, l'existence de sites miroirs, ou le déménagement du
site principal demandera de réadapter le filtre.

14
Le filtrage d'IP comporte aussi un risque de filtrage trop fort. Si le serveur est un point d'entrée pour
des serveurs secondaires, un filtrage sur le point d'entrée impliquera un filtrage sur tous les serveurs
qui passent par ce point. La granularité de ce filtrage n'est pas assez fine et ne permet pas de cibler
un des serveurs secondaires.

Le filtrage d'URL permet de gérer une granularité assez fine. Les pages des serveurs HTTP peuvent
être filtrées une à une. Selon la finesse du filtrage, l'effort de maintenance sera élevé. Et le filtrage
pourra ne pas être assez fort. Par contre, ce filtrage est caduque sur le protocole de transfert
hypertexte sécurisé (HTTPS).

Le filtrage des signatures de contenus demande aussi un effort de maintenance élevé, ne serait-ce
que pour mettre à jour les signatures des fichiers autorisés pour la diffusion. Cependant, le
chiffrement rend cette méthode sans effet.

Le filtrage hybride IP - Signature et URL comporte les mêmes problématiques que le filtrage d'URL :
cette combinaison n'enlève pas le risque de sous-filtrage et demande des efforts de maintenance
importants.

2.4.2 Les réseaux privés virtuels (VPN)

On peut mettre en place un anonymat sur des réseaux P2P en utilisant des tunnels chiffrés, appelés
tunnels VPN. Ces tunnels peuvent être couplés avec un serveur hébergé à l'étranger, en dehors de la
juridiction française. Le serveur relaiera alors la connexion avec le réseau P2P et c'est son adresse IP
qui sera enregistrée comme contrevenant. Cette solution existe déjà et est proposée pour des tarifs
d'abonnements relativement faibles. On trouve une offre VPN hébergée en Suède à 5€ par mois.
Cette offre indique ne pas conserver d'information des échanges sur le P2P.

Il en est de même pour les proxys ou serveurs mandataires. Le proxy est un ordinateur servant
d'intermédiaire entre un client et un serveur. Dans le cadre d'un proxy web, celui-ci va relayer toutes
les requêtes HTTP et les transmettre à la place de l'utilisateur. Un utilisateur qui se connecte à un
proxy web hébergé à l'étranger aura la même adresse IP que le proxy. Ce serveur peut être configuré
pour être connecté à un réseau P2P et partager des fichiers. Si ce proxy ne conserve pas les logs et
qu'il est en dehors du territoire français, l'utilisateur gardera son anonymat sur le réseau P2P.

2.4.3 Les newsgroups (groupes de nouvelles)

Les newsgroups sont des sortes de forum qui permettent d'accéder à des articles découpés en
fichiers binaires. Pour récupérer ces articles, il faut aller dans le réseau USENET. Créé en 1980, le but
de ce réseau était, à l'origine, d'échanger des messages textes entre internautes dans le monde
entier.

Ce réseau fonctionne sur le principe du modèle client-serveur. Les fichiers binaires sont dupliqués sur
les différents serveurs existant au niveau du réseau mondial. Les nouvelles sont organisées de
manière thématique et arborescente.

Le fonctionnement des newsgroups est basé sur un protocole spécifique nommé NNTP (Network
News Transfert Protocol) qui utilise le port 119 et s'appuie sur les protocoles TCP/IP.

15
Aujourd'hui, le réseau USENET sert à échanger les fichiers binaires de tout type de données (articles,
photos, vidéos, logiciels, musique). Ces derniers sont classés toujours en groupes de discussion
thématiques. De plus, ils sont codés en fichiers texte selon divers protocoles. Un logiciel, le lecteur de
news, s'occupe de la récupération des fichiers binaires et du décodage. Un autre logiciel est
nécessaire pour recomposer les fichiers binaires.
La durée pendant laquelle les fichiers binaires sont conservés est relativement faible, parfois
quelques jours seulement en fonction de la thématique dont ils font partie. Elle est en revanche
proche d'une année pour les articles.

2.4.4 Le chiffrement du contenu

Le projet de spécifications fonctionnelles des moyens de sécurisation [WEB02], établi par Michel
Riguidel, directeur d'études à Télécom Paris Tech, parle d'un module capable d'analyser les flux
entrants et sortants. De tels procédés sont à interroger à cause du risque de non respect du droit à la
vie privée. C'est un élément qui peut inciter les utilisateurs à chiffrer leurs données et leurs échanges.

Analyser les flux correspond à une écoute de l'ensemble des paquets entrants et sortants par le point
d'accès à internet. Cela inclut les échanges sur des réseaux pair à pair. Cependant, en l'absence de
précision, cela englobe aussi tous les autres échanges (FTP, mails, HTTP, ...).

Le chiffrement du contenu devient alors une solution pour garantir la confidentialité des données. En
France, l'utilisation de moyens de cryptologie est libre7 pour les particuliers et les entreprises. Elle
permet l'utilisation de chiffrement à plus de 128 bits. Un logiciel comme PGP permet de chiffrer les
courriers électroniques. Récente, la technologie Perseus, développée par E. Filiol & E. Deligne de
l'ESIEA [WEB03], protège les flux contre l'écoute. En revanche, Perseus ne chiffre pas les données. Il
crée un codage des flux par ajout de bruit.

Avec une écoute des flux, il faudra consacrer du temps et des moyens importants pour aboutir au
décodage des flux protégés.

3 Le défaut de sécurisation

Les moyens de sécurisation sont à la charge du titulaire de l'accès à internet. Par sécurisation, il
convient d'entendre la sécurisation des matériels et des flux avec des technologies ou des
procédures visant à les garantir. Il faut alors prendre en compte différentes problématiques : les
matériels fournis par les fournisseurs d'accès à internet, les systèmes d'exploitation, et la
compétence nécessaire.

7
Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (1) - article 30

16
3.1 L'accès aux bornes WiFi

Assurer une liaison sans fil entre un ordinateur et un modem de connexion à l'ADSL demande de
passer par les ondes. C'est aussi prendre le risque que ces ondes soient écoutées, voire utilisées de
façon malveillante. La loi HADOPI a intégré le délit de négligence caractérisée liée à un défaut de
sécurisation de sa connexion sans fil.

L'accès des ordinateurs à internet se fait par le biais des boitiers de connexion ADSL, ou box, mis à
disposition ou loués par les fournisseurs d'accès. Une majorité de ces box bénéficie de failles de
sécurisation soit par le mode de connexion de l'ordinateur familial à la box, soit dans le logiciel
embarqué de la box elle-même.

Afin d'assurer la sécurité dans la transmission des données dans le réseau sans fil, le mode de
connexion à la box doit être crypté. On trouve trois protocoles de chiffrement des flux WiFi utilisés
sur les box : WEP, WPA et WPA2

3.1.1 Le WEP

La clé WEP (Wired Equivalent Privacy) est basé sur le chiffrement RC4. C'est un mode de chiffrement
à clé partagée entre le point d'accès à internet et l'ordinateur. 24 bits de la clé servent à initialiser la
connexion, ce qui implique que seuls 40 ou 104 bits permettent le chiffrement. Il existe des logiciels
comme WEPcrack ou Aircrack, accessibles sur le web, qui permettent de déchiffrer une clé en
quelques minutes.

La clé WEP reste le choix de chiffrement par défaut pour les matériels les plus anciens.

3.1.2 Le WPA

Le WiFi Protected Access est basé aussi sur le chiffrement RC4 et utilise des clés dynamiques TKIP
(Temporal Key Integrity Protocol). Il offre une meilleure sécurité pour les réseaux sans fil. Il a été créé
dans le but de combler les faiblesses du WEP. En 2008, Martin Beck et Eric Tews ont mis en évidence
une faille dans les réseaux sans fil avec protocole WPA/TKIP. En utilisant une requête ARP, ils ont pu
décrypter la sécurité WPA en moins de 12 minutes.

3.1.3 Le WPA2

La version 2 du WPA est couplée avec une solution de chiffrement plus forte que le RC4. Il s'agit de
l'AES. C'est ce couplage qui permet de dire que le WPA2 est robuste. L'AES est un chiffrement à clé
symétrique de 128, 192 ou 256 bits. Dans le cas du chiffrement le plus faible, il y a 2exp128
possibilités pour une clé. Cette solution couplée à une authentification par serveur Radius n'a
toujours pas montré de faiblesse.

3.1.4 La configuration des matériels

Au delà de la sécurité de la connexion sans fil, c'est aussi dans le matériel qu'on trouve parfois des
faiblesses :

17
 Pour les box Club-Internet v.1 et v.2, de marque Thomson, l'algorithme de génération de clé
WEP a été révélé en 2007. Il était généré à partir des identifiants des boitiers.
 Le Point publiait en septembre 2009 [WEB04] que la clé WPA des BBox de Bouygues télécom
constituait une faille. L'algorithme de génération de cette clé par défaut était accessible sur
internet. Il fallait que l'abonné modifie sa clé pour sécuriser son accès.
 Les livebox pour professionnels fournies par Orange avant 2008 ont un mode de connexion
WEP activé par défaut pour la liaison sans fil. De plus, l'accès http au logiciel de configuration
du boitier utilise comme identifiant et comme mot de passe le même terme : "admin".

C'est aussi parce que la conception, ou la configuration des matériels peut créer des failles qu'il est
nécessaire de pouvoir intervenir sur l'environnement logiciel. Nous allons voir que le sujet est
problématique pour une personne sur deux.

3.2 La sécurité des ordinateurs personnels

Maintenir une politique de sécurité sur un ordinateur personnel demande de se pencher sur le
fonctionnement du système d'exploitation. Il s'agit, pour les opérations les plus courantes, de vérifier
les mises à jour du système et des logiciels, de consulter les alertes de sécurité des antivirus et du
firewall, voire de scanner les fichiers présents sur l'ordinateur avec l'antivirus. Une étude CREDOC8
montre que 47 % des français se qualifient pas compétents pour utiliser un ordinateur [Figure 5]
[WEB05]. On peut penser que ces mêmes personnes rencontrent des difficultés quant à la mise en
œuvre de la sécurisation du poste de travail.

Figure 5 : 1 français sur 2 s'estime peu compétent pour utiliser un ordinateur

Les systèmes d'exploitation sont conçus dans le souci de permettre la sécurité des données et du
poste de travail pour l'utilisateur. La mise à disposition de versions d'essai permet de tester les
systèmes avant la diffusion au grand public ou avant leur commercialisation. Malgré les retours de
ces versions béta, des failles de sécurité sont découvertes régulièrement sur ces systèmes. Ces failles

8
Centre de Recherche pour l'Etude et l'Observation des Conditions de Vie

18
peuvent avoir comme origine des défauts de conception du système, des évolutions technologiques,
ou des programmes installés sur le système lui-même.

Un système d'exploitation peut devenir obsolète

Aujourd'hui, la majorité des ordinateurs personnels est équipée d'un système d'exploitation
Windows. Celui-ci est utilisé sur 90% du parc d'ordinateurs en France [WEB06]. Depuis fin 2009, la
société Windows a cessé de faire des mises à jours de sécurité pour le système Windows XP après
huit années de maintenance. Ce système d'exploitation reste pourtant celui qui a la plus grande part
de marché dans l'hexagone. Les failles de sécurité de ce système n'ont donc plus de correctif depuis
près d'un an.

Figure 6 : Evolution des parts de marché des principaux Systèmes d'Exploitation en France

4 L'effet de masse

4.1 Un dispositif coûteux pour l'Etat

Les missions et les actions de la HADOPI entrent dans le budget du ministère de la Culture. La
HADOPI a bénéficié d'un budget de 5,3 millions d'euros en 2010. Ce budget annuel sera porté à 12
millions d'euros pour 2011. Quand une loi vise à avoir un effet sur une pratique entrée dans les
mœurs, on peut s'attendre à ce que sa mise en application génère un effet de masse. Cet effet de
masse aura une incidence sur l'exécution du budget.

La collecte d'infractions au Code de la Propriété Intellectuelle sur les réseaux P2P par TMG pourrait
mener à plus de 100.000 relevés d'adresse IP par jour. La HADOPI avait annoncé sa volonté d'envoyer

19
50.000 avertissements par jour. Si ce rythme est atteint, le coût risque d'être important pour le
ministère de la Culture.

En effet, l'identification des adresses IP représente un coût pour les fournisseurs d'accès à internet.
L'opérateur de téléphonie Free est le premier à avoir attiré l'attention sur ce point. Le Code des
postes et des communications électroniques garantit la juste rémunération des prestations assurées
par les opérateurs. Un décret doit fixer cette rémunération9. Aucun n'est encore paru concernant la
loi HADOPI.

Par arrêté du 22 août 2006, le tarif hors taxe de la prestation d'identification d'un abonné ADSL est
de 8,50 € pour les opérateurs de téléphonie fixe. Si ce tarif venait à être appliqué dans l'identification
des titulaires dont l'accès à internet a servi un transfert frauduleux de données, le budget annuel
correspondant pourrait dépasser les 100 millions d'euros. Le tarif le plus bas d'identification est de
0,65€ et concerne l'identification par numéro de téléphone.

A cela s'ajouteront d'une part, l'envoi des courriers recommandés, avec, en cas de refus du courrier,
une information faite aux contrevenants par les forces de sécurité intérieure, et d'autre part, le coût
de l'intervention des juges dont le ministère de la Justice devra s'acquitter.

Avec l'arrivée de la HADOPI, de plus en plus d'offres payantes pour "contourner HADOPI" sont
disponibles sur internet. Une recherche simple du mot HADOPI sur le site Google fait apparaître un
article pour contourner HADOPI avant le site officiel de la Haute Autorité. Cet article [WEB07]
présente différentes solutions qui s'offrent aux internautes pour ne pas risquer de faire "flasher" son
adresse IP par les ayants droit. Il va même jusqu'à faire des liens sur des offres commerciales pour
ces solutions. On y trouve les offres VPN, les newsgroups et un lien vers un moteur de recherche de
sites de téléchargement direct.

4.2 La contestation

Si la véracité des preuves n'est pas faite, la contestation des accusations portées par la HADOPI
auprès des internautes pourra aussi prendre de l'ampleur. Chaque contestation pourrait conduire la
Commission de Protection des Droits à entendre l'internaute concerné. La HADOPI a prévu d'avoir
des représentants décentralisés afin de répondre aux besoins de présence sur l'ensemble du
territoire.

Les détracteurs de la loi sont les premiers à informer sur la faiblesse de l'identification par adresse IP.
Avant même l'envoi des premiers emails de recommandation, des modèles de lettre de contestation
étaient déjà accessibles sur internet.

La contestation pour la coupure de l'accès à internet imposera un jugement devant un Tribunal avec
débat contradictoire. Seul ce débat contradictoire en présence des parties adverses peut garantir un
traitement dans le respect de la présomption d'innocence.

9
Article L35-6 du Code des postes et des communications électroniques

20
5 Quels moyens pour appliquer la loi ?

Ainsi, on voit bien que l'effort financier d'un tel dispositif n'est pas limité à un seul ministère. Cette loi
vise à avoir un effet sur la majorité des téléchargements illicites. En même temps, ces pratiques sont
devenues sociales, très liées à la place qu'a prise internet dans les foyers. La société française est
consommatrice de culture. Changer des pratiques sociales demande de prendre en compte cet
intérêt pour la culture, même en période de crise.

Aujourd'hui l'offre légale n'est pas suffisante. Alors que dès sa sortie en DVD à l'étranger, un film est
accessible en téléchargement mais de manière illégale, il reste inaccessible dans les points de vente
français. Selon une étude CNC / ALPA de 2006 [WEB08], 93,6 % des films piratés et déjà sortis en
salles seraient disponibles sur les réseaux pair à pair avant leur sortie en DVD sur le territoire
français. Sans alternative proposée, l'accès illégal aux œuvres continuera à s'adapter pour être moins
visible.

Le développement de portails de référencement pour aboutir à l'offre légale n'est pas encore
d'actualité. Par contre, l'envoi des premiers emails de recommandation a déjà eu lieu. C'est montrer
la détermination de la HADOPI à mener sa mission à bien.

Selon Mme Imbert-Quaretta, Présidente de la Commission de Protection des Droits, la riposte


graduée est avant tout une question de pédagogie. Elle a aussi affirmé que la commission ne
prendrait "aucun risque par rapport à un éventuel piratage des adresses IP"10.

La position de Mme Marais, Présidente de la HADOPI, est de s'engager à poursuivre la lutte contre les
pirates informatiques. Elle a exprimé sa volonté pour la HADOPI de suivre et de s'adapter aux
évolutions techniques des pratiques de téléchargement illégal sur internet.

10
Assemblée Nationale - Commission des affaires culturelles et de l'éducation - 23 juin 2010

21
Conclusion

Les différentes étapes de la mise en application de la loi HADOPI - établir le projet de loi, le faire
valider, créer les institutions chargées de l'appliquer, et sa mise en application - prennent du temps
et ont déjà permis aux pratiques de téléchargement de s'adapter.

Les moyens mis en œuvre semblent devoir s'adapter eux aussi aux contraintes technologiques. La
course entre ceux qui surveillent les échanges et ceux qui fraudent semble engagée. Le projet de
spécification fonctionnelle des moyens de sécurisation est un exemple à la volonté de pouvoir
consulter les actes ordinaires de l'internaute.

L'offre légale n'est pas encore apparue que les offres commerciales pour contourner la loi HADOPI
fleurissent sur internet. Elles vont générer une augmentation de l'utilisation de la cryptologie pour
les échanges sur les réseaux pair à pair. Un internaute qui est déjà engagé sur une offre alternative
attendra d'arriver au terme de son abonnement avant de se tourner vers l'offre légale.

De même, si les pratiques d'accès à du contenu illégal changent, il faudra que l'application de la loi se
tourne vers ces nouvelles pratiques. Une guérilla, même technologique, est faite de victoires et de
défaites des deux côtés.

Les conséquences sur les pratiques d'accès et de téléchargement de contenu illicite ne sont pas
encore réellement abordées. Une augmentation du chiffrement des données ou des flux va poser des
problèmes. Les gendarmes et policiers qui luttent contre la cybercriminalité seront les premiers à en
subir les conséquences : cela va accroître la quantité des données à surveiller. La cybercriminalité,
surtout la pédopornographie et la propagande terroriste, va être prise dans un flux plus important.

On peut penser que la peur du procès verbal et de la coupure d'accès à internet aura aussi des effets
positifs. La fracture technologique est suffisamment importante pour que la seule communication de
l'envoi des premiers emails apporte un apaisement pour les ayants droit.

22
Bibliographie/ Webographie

Claude SERVIN, Réseaux & Télécoms, Paris, DUNOD, 2006.

[WEB01] http://www.universalis.fr/encyclopedie/loi/

[OLI07] Denis OLIVENNES, Le développement et la protection des œuvres culturelles sur les
nouveaux réseaux, Rapport au Ministère de la Culture,- novembre 2007.

[CPI10] Code de la Propriété Intellectuelle, http://www.legifrance.gouv.fr/

[PIA08] Michael Piatek, Tadayoshi Kohno, Arvind Krishnamurthy, Challenges and Directions
for Monitoring P2P File Sharing Networks, University of Washington Technical
Report, juin 2008, http://dmca.cs.washington.edu/uwcse_dmca_tr.pdf
1
[DEJ10] S. Dejean, T. Pénard et R. Suire, Une première évaluation des effets de la loi Hadopi sur les
pratiques des Internautes français, M@rsouin, CREM et Université de Rennes 1, Mars 2010,
http://www.marsouin.org/IMG/pdf/NoteHadopix.pdf

[CAL09] C.Callanan, M.Gercke, E.de Marco, H.Dries-Zeikenheine, Internet blocking -


balancing cybercrime responses in democratic societies, octobre 2009,
http://www.aconite.com/sites/default/files/Internet_blocking_and_Democracy.pdf

[WEB02] Michel RIGUIDEL, Projet de spécifications fonctionnelles des moyens de sécurisation,


Consultation publique de la HADOPI, accédé le 10 septembre 2010,
http://hadopi.fr/download/sites/default/files/page/pdf/Consultation_sur_les%20spe
cifications_fonctionnelles_des_moyens_de_securisation.pdf

[WEB03] Eric Filiol & Eddy Deligne, The Perseus lib: Open Source Library for TRANSEC and
COMSEC Security, 2010, http://www.esiea-
recherche.eu/data/iawacs2010/slides/filiol_deligne_iawacs2010.pdf

[WEB04] http://www.lepoint.fr/archives/article.php/380388

[WEB05] La diffusion des technologies de l'information et de la communication dans la société


française, CREDOC, Novembre 2009,
http://www.arcep.fr/uploads/tx_gspublication/etude-credoc-2008-101208.pdf

[WEB06] Statcounter, accédé le 21 octobre 2010, http://gs.statcounter.com/

[WEB07] Fabrice Epelboin, Les solutions pour contourner Hadopi sont de plus en plus
qualitatives, 4 janvier 2010 ,
http://fr.readwriteweb.com/2010/01/04/usages/comment-contourner-hadopi-
solutions-anti-hadopi/

[WEB08] L'offre "pirate" de films sur internet, CNC/ALPA, octobre 2007,


http://www.cnc.fr/CNC_GALLERY_CONTENT/DOCUMENTS/publications/etudes/Pirat
erie_121007.pdf

23