pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

P2P: Ce qui attend les majors

Lundi 04 mai 2009

HADOPI échouera pour diverses raisons: économiques, sociales. Mais aussi pour des raisons techniques.

Pour lutter contre la distribution illégale d'œuvres (je n'aime pas appeler ça "piratage"), il y a toujours deux grandes voies techniques qui ont été envisagées: Le filtrage, la surveillance+sanction. Il y a déjà eu de très nombreuses tentatives de filtrage dans beaucoup de pays, et elles se sont invariablement soldées par des échecs.

En revanche, la surveillance fonctionne et c'est sur ça que veut tabler HADOPI. Pour la simple raison que les logiciels de P2P actuels échangent directement des données d'une adresse IP à l'autre, sans volonté de masquer les adresses IP. Il est donc assez facile de savoir qui partage quoi.

Mais les technologies évoluent. Voici un petit aperçu de ce qui nous attend dans les années qui viennent, et qui mettra les internautes définitivement à l'abri de la surveillance. C'est un petit peu technique, mais je vais essayer d'expliquer les choses simplement:

Onion routing

Les onions ont des couches. Comme les ogres. Et les réseaux peuvent aussi en posséder avec la technique de l'onion routing. Que les geeks me pardonnent, je vais opérer à quelques simplifications pour que l'explication soit plus claire.

Avec un P2P traditionnel, si l'ordinateur A veut le fichier X, il commence par demander aux ordinateurs "proches": Qui possède le fichier X ? Il obtient en retour l'adresse IP de B.


Ensuite, il se connecte sur B (sur son adresse IP) et demande le fichier X:


Donc, il est facile de taper sur B pour échange illicite de fichiers: Il suffit de chercher, et vous obtenez la liste des adresses IP qui distribuent le fichier. Il n'y a plus qu'à contacter la commission HADOPI pour faire fermer la connexion de l'internaute. Gagné.

Sauf qu'avec l'onion routing, la donne n'est plus la même: L'ordinateur A demande également aux ordinateurs "proches" qui possède le fichier X, mais il obtient en retour l'adresse virtuelle de B, c'est à dire un identifiant unique de la machine B spécifique à ce réseau P2P, mais pas l'adresse IP de B lui-même. A aucun moment l'ordinateur A ne connaît l'adresse IP de B.


Ensuite, il se connecte à nouveau aux ordinateurs proches, et leur demande le fichier X. Si ces ordinateurs ne possèdent pas le fichier, ils se connecteront à leur tour sur d'autres ordinateurs, eux-même pouvant se connecter à d'autres... formant ainsi une chaîne. Il y a un système de routage spécifique qui permet d'atteindre la machine B. Le fichier X est alors transféré de proche en proche, jusqu'à atteindre l'ordinateur A.


Au final:

  • A ne connait pas l'adresse IP de B. Il a bien récupéré le fichier, mais il est incapable de dire quelle machine possède réellement le fichier (Il ne peut pas affirmer que D, E ou F possèdent le fichier, puisqu'ils peuvent très bien n'être que des relais.)

  • B ne connaît pas l'adresse IP de A. Si des ordinateurs sont venus lui demander le fichier, c'est peut-être pour le compte d'autres ordinateurs. Impossible d'identifier les ordinateurs qui viennent sur le site. (Il ne peut pas affirmer que c'est G ou H qui ont téléchargé le fichier, puisqu'ils peuvent très bien n'être que des relais.)

  • Quand aux intermédiaires - grâce au chiffrement par clé publique - ils sont dans l'impossibilité de connaître le contenu ou la nature des données échangées entre A et B. Ils ne peuvent que router les données (c'est à dire les transporter).

  • Les intermédiaires sont incapables de connaître l'adresse IP du client (A) ou du serveur (B). (G ou H ne peuvent pas affirmer que B est le serveur, puisqu'il peut très bien n'être qu'un relai.)

  • Grâce au chiffrement, même votre fournisseur d'accès ne pourra pas voir ce que vous téléchargez ou partagez.

Vous voulez incriminer un participant du réseau parce qu'il distribue le fichier X ? Vous pouvez faire une saisie chez lui, mais dans 99% des cas, ce ne sera qu'un relai et il ne possède pas le fichier. Pas la moindre trace sur disque dur. Ou alors, vous allez devoir faire saisir des milliers d'ordinateurs dans le monde jusqu'à trouver le bon. Infaisable.

Imposer un filtrage sur ces ordinateurs ? Comment faire, puisque ces relais ne savent pas eux-même ce qu'ils transportent (grâce au chiffrement) ?

La parade des FAI ou du gouvernement pourrait être de filtrer carrément ces protocoles de P2P, mais c'est une tâche quasi-impossible car le chiffrement donne un aspect totalement aléatoire aux données. Sans compter la possibilité d'utiliser des ports aléatoires. Mission impossible.

Alors couper tout ce qui ressemble à des données chiffrées ? Impensable, sinon les sites en HTTPS ne fonctionneraient plus.

Bref... ces nouveaux protocoles ne sont pas infaillibles, mais les filtrer et les surveiller devient très, très ardu.


Il existe déjà plusieurs logiciels de P2P utilisant l'onion routing, mais on peut étendre ce concept à d'autres type de logiciels. C'est que ce veulent faire TOR et I2P.

I2P est une bibliothèque de fonctions qui peut être utilisé dans d'autres programmes pour fournir les fonctions d'onion routing. Autrement dit: avec un peu d'effort de la part des programmeurs, on peut anonymiser pratiquement n'importe quel logiciel. On trouve d'ailleurs des versions de BitTorrent tournant sous I2P, ainsi que des sites web, du chat (IRC), du partage de fichiers, des serveurs ssh, des variantes des logiciels de P2P eDonkey et Gnutella, etc.

Cela ouvre la possibilité d'un internet globalement anonyme, avec des serveurs impossibles à localiser. Certes ces logiciels ont encore des faiblesses (lenteur, etc.), mais la technologie s'améliore lentement.

Stockage distribué

Vous aurez remarqué que si on arrive à faire fermer la machine B, ou si sa connexion internet est coupée, le fichier n'est plus disponible. Il existe des parades: Le stockage distribué.

En gros, quand vous insérez un fichier dans le réseau P2P, il est découpé en une myriade de petits bouts, et recopié sur des tas d'ordinateurs différents du réseau.

La disparation de plusieurs ordinateur du réseau n'a pratiquement aucun impact sur la disponibilité du fichier: Même si on supprime plusieurs ordinateurs possédant des bouts du fichier, il reste généralement possible de télécharger le fichier en entier. Et des algorithmes sont capables de reconstruire les parties manquantes. Il ne devient plus possible d'empêcher la distribution d'un fichier en éteignant l'ordinateur qui le possède, puisque le stockage du fichier est réparti sur l'ensemble des machines du réseau.

C'est ce principe qu'utilisent FreeNet et OFF, bien que de manière différente.


Il y a sûrement bien d'autres technologies dans les cartons, et une fois au point, elles mettront les internautes hors de portée de la surveillance. Même les fournisseurs d'accès n'auront plus les moyens de les surveiller, ou alors à un coût qui sera tellement élevé qu'ils refuseront de le mettre en place.

Il ne faut pas généraliser: Ces outils resteront l'apanage d'une frange marginale des internautes, probablement ceux qui piratent le plus. Ceux qui ne piratent pas ou très peu, en revanche, se prendront HADOPI et lois similaires en pleine face. Ces lois n'attraperont donc pas les vrais resquilleurs, qui pourront continuer à copier tranquille.

Et couper les gens d'Internet n'améliorera pas les revenus des artistes.

Les industriels de la culture n'ont pas la moindre idée de ce qui les attend, mais s'il y a bien une chose qui est certaine, c'est qu'avec HADOPI ils vont pousser les internautes à grand coup de pied au cul dans ces P2P anonymes.

Tous sur écoute ?

Lundi 04 mai 2009

On a beau s'étrangler sur EDVIGE, STIC, HADOPI et autres projets à la con, il se pourrait qu'il y ait déjà une surveillance en place, où l'écoute systématique de vos communications par les opérateurs techniques est une habitude, ces derniers allant gentiment cafter auprès de la police.

L'affaire a été révélée récemment: Un homme s'est retrouvé garde à vue pour avoir reçu un SMS: « Pour faire dérailler un train, t’as une solution ? ». Son opérateur téléphonique a semble-t-il pris l'initiative de contacter la police.

Depuis quand les opérateurs de téléphonie se permettent-ils de surveiller systématiquement nos messages ? Depuis quand la surveillance systématique - et sans ordre un juge - est-elle devenue la règle dans une démocratie ? Depuis combien de temps ce petit manège dure-t-il ? Sur quels critères les opérateurs filtrent-ils les messages, quels mots-clés ? Est-ce que par hasard nos FAI ne seraient pas déjà en train de fourrer leur groin dans nos emails de la même manière, avec l'aval officieux du gouvernement ?

Non, je n'ai pas trop regardé X-File, je me pose juste des questions à la lumière de cette affaire de SMS.

(Trouvé via glazman.org)


Mise à jour 5 mai 2009: Il semble que l'opérateur Bouygues, soit embarassé: «  Nous avons appris cette affaire par la presse ce matin. Une enquête interne est en cours pour savoir qui a transmis ces informations et éventuellement mener des actions contre la personne fautive. Un opérateur n'est pas autorisé à délivrer le contenu d'un SMS aux autorités, sauf s'il y a réquisition judiciaire. Nous n'avons pas le droit de prendre connaissance des contenus échangés par nos clients. Nous ne savons pas exactement ce qui s'est passé. ».

Les conditions dans lesquelles a été récupéré ce SMS ne sont pas claires. Certains me font remarquer qu'il semblerait que ce soit le technicien qui ait lu le SMS après avoir récupéré le téléphone (de prêt). Donc pas de surveillance globale ? Mais dites-moi, si je fais réparer mon PC, ça donne le droit à l'employé de la société en question d'aller mettre son nez dans mes fichiers de la même manière ? Et d'aller jouer le délateur auprès de toutes les administrations qu'il jugera nécessaires ?

Je ne crois pas, non. Ça me semble tout aussi inacceptable et c'est une violation d'un des droits de l'homme, celui du droit à la vie privée (article 12, entre l'interdiction des punitions arbitraires et celle d'empêcher tout citoyen de quitter ou retourner dans son pays). Et d'ailleurs certains employés d'entreprises de maintenance de PC aux USA se sont déjà fait piquer la main dans le sac.

Ce que je trouve formidable, c'est qu'on a d'un côté un particulier qui reçoit un SMS dont il n'est pas responsable et qui se retrouve en garde-à-vue. De l'autre côté, une entreprise qui viole un droit de l'homme et à qui on ne trouve rien à redire. Y'a comme un décalage. Ah suis-je bête ! C'est pour notre bien, c'est pour nous protéger des vilains terroristes.

Une raison de plus de chiffrer vos fichiers (vive TrueCrypt)... et effacer vos SMS.

Il y a quelques détails supplémentaires sur l'excellent blog de Maître Eolas.