À quoi servent ces spécifications fonctionnelles ? Sur le papier, leur objectif est simple. Il est de définir les qualités que devront présenter les futures solutions pour obtenir le label de confiance Hadopi. Mais comment parler d’informatique de confiance quand toute la stratégie est de mettre en place une journalisation des faits et gestes de l’abonné ?

Le bon père de famille et l’Hadopi

Le décryptage de ce long document confirme encore et encore ce plan aux petits oignons préparé depuis bien longtemps. Interrogé en 2008 au Ministère de la Culture, Olivier Henrard, architecte d’Hadopi devenu depuis conseiller culture auprès de Nicolas Sarkozy, nous traçait la route : « à partir du moment où les internautes vont avoir intérêt à installer ce genre de dispositif où il existera donc une demande solvable, les FAI vont alors développer une offre dans ce domaine. Il faudra prévoir, dès lors qu’il s’agit de fournir aux abonnés un moyen de s’exonérer de leur responsabilité, un dispositif qui permet de certifier à l’Hadopi qu’à tel ou tel moment, ce dispositif était utilisé ».

Dans le projet de loi à l’époque, l’usage d’un logiciel labellisé Hadopi permettait à l’abonné en effet de s’exonérer juridiquement de la réponse graduée. Depuis, on le sait, il n’y a plus de lien juridique. Un abonné séduit par l’achat ou la location ou l’utilisation du logiciel de sécurisation, sur son PC ou sa box internet, pourra malgré tout être poursuivi au parquet après instruction de la Hadopi s’il est « victime » de son enfant ou d’un pirate ou d’un cheval de Troie, etc. L’art d’Hadopi devra maintenant rassurer les futurs surveillés. Plusieurs fois dans les SFH (Spécifications Fonctionnelles Hadopi), il est dit que l’outil devra être le plus discret possible, tout en étant indiscret.

Le piège de la journalisation des faits et gestes de l’abonné

Le système de journalisation, intrinsèque au moyen de sécurisation labellisé, aura ce pouvoir de se retourner contre l’abonné qui l’a installé. En confiance.

L’utilisateur efface le journal et ses traces compromettantes ? Peu importe : les SFH disent : « la politique de sécurité est à la discrétion de l’utilisateur, c’est-à-dire non obligatoire. Même installée, le titulaire de l’abonnement peut désactiver l’Application quand bon lui semble. Toutefois, le journal enregistrera le fait que l’Application a été désactivée ». Vous pouvez éteindre la caméra de vidéosurveillance, mais le surveillant le saura.

L’abonné n’a pas effacé les éléments dans ce journal ? Le journal consacrera ce que TMG a repéré sur ses écrans : l’abonné a mal sécurisé. Ou pire : il a lui-même téléchargé des contrefaçons…

Le journal de sécurisation ne relève rien ? L’Hadopi n’en a cure puisque l’installation du moyen de sécurisation n’est pas un fait exonératoire de la contravention de négligence caractérisée. L’abonné qui malgré une surprotection, n’aura su empêcher un cheval de Troie de pirater son accès, sera bien éligible à la sanction Hadopienne. Mireille Imbert Quaretta, présidente de la Commission de protection des droits le disait sans détour : « les moyens de spécifications labellisés ne nous importent peu. Ce n’est pas le problème. (…) Le défaut de sécurisation est une infraction de commission par omission.(…) Vous aviez l’obligation de faire quelque chose et vous ne l’avez pas fait. L’infraction se constate, elle ne se prouve pas. Vous devez vous débrouiller pour qu’il n’y ait pas des œuvres chargées ou mise en partage illégalement sur votre accès internet. » Il faut le surligner : le moyen de sécurisation labellisé « importe peu » la tour centrale de la Hadopi.

Les curieuses exigences légales des journaux

Au passage, les SFH soulignent que « l’organisation des journaux et la date en clair des journaux chiffrés permettent à l’Administrateur de gérer les journaux et d’adapter la durée de conservation des différents journaux aux différentes exigences légales. » Quelles exigences légales ? La Hadopi n’en dit mot.

Bref, tout ce qui importe la Hadopi est résumé dans cet extrait des SFH : « Il faut être capable de reconstituer la situation telle qu’elle était, au moment du téléchargement illégal : est-on sûr qu’il y avait téléchargement à ce moment-là et à cet endroit-ci ? Est-ce qu’un pirate téléchargeait ou est-ce qu’un faux pirate (un utilisateur qui veut se faire passer pour un pirate) était connecté en même temps ? »

Ainsi, le « mouchard » va avant tout sécuriser la Hadopi dans le déclenchement des poursuites.

Des mises à jour régulières et obligatoires

Dernière considération, en l’état de ces développements : le module de mise à jour. La lecture des SFH est intéressante puisque le document impose que celles-ci soient « régulières et obligatoires » et donc impératives.

Pourquoi ? Car « l’Application doit s’adapter aux usages et à l’évolution rapide des procédés, en matière de contrefaçon ; les éditeurs devront faire évoluer leur produit ou leur service car la finalité de l’Application doit demeurer conforme à mesure que les usages et les comportements se modifieront et l’efficacité de l’Application doit rester conforme à son label ».

Les SFH insistent bien : « L’Application, à la manière du contrôle parental, des systèmes d’exploitation et des logiciels antivirus sera mise à jour en ligne, automatiquement, à partir de sites (FAI, éditeurs de logiciels, éditeurs de sécurité). Ces mises à jour prendront en compte l’émergence de nouveaux protocoles, de nouveaux logiciels de contournements ou de nouvelles pratiques de contrefaçon. Ces mises à jour seront transparentes au titulaire de l’accès internet et aux utilisateurs par une mise à jour en parallèle de la documentation du produit ou du service. Les mises à jour de l’Application sont sécurisées, en particulier la mise à jour des règles ».

Le document poursuit : « les mises à jour sont déterminantes. L’Administrateur ne peut pas conserver des versions de l’Application qui possèderaient des erreurs ou failles connues et qui seraient des brèches pour les pirates. Dès que les patches (les rustines) sont disponibles, il doit pouvoir les installer sans tarder. Afin de garder leurs produits et/ou services opérationnels et efficaces, il est indispensable pour les Éditeurs de recueillir régulièrement, quasiment en temps réel et de façon systématique des informations depuis leurs produits installés. La transmission de données à l’éditeur est admise dans ce cas précis de contexte d’erreurs à transmettre afin de tenir compte de cet impératif de diligence dans la maintenance curative. Néanmoins pour empêcher la transmission de données personnelles, ce support pour les améliorations ou déclarations de bugs devra être isolé et sous le pilotage de l’Administrateur qui peut le refuser. ».

La transmission des informations PC vers éditeur sera refusable, mais pas les mises à jour éditeur vers PC.

En somme, quand le verrou labellisé sera installé, l’abonné placé en situation de confiance sera, mise à jour après mise à jour, de plus en plus sécurisé, de plus en plus surveillé. À chaque fois, un tour de clef supplémentaire autour du verrou.

la source: pcinpact