Hadopi ou la persistance de la présomption de responsabilité
Fraus omnia corrompit
La sécurisation de l’accès n’en finit pas d’inquiéter les députés. Dans une question, le député socialiste Jean-Claude Fruteau a interrogé le ministère de la Culture sur la sacralisation de l’adresse IP. « Force est de constater qu'il est très simple, pour un utilisateur moyennement confirmé, de falsifier sa propre adresse IP en prenant celle d'un autre ordinateur. Ainsi, une personne ne téléchargeant pas illégalement des oeuvres sur Internet pourrait être sanctionnée à tort » oppose-t-il au ministère de la Culture.
Usurper, c'est difficile
Frédéric Mitterrand n’est pas de cet avis : d’un, « la loi ne méconnaît pas le fait que la vigilance des internautes sera susceptible d'être trompée par des tiers qui tenteraient d'usurper leur adresse IP ou d'utiliser frauduleusement leur réseau Wi-Fi ». Il fait ici preuve d’un certain réalisme aussi bienvenu qu’inquiétant. Toutefois, précise-t-il immédiatement, « il convient toutefois d'observer que ces pratiques de contournement devraient rester limitées. Elles nécessitent en effet, pour certaines d'entre elles, des connaissances informatiques inconnues du plus grand nombre ». Il y a donc un risque, mais peu importe : c’est statistiquement dans l’ordre du négligeable.
La Rue de Valois estime que le risque juridique, l'usurpation d'identité sur un réseau, « qui suppose de s'introduire frauduleusement dans un système informatique » est lui bien réel. Il est « passible des peines prévues aux articles 323-1 et suivants du Code pénal, lesquelles s'élèvent à deux ans d'emprisonnement et 30 000 EUR d'amende ».
Par ailleurs, « le fait d'utiliser l'adresse IP de quelqu'un d'autre pour commettre un acte de contrefaçon est également passible des peines que prévoit le Code pénal pour les usurpations d'identité commises en vue de commettre un délit. L'article 434-23 du Code pénal institue une peine de cinq ans d'emprisonnement et de 75 000 EUR d'amende à l'encontre des personnes qui prennent le nom d'un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales ».
Enfin, prévient-il, le projet de loi LOPPSI « prévoit de créer un délit spécifique d'usurpation d'identité sur Internet, passible d'un an d'emprisonnement et de 15 000 EUR d'amende ».
Bref : d'une part, les contrefacteurs auront beaucoup de difficultés pour chaparder la connexion de Mme Michu, de deux, ils devront craindre une avalanche de peines s’ils s’adonnent à ce petit sport. Cependant... la contrefaçon est punie de 3 ans de prison et 300 000 euros d’amende, mais ceci n’a jamais empêché les abonnés de cliquer sur « download »…. Alors pour le « vol » de connexion, on devine sans mal l’effet dissuasif de la batterie de menaces.
Des moyens de sécurisation
La Rue de Valois estime malgré tout que la loi Hadopi est un texte de « pédagogie et de sensibilisation ». C'est là qu'on en vient aux effets attendus des messages d'avertissement : « afin de prévenir de telles pratiques de contournement, la loi (…) précitée incite les internautes à mettre en place des mesures de sécurisation de leur accès à Internet, notamment des accès Wi-Fi, qui leur sont notamment proposées par leurs fournisseurs d'accès à Internet. Dans les messages qu'elle adressera aux internautes dont l'accès aura été utilisé à des fins de téléchargement illicite, la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet (HADOPI) mentionnera l'existence de moyens de sécurisation permettant de prévenir les manquements à l'obligation de surveillance et invitera le titulaire de l'accès à Internet à s'équiper d'un tel moyen de sécurisation pour prévenir toute nouvelle utilisation de son accès à des fins de téléchargement illicite ».
Lisons bien : le message d’avertissement ne dira pas à l'abonné quel est le « moyen de sécurisation à employer » pour éviter le risque Hadopi. Il dira qu’il existe « des moyens de sécurisation ». Une nuance de taille qui touche au fameux mythe de la sécurisation de l’accès, sacralisé par ce texte.
Établir l'existence d'une fraude, non d'une sécurisation
Mitterrand en outre rappelle qu’Hadopi 1 et 2 « n'instituent [pas de] présomption de responsabilité. Les internautes victimes d'une usurpation de leur adresse IP pourront faire valoir des observations auprès de la Haute Autorité ». Et ? La Hadopi (ou plutôt la Commission de protection des droits, avec ses trois magistrats) « appréciera ces observations et les circonstances d'espèce et mettra un terme à la procédure engagée à l'encontre des internautes dont il aura été établi qu'ils ont été victimes d'une fraude ».
On se délecte de la contorsion : il n’y a pas de présomption de responsabilité, mais ce sera à l’abonné d’expliquer à la Commission de protection des droits qu’il a été victime d’une fraude. Problème : Hadopi ne "disculpe" pas ceux qui ont été victimes d'une fraude mais seulement ceux qui ont sécurisé leur accès. C'est (très) différent. Lier la démonstration d'une absence de fraude avec la responsabilité Hadopienne, c'est justement flirter avec la présomption de responsabilité qu'avait sanctionnée le Conseil constitutionnel dans sa décision Hadopi 1.
La parole au ministère public et au juge, en bout de course
Pas d'inquiétude, explique néanmoins le ministre de la Culture : « la loi (...) prévoit l'intervention systématique d'un juge, seul à même de prononcer une peine de suspension de l'accès à Internet, de sorte que les prescriptions de la procédure pénale comme le principe de la présomption d'innocence seront pleinement respectés. La charge de la poursuite et celle de la preuve incomberont ainsi au ministère public ». Cette réponse avait déjà été donnée en janvier dernier. Le ministère public aura cependant dans une main une adresse IP flashée par un agent assermenté avec un PV qui fait foi, et de l’autre notre bonne Mme Michu qui expliquera avec un luxe de détails qu’un tiers a pillé son accès très très sécurisé. Devinez qui l’emportera ?
Usurper, c'est difficile
Frédéric Mitterrand n’est pas de cet avis : d’un, « la loi ne méconnaît pas le fait que la vigilance des internautes sera susceptible d'être trompée par des tiers qui tenteraient d'usurper leur adresse IP ou d'utiliser frauduleusement leur réseau Wi-Fi ». Il fait ici preuve d’un certain réalisme aussi bienvenu qu’inquiétant. Toutefois, précise-t-il immédiatement, « il convient toutefois d'observer que ces pratiques de contournement devraient rester limitées. Elles nécessitent en effet, pour certaines d'entre elles, des connaissances informatiques inconnues du plus grand nombre ». Il y a donc un risque, mais peu importe : c’est statistiquement dans l’ordre du négligeable.
La Rue de Valois estime que le risque juridique, l'usurpation d'identité sur un réseau, « qui suppose de s'introduire frauduleusement dans un système informatique » est lui bien réel. Il est « passible des peines prévues aux articles 323-1 et suivants du Code pénal, lesquelles s'élèvent à deux ans d'emprisonnement et 30 000 EUR d'amende ».
Par ailleurs, « le fait d'utiliser l'adresse IP de quelqu'un d'autre pour commettre un acte de contrefaçon est également passible des peines que prévoit le Code pénal pour les usurpations d'identité commises en vue de commettre un délit. L'article 434-23 du Code pénal institue une peine de cinq ans d'emprisonnement et de 75 000 EUR d'amende à l'encontre des personnes qui prennent le nom d'un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales ».
Enfin, prévient-il, le projet de loi LOPPSI « prévoit de créer un délit spécifique d'usurpation d'identité sur Internet, passible d'un an d'emprisonnement et de 15 000 EUR d'amende ».
Bref : d'une part, les contrefacteurs auront beaucoup de difficultés pour chaparder la connexion de Mme Michu, de deux, ils devront craindre une avalanche de peines s’ils s’adonnent à ce petit sport. Cependant... la contrefaçon est punie de 3 ans de prison et 300 000 euros d’amende, mais ceci n’a jamais empêché les abonnés de cliquer sur « download »…. Alors pour le « vol » de connexion, on devine sans mal l’effet dissuasif de la batterie de menaces.
Des moyens de sécurisation
La Rue de Valois estime malgré tout que la loi Hadopi est un texte de « pédagogie et de sensibilisation ». C'est là qu'on en vient aux effets attendus des messages d'avertissement : « afin de prévenir de telles pratiques de contournement, la loi (…) précitée incite les internautes à mettre en place des mesures de sécurisation de leur accès à Internet, notamment des accès Wi-Fi, qui leur sont notamment proposées par leurs fournisseurs d'accès à Internet. Dans les messages qu'elle adressera aux internautes dont l'accès aura été utilisé à des fins de téléchargement illicite, la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet (HADOPI) mentionnera l'existence de moyens de sécurisation permettant de prévenir les manquements à l'obligation de surveillance et invitera le titulaire de l'accès à Internet à s'équiper d'un tel moyen de sécurisation pour prévenir toute nouvelle utilisation de son accès à des fins de téléchargement illicite ».
Lisons bien : le message d’avertissement ne dira pas à l'abonné quel est le « moyen de sécurisation à employer » pour éviter le risque Hadopi. Il dira qu’il existe « des moyens de sécurisation ». Une nuance de taille qui touche au fameux mythe de la sécurisation de l’accès, sacralisé par ce texte.
Établir l'existence d'une fraude, non d'une sécurisation
Mitterrand en outre rappelle qu’Hadopi 1 et 2 « n'instituent [pas de] présomption de responsabilité. Les internautes victimes d'une usurpation de leur adresse IP pourront faire valoir des observations auprès de la Haute Autorité ». Et ? La Hadopi (ou plutôt la Commission de protection des droits, avec ses trois magistrats) « appréciera ces observations et les circonstances d'espèce et mettra un terme à la procédure engagée à l'encontre des internautes dont il aura été établi qu'ils ont été victimes d'une fraude ».
On se délecte de la contorsion : il n’y a pas de présomption de responsabilité, mais ce sera à l’abonné d’expliquer à la Commission de protection des droits qu’il a été victime d’une fraude. Problème : Hadopi ne "disculpe" pas ceux qui ont été victimes d'une fraude mais seulement ceux qui ont sécurisé leur accès. C'est (très) différent. Lier la démonstration d'une absence de fraude avec la responsabilité Hadopienne, c'est justement flirter avec la présomption de responsabilité qu'avait sanctionnée le Conseil constitutionnel dans sa décision Hadopi 1.
La parole au ministère public et au juge, en bout de course
Pas d'inquiétude, explique néanmoins le ministre de la Culture : « la loi (...) prévoit l'intervention systématique d'un juge, seul à même de prononcer une peine de suspension de l'accès à Internet, de sorte que les prescriptions de la procédure pénale comme le principe de la présomption d'innocence seront pleinement respectés. La charge de la poursuite et celle de la preuve incomberont ainsi au ministère public ». Cette réponse avait déjà été donnée en janvier dernier. Le ministère public aura cependant dans une main une adresse IP flashée par un agent assermenté avec un PV qui fait foi, et de l’autre notre bonne Mme Michu qui expliquera avec un luxe de détails qu’un tiers a pillé son accès très très sécurisé. Devinez qui l’emportera ?
Le 1 septembre 2010 à 09:34
(28 361
lectures)
Il y a 179 commentaires
INpactien
Force est de constater qu'il est très simple, pour un utilisateur moyennement confirmé, de falsifier sa propre adresse IP en prenant celle d'un autre ordinateur.
Je suis peut être mauvais à part un accès wifi ouvert ou avec une clé WEP, je ne vois pas comment on utilise une autre IP facilement.
INpactien
goodwhitegod
Le mercredi 1 septembre 2010 à 09:42:12
#2
Inscrit
le vendredi 31 octobre 03
-
10242
commentaires
Normalement, le gouvernement est la vois du peuple... Non ?
Les lois sont faites pour le peuple... Non ?
Avec ce cas, je ne vois rien de cela.
Est-ce dues à leurs total INcompétences dans les domaines de l'informatique, de la politique et de l'humain (droit de l'homme) ?
Les lois sont faites pour le peuple... Non ?
Avec ce cas, je ne vois rien de cela.
Est-ce dues à leurs total INcompétences dans les domaines de l'informatique, de la politique et de l'humain (droit de l'homme) ?
INpactien
RoToR
Le mercredi 1 septembre 2010 à 09:42:22
#3
Inscrit
le mercredi 2 juillet 08
-
717
commentaires
et comme depuis le début des débats HADOPI, la charge sera à l'abonné de prouver que sa ligne a été piraté et si possible de trouver le vilain usurpateur d'IP 
INpactien
yeti62
Le mercredi 1 septembre 2010 à 09:42:32
#4
Inscrit
le mercredi 15 juillet 09
-
7438
commentaires
Je propose de demander à Monsieur le Ministre de la Culture Frédéric Miterrand (vous remarquerez le ton respectueux que j'emploie, histoire de ne pas être vu comme un effronté) sur quelles connaissances techniques (en termes de réseaux, ou de programmation) il se base pour dire que ces méthodes sont "inconnues du plus grand nombre" et "devraient rester limitées" ?
Sachant que c'est maintenant arrivé à la portée de toute personne sachant faire une recherche sur un moteur quelconque, j'ai du mal à croire que cet usage va rester limité, ou que certains développeurs hardis ne vont pas se lancer dans la création de programmes facilitant la falsification d'ip ou l'insertion dans dés réseaux Wifi soit-disant sécurisés...
Sachant que c'est maintenant arrivé à la portée de toute personne sachant faire une recherche sur un moteur quelconque, j'ai du mal à croire que cet usage va rester limité, ou que certains développeurs hardis ne vont pas se lancer dans la création de programmes facilitant la falsification d'ip ou l'insertion dans dés réseaux Wifi soit-disant sécurisés...
INpactien
patos
Le mercredi 1 septembre 2010 à 09:43:19
#5
Inscrit
le mercredi 7 novembre 07
-
6735
commentaires
Par ailleurs, « le fait d'utiliser l'adresse IP de quelqu'un d'autre pour commettre un acte de contrefaçon est également passible des peines que prévoit le Code pénal pour les usurpations d'identité commises en vue de commettre un délit. L'article 434-23 du Code pénal institue une peine de cinq ans d'emprisonnement et de 75 000 EUR d'amende à l'encontre des personnes qui prennent le nom d'un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales ».
Donc utiliser TOR est puni, ainsi que les VPNs... mais encore faut-il qu'ils puissent prouver la contrefaçon qui est derrière, ce qui risque d'être comique (surtout derrière TOR en fait).
INpactien
yeti62
Le mercredi 1 septembre 2010 à 09:43:45
#6
Inscrit
le mercredi 15 juillet 09
-
7438
commentaires
Je suis peut être mauvais à part un accès wifi ouvert ou avec une clé WEP, je ne vois pas comment on utilise une autre IP facilement.
Il paraît que le WPA ("simple", pas le WPA2) commence à montrer des signes de faiblesse, si la clé choisie n'est pas assez complexe
INpactien
Quelle bouillie indigeste tout ça... 
INpactien
huskie
Le mercredi 1 septembre 2010 à 09:48:23
#8
Inscrit
le mercredi 20 avril 05
-
29925
commentaires
Le ministère public aura cependant dans une main une adresse IP flashée par un agent assermenté avec un PV qui fait foi, et de l’autre notre bonne Mme Michu qui expliquera avec un luxe de détails qu’un tiers a pillé son accès très très sécurisé. Devinez qui l’emportera ?
Fastoche.
L'irréfragabilité étant flagrante, la procédure par injonction est inconstitutionnelle.
17. Considérant, en outre, qu'en vertu de l'article 9 de la Déclaration de 1789, tout homme est présumé innocent jusqu'à ce qu'il ait été déclaré coupable ; qu'il en résulte qu'en principe le législateur ne saurait instituer de présomption de culpabilité en matière répressive ; que, toutefois, à titre exceptionnel, de telles présomptions peuvent être établies, notamment en matière contraventionnelle, dès lors qu'elles ne revêtent pas de caractère irréfragable, qu'est assuré le respect des droits de la défense et que les faits induisent raisonnablement la vraisemblance de l'imputabilité ;
Décision n° 2009-580 DC du 10 juin 2009
Modérateur
atomusk
Le mercredi 1 septembre 2010 à 09:49:15
#9
Inscrit
le mardi 20 juillet 04
-
19844
commentaires
Non c'est tout ce qu'il y a de plus logique ...
Hadopi ne sanctionne pas la contrefaçon (ou piratage, le couteau entre les dents avec le perroquet et la jambe de bois), mais le "défaut de sécurisation" ou "négligeance carractérisé" ou "l'incompétence en informatique"
WEP au lieu de WPA ! hop ! un mail ! WPA avec un mot de passe trop faible ? HOP ! une lettre recommandée ! on ouvre un mail avec un PDF verollé qui fait une faille de buffer overflow qui permet au process de tuer le process d'antivirus/firewall et transforme ta machine en Pc proxy !
PLUS DE NET !
Aaaaah c'est beau l'avenir
Non ce que j'explique à tous ceux autour de moi c'est que pour Hadopi que sanctionne la "négligeance carractérisée", c'est parfait !
Pirate ? Oui, Négligeant ?? JAMAIS !
Hadopi ne sanctionne pas la contrefaçon (ou piratage, le couteau entre les dents avec le perroquet et la jambe de bois), mais le "défaut de sécurisation" ou "négligeance carractérisé" ou "l'incompétence en informatique"
WEP au lieu de WPA ! hop ! un mail ! WPA avec un mot de passe trop faible ? HOP ! une lettre recommandée ! on ouvre un mail avec un PDF verollé qui fait une faille de buffer overflow qui permet au process de tuer le process d'antivirus/firewall et transforme ta machine en Pc proxy !
PLUS DE NET !
Aaaaah c'est beau l'avenir
Non ce que j'explique à tous ceux autour de moi c'est que pour Hadopi que sanctionne la "négligeance carractérisée", c'est parfait !
Pirate ? Oui, Négligeant ?? JAMAIS !
INpactien
goodwhitegod
Le mercredi 1 septembre 2010 à 09:49:54
#10
Inscrit
le vendredi 31 octobre 03
-
10242
commentaires
...vois...
voix (à une touche près
) Il paraît que le WPA ("simple", pas le WPA2) commence à montrer des signes de faiblesse, si la clé choisie n'est pas assez complexe
Il n'y a pas de technique de sécurisation WiFi sûr...
Elles ont toutes été hackées ! (à part peut être RADIUS)
Edité par goodwhitegod le mercredi 1 septembre 2010 à 09:52
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
![[MàJ] Quand Google cache des poneys dans...](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui -
Adobe Reader Touch pour Windows 8 peut enfin imprimer
(3)
Une meilleure version que la classique
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable jusqu'au 20 mai -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable jusqu'au 20 mai
