Hadopi et eDonkey : découvrez les fichiers à ne pas télécharger
En 120 secondes chrono
« Parmi les clients du réseau eDonkey, certains lancent un si grand nombre de requêtes qu'il semble impossible qu'ils soient contrôlés par des utilisateurs normaux. Ils ressemblent bien plus à des robots logiciels, configurés pour chercher des fichiers bien précis ». Le décor, abrupt, est ainsi planté par Peerates, un des spécialistes français du réseau eDonkey, que nous avons pu rencontrer cette semaine à Paris.
Voilà un an, Peerates avait déjà repéré et déshabillé TMG sur le réseau eDonkey. Un simple Whois sur les IP récoltées permettait de savoir où le surveillant des ayants droit se nichait et ce qu’il faisait. En quelques clics, Peerates parvenait même à dresser une première liste des œuvres scrutées : des épisodes d’Heroes, les Chèvres du Pentagone, Inglourious Basterds, des albums de Michael Jackson, de David Guetta… Lors de ces phases de tests pré-Hadopi, la discrétion n’était pas la première des armes des surveillants (voir notre article).
Depuis TMG a fait le ménage : l’entreprise chargée de récolter les IP drainées ensuite à l’Hadopi, opère de manière un peu plus camouflée. Quel camouflage ? Peerates suppose « l’utilisation de VPN débouchant sur des adresses IP gérées par des opérateurs standard. Nous en avons détecté largement plus d’une centaine rien qu’en France, mais il y en a aussi en Angleterre, en Belgique, aux USA, en Espagne ou encore au Brésil et au Portugal ».
Certains indices permettent cependant de déceler de curieuses pratiques.
Lister les requêtes les plus actives sur eDonkey
Comment ? Peerates a développé depuis 2007 des outils pour observer et fournir des statistiques sur l’utilisation de cette technologie libre, par pays (voir pour la France, ou les autres pays, en cliquant sur les drapeaux correspondants). Dans sa dernière version, son outil permet une fonction simple : lister les IP les plus actives sur eDonkeys en fonction du nombre de requêtes.
Poru cela, allez sur cette page.
La flèche rouge affiche le détail des requêtes.
La flèche verte donne l'origine de la requête pour cette IP(VPN)
La flèche rouge affiche le détail de la surveillance pour un jour donné
La flèche verte donne le nombre de requête
La flèche bleue donne la liste des titres recherchés
La flèche rouge donne le ryhtme des requêtes (ici une requête chaque 2 minutes)
Fonction de ces requêtes
Un processus comme Hadopi repose sur une automatisation à outrance. Le principe de ces requêtes permet aux surveillants de construire d’abord une base de données pour planifier et récupérer des résultats, en fait des liens vers des fichiers. « Une fois ces résultats collectés, ils doivent être analysés afin de vérifier si le fichier concerne réellement l’œuvre surveillée ». À chaque téléchargement, les agents peuvent mettre à jour leur base de données et effectuer de nouvelles recherches en se focalisant sur le hachage md4, un code unique qui identifie formellement le fichier. Toutefois, le process n’est pas si simple : « qu’il s’agisse d’œuvre récente ou non, un fichier pirate peut apparaître à n’importe quel moment avec des spécifications différentes de la version précédente, ce qui nous ramène systématiquement au début du processus. »
Mais quels sont ces indices ? La signature de toutes ces requêtes est d’une, leur origine, un client Shareaza, et de deux, leur rythme : 120 petites secondes très exactement qui séparent la requête N de la requête N+1 (parfois 119 ou 121 secondes selon les accidents de parcours). L’outil statistique montre aussi que les principales IP plafonnent à 700 requêtes/jour.
Si ce n'est pas TMG, c'est un concurrent sérieux
TMG or not TMG ? Du fait de l’usage de VPN, on ne peut identifier les IP formellement et s’assurer qu’elles viennent de TMG. « Même si nous ne pouvons identifier l’origine de cette activité, on constate qu’il y a beaucoup de moyens techniques mis en œuvre et que les coûts engendrés sont donc importants. Par conséquent, il est plus que probable que seule une société puisse en être à l’origine et en constatant que certaines des recherches effectuées ne peuvent concerner que des ayants droit français et qu’il n’y a qu’une seule société française qui est mandatée pour intervenir sur le p2p, on peut en déduire que si ce n’est pas TMG, ils ont désormais une concurrence très sérieuse … »
Comme dit plus haut, toutefois, on peut dénombrer des activités suspectes, étranges, qui ne peuvent être que le fait d’un système automatisé d’une grande ampleur. Vraisemblablement, ces robots sont interfacés avec une base de données qui fournit les occurrences à traiter et pendant quelques jours, ils sont chargés de collecter tous les résultats possibles concernant une ou plusieurs œuvres.
Par exemple des recherches effectuées sur du contenu de Jean Patrick Capdevielle, en pleine nuit, toujours toutes les 120 secondes. Il s’agit alors soit d’un fan compulsif, soit d’un robot programmé pour des vérifications à la chaîne.
Une requête toute les 2 minutes à partir de nombreuses IP
Au fil des constats, on voit aussi des œuvres plus récentes qui remontent des statistiques. Ainsi, l’adresse IP 90.36.103.*** a recherché alternativement « Christophe Maé »et « The Tourist » dès la nuit du 2 mai. Des centaines de requêtes mitraillées à partir de 1h du matin, au rythme d’une toutes les deux minutes...
L’adresse 80.13.206.**, elle, s’est spécialisée durant plusieurs jours sur The Cure, Depeche Mode, Midnight Oil.
Dans les relevés, on remarque que cette surveillance est en étroite relation avec les diffusions télévisées. « Quand Mr Batignole passe à la TV le 14 avril,...
Il est traité le 16 avril, deux jours plus tard par les robots de manière automatisée » (voir la page). Curieux hasard non ?
Autre exemple ? La mère de Paul Da Silva (l’ex) président du Parti Pirate Français, a reçu une recommandation de la Hadopi (le blog de Paul da Silva). Elle s’est vu reprocher le téléchargement du film « Le Mytho » le jeudi 31 mars. Avec l’outil développé par Peerates, « si l’on observe les recherches de cette période sur nos pages, on constate que ce film a bien été traité par les robots dès le 28 mars » (un exemple, le 29).
Encore une fois, rien ne dit que ces activités sont celles de TMG, puisqu’on ne sait qui se cache derrière l’IP mais il y a des concomitances parfois curieuses, non ?
Voilà un an, Peerates avait déjà repéré et déshabillé TMG sur le réseau eDonkey. Un simple Whois sur les IP récoltées permettait de savoir où le surveillant des ayants droit se nichait et ce qu’il faisait. En quelques clics, Peerates parvenait même à dresser une première liste des œuvres scrutées : des épisodes d’Heroes, les Chèvres du Pentagone, Inglourious Basterds, des albums de Michael Jackson, de David Guetta… Lors de ces phases de tests pré-Hadopi, la discrétion n’était pas la première des armes des surveillants (voir notre article).
Depuis TMG a fait le ménage : l’entreprise chargée de récolter les IP drainées ensuite à l’Hadopi, opère de manière un peu plus camouflée. Quel camouflage ? Peerates suppose « l’utilisation de VPN débouchant sur des adresses IP gérées par des opérateurs standard. Nous en avons détecté largement plus d’une centaine rien qu’en France, mais il y en a aussi en Angleterre, en Belgique, aux USA, en Espagne ou encore au Brésil et au Portugal ».
Certains indices permettent cependant de déceler de curieuses pratiques.
Lister les requêtes les plus actives sur eDonkey
Comment ? Peerates a développé depuis 2007 des outils pour observer et fournir des statistiques sur l’utilisation de cette technologie libre, par pays (voir pour la France, ou les autres pays, en cliquant sur les drapeaux correspondants). Dans sa dernière version, son outil permet une fonction simple : lister les IP les plus actives sur eDonkeys en fonction du nombre de requêtes.
Poru cela, allez sur cette page.
La flèche rouge affiche le détail des requêtes.
La flèche verte donne l'origine de la requête pour cette IP(VPN)
La flèche rouge affiche le détail de la surveillance pour un jour donné
La flèche verte donne le nombre de requête
La flèche bleue donne la liste des titres recherchés
La flèche rouge donne le ryhtme des requêtes (ici une requête chaque 2 minutes)
Un processus comme Hadopi repose sur une automatisation à outrance. Le principe de ces requêtes permet aux surveillants de construire d’abord une base de données pour planifier et récupérer des résultats, en fait des liens vers des fichiers. « Une fois ces résultats collectés, ils doivent être analysés afin de vérifier si le fichier concerne réellement l’œuvre surveillée ». À chaque téléchargement, les agents peuvent mettre à jour leur base de données et effectuer de nouvelles recherches en se focalisant sur le hachage md4, un code unique qui identifie formellement le fichier. Toutefois, le process n’est pas si simple : « qu’il s’agisse d’œuvre récente ou non, un fichier pirate peut apparaître à n’importe quel moment avec des spécifications différentes de la version précédente, ce qui nous ramène systématiquement au début du processus. »
Mais quels sont ces indices ? La signature de toutes ces requêtes est d’une, leur origine, un client Shareaza, et de deux, leur rythme : 120 petites secondes très exactement qui séparent la requête N de la requête N+1 (parfois 119 ou 121 secondes selon les accidents de parcours). L’outil statistique montre aussi que les principales IP plafonnent à 700 requêtes/jour.
Si ce n'est pas TMG, c'est un concurrent sérieux
TMG or not TMG ? Du fait de l’usage de VPN, on ne peut identifier les IP formellement et s’assurer qu’elles viennent de TMG. « Même si nous ne pouvons identifier l’origine de cette activité, on constate qu’il y a beaucoup de moyens techniques mis en œuvre et que les coûts engendrés sont donc importants. Par conséquent, il est plus que probable que seule une société puisse en être à l’origine et en constatant que certaines des recherches effectuées ne peuvent concerner que des ayants droit français et qu’il n’y a qu’une seule société française qui est mandatée pour intervenir sur le p2p, on peut en déduire que si ce n’est pas TMG, ils ont désormais une concurrence très sérieuse … »
Comme dit plus haut, toutefois, on peut dénombrer des activités suspectes, étranges, qui ne peuvent être que le fait d’un système automatisé d’une grande ampleur. Vraisemblablement, ces robots sont interfacés avec une base de données qui fournit les occurrences à traiter et pendant quelques jours, ils sont chargés de collecter tous les résultats possibles concernant une ou plusieurs œuvres.
Par exemple des recherches effectuées sur du contenu de Jean Patrick Capdevielle, en pleine nuit, toujours toutes les 120 secondes. Il s’agit alors soit d’un fan compulsif, soit d’un robot programmé pour des vérifications à la chaîne.
Une requête toute les 2 minutes à partir de nombreuses IP
Au fil des constats, on voit aussi des œuvres plus récentes qui remontent des statistiques. Ainsi, l’adresse IP 90.36.103.*** a recherché alternativement « Christophe Maé »et « The Tourist » dès la nuit du 2 mai. Des centaines de requêtes mitraillées à partir de 1h du matin, au rythme d’une toutes les deux minutes...
L’adresse 80.13.206.**, elle, s’est spécialisée durant plusieurs jours sur The Cure, Depeche Mode, Midnight Oil.
Dans les relevés, on remarque que cette surveillance est en étroite relation avec les diffusions télévisées. « Quand Mr Batignole passe à la TV le 14 avril,...
Il est traité le 16 avril, deux jours plus tard par les robots de manière automatisée » (voir la page). Curieux hasard non ?
Autre exemple ? La mère de Paul Da Silva (l’ex) président du Parti Pirate Français, a reçu une recommandation de la Hadopi (le blog de Paul da Silva). Elle s’est vu reprocher le téléchargement du film « Le Mytho » le jeudi 31 mars. Avec l’outil développé par Peerates, « si l’on observe les recherches de cette période sur nos pages, on constate que ce film a bien été traité par les robots dès le 28 mars » (un exemple, le 29).
Encore une fois, rien ne dit que ces activités sont celles de TMG, puisqu’on ne sait qui se cache derrière l’IP mais il y a des concomitances parfois curieuses, non ?
Marc Rees
le 4 mai 2011 à 15:22
(55 461
lectures)
Actualités et brèves relatives
- 04 / 05 / 2011 : Chez Google comme ailleurs, Torrent, Rapidshare, Megaupload sont ...
- 03 / 05 / 2011 : Hadopi suspendra l'accès au net, non aux correspondances privées
- 02 / 05 / 2011 : Hadopi a demandé aux FAI d'évaluer les coûts de la suspension
- 29 / 04 / 2011 : Les DSLAM de Bouygues Télécom déjà Hadopi Ready
- 26 / 04 / 2011 : Hadopi : analyse collégiale des spécifications fonctionnelles des ...
- 21 / 04 / 2011 : Hadopi : vidéoprotection en façade, vidéosurveillance en coulisse
- 06 / 09 / 2010 : Hadopi : la pêche aux IP, le péché des relevés
- 10 / 06 / 2010 : HADOPI : les griffes de TMG dans les mains de la CNIL (MàJ)
- 10 / 06 / 2010 : La CNIL dément tout lien entre l'avis TMG/Hadopi et son budget
Il y a 128 commentaires
- Dimanche, c'est la fête des Mères, voici plusieurs sélections d'idées de cadeaux
- Dispo : Vertex Plus R2 d'OCZ, des SSD à partir de 0,8 € / Go arrivent en précommande
- [MàJ] Le Galaxy SIII enfin disponible à partir de 169 € chez les opérateurs
