On pensait avoir vu le pire avec la première version des spécifications fonctionnelles des moyens de sécurisation que devra labelliser l'Hadopi. La seconde est bien pire. Sous couverts d'options qui n'en seront pas vraiment, le cahier des charges ouvre un boulevard au filtrage au coeur des box ADSL, et construit un flicage de l'abonné sans équivalent au monde.

La Haute Autorité pour la Diffusion des Oeuvres et la Protection des Droits sur Internet (Hadopi) a publié ce mercredi son nouveau projet de spécifications fonctionnelles des moyens de sécurisation, dont nous rappelions plus tôt le cadre juridique et le peu d’ambition en matière d’efficacité. Sa lecture approfondie démontre en revanche une réelle volonté de rendre le filtrage aussi intrusif que possible, en exploitant au maximum le fait que les utilisateurs accepteront eux-mêmes de se faire filtrer pour leur propre sécurité juridique.

Si la première version du document rédigé par Michel Riguidel avait été prudente sur le filtrage au coeur des box ADSL, en l’évoquant simplement au détour d’un paragraphe, le nouveau projet (.pdf) est beaucoup plus précis. Cette possibilité, appelée de ses voeux par Vivendi, transparaît dans l’ensemble des spécifications fonctionnelles. Ainsi en page 10, il est prévu que les mesures techniques de sécurisation puissent être mises en œuvre « via des fournisseurs de services (FAI, Opérateurs de télécoms, Opérateurs de sécurité, etc.)« , et pas simplement par des logiciels installés localement. En page 13, il est précisé que « si l’Application est opérée sous forme de service, à l’extérieur du réseau local privé, le titulaire de l’accès internet maîtrise à tout moment les paramètres de sa politique de sécurité et les informations protégées de son Application« . Restera à voir comment cette solution gérée par les FAI s’articule avec l’interdiction d’installer une solution de sécurisation « au coeur du réseau public« , certains fournisseurs d’accès comme Free estimant que le boîtier ADSL est une composante essentielle de leur réseau.

Ainsi le filtrage pourra être déporté directement dans les boîtiers de connexion à Internet. Le document dit d’ailleurs que « les actions possibles s’étendent sur toute la palette des protocoles (pair-à-pair, streaming, téléchargement direct, messagerie instantanée…, cloud computing) de l’internet », ce qui va bien au delà de ce que permet la loi pour la riposte graduée.

Par ailleurs en page 73, il est prévu la possibilité que les fournisseurs d’accès à Internet livrent des statistiques sur le volume d’échange des données, pour comparer avec les statistiques recueillies par les moyens de sécurisation installés par l’utilisateur. Ainsi, si l’utilisateur installe un logiciel labellisé sur un ordinateur et pirate avec un autre, la différence entre le volume de téléchargement déclaré par le logiciel et le volume déclaré par le FAI compromettra l’utilisateur.

Une journalisation très intrusive, optionnelle mais fortement conseillée

La vie privée est fortement mise à mal dans cette nouvelle version des fonctionnalités pertinentes. Contrairement au premier document Riguidel, celui-ci étend considérablement l’enregistrement des actions des utilisateurs dans un journal (la « journalisation »). Il prévoit en effet que « les URL visités et les noms des fichiers téléchargés en outrepassant la politique de sécurité, seront enregistrés dans le journal en clair ou dans le journal chiffré » (p .14). Certes, seul l’abonné détient ce journal, où les éléments sont inscrits en version « hashée », c’est-à-dire en principe indéchiffrable. Mais en page 22 , il est clairement indiqué en note de bas de page – c’est pourtant un élément crucial qui méritait meilleure place – que « ce hachage est réversible ; la fonction est connue du seul Éditeur, qui est à même de procéder au retour en clair à la demande d’un juge« . Lequel pourra le demander y compris dans des procédures hors Hadopi.

Seront ainsi enregistrées toutes les URL visitées par l’utilisateur et les fichiers qui appartiennent à une « liste noire » probablement établie sous le contrôle de l’Hadopi (le document n’est pas clair sur ce point). En page 30, le projet précise que ces listes noires pourront couvrir des noms de logiciels, des fichiers, des protocoles, des URL, des sites web interdits par décision de justice, des ports, des plages de ports, ou des adresses IP ! Bref, la liste est longue et l’intrusion manifeste.

Pour rassurer la populace, l’Hadopi prévient cependant que ce module de journalisation est optionnel (p. 20). Ouf. Sauf qu’il sera vivement conseillé de l’activer. Ainsi en page 74, il est précisé que les logiciels devront proposer différents profils de sécurisation, avec l’option de journalisation activée ou non, qui seront définis notamment « selon le degré de risques accepté par le responsable de l’abonnement« . Or l’infraction de négligence caractérisée visant ceux qui n’installent pas un moyen de sécurisation « avec diligence », le degré zéro de risque sera la règle, et la non journalisation l’exception. D’autant qu’il sera très bien vu de livrer ses journaux à la Commission de Protection des Droits (CPD) de l’Hadopi et/ou au juge en cas de poursuites, pour prouver sa bonne foi.

Le but est ainsi de faire accepter l’inacceptable par une illusion de libre arbitre, en fait annulée par la menace de poursuites judiciaires. Machiavélique à souhait.