Elle a fait beaucoup parler d'elle dans les milieux spécialisés, mais n'a je crois pas encore très couverte par les médias grand public : l'assignation « contre AlloStreaming » devant le Tribunal de Grande Instance de Paris. Expliquons un peu les enjeux, qui dépassent d'ailleurs largement la lutte contre le « piratage ».

Les grandes lignes

On associe généralement la copie illicite d'œuvres sur Internet à l'usage de réseaux « pair à pair », contre l'usage illicite desquels on a mis en place en France la fameuse HADOPI (dont je salue au passage le secrétaire général, s'il me lit). Cependant, ces dernières années s'est développé un autre procédé, bien plus direct : le « streaming » et sa variante le « téléchargement direct ». De quoi s'agit-il ?

Il existe divers sites Web dont la seule activité est de permettre aux internautes d'y déposer des fichiers qu'ils peuvent ensuite récupérer, ou donner à récupérer à d'autres internautes simplement en donnant un lien vers ceux-ci ; citons MegaUpload.com, Uploading.com, FileSonic.com, FileServe.com... Ces plates-formes ont des usages licites : un internaute qui a un gros volume de données à envoyer à des interlocuteurs (par exemple, des photographies de mariage ou de vacances à envoyer à la famille), ou à mettre à disposition du public, peut les utiliser pour héberger le contenu. Elles ont des usages illicites : on peut y mettre des copies de logiciels, musique, films etc. protégés par le droit d'auteur et/ou des droits voisins, et dont les ayant-droit n'agréent pas à pareille mise à disposition.

Selon le droit européen (article 15 de la directive 2000/31/CE) et le droit français (article 6 alinéa 7 de la Loi sur la confiance dans l'économie numérique), les opérateurs techniques de l'Internet et notamment les hébergeurs ne sont soumis à aucune obligation générale de surveillance et de recherche des contenus illicites. Le pourraient-ils seulement ? Si un internaute prend un logiciel et le met dans une archive à accès protégé par mot de passe, puis le met en ligne sous le nom photo_de_mariage_de_Fred, que pourrait bien faire l'hébergeur pour savoir que ce fichier est illicite ?

Bien entendu, ce qui vaut pour l'hébergeur vaut aussi pour les autres internautes : qui pourrait bien se douter que l'on peut trouver ce logiciel sous un nom pareil sur ce site ? Le manque à gagner pour les producteurs du contenu illicitement copié est limité, tant que la localisation du fichier à télécharger se transmet par bouche-à-oreille...

Pour pallier cette difficulté (difficulté du point de vue de ceux qui mettent ou visualisent en ligne du contenu illicite, cela s'entend), des sites d'annuaires de liens vers des téléchargements ou des streams d'œuvres licitement ou illicitement mises en lignes ont fleuri. Ces sites, financés par la publicité, affirment être dans la légalité car ils n'hébergent aucun contenu illicite : ils se contentent de dire où celui-ci se trouve sur la toile...

La réponse de certains représentants des ayant-droit : bloquer ou du moins rendre difficile l'accès à ces annuaires, ou du moins les plus connus d'entre eux. C'est pour demander cela que l'Association des producteurs de cinéma, la Fédération nationale des distributeurs de films, et le Syndicat de l'édition vidéo numérique assignent en référé divers prestataires techniques de l'Internet (les principaux fournisseurs d'accès à Internet et moteurs de recherche). L'assignation, gracieusement mise en ligne par PC Impact, fait une centaine de pages, résumons-donc en les points saillants.

Tout d'abord, pourquoi ce sont les prestataires techniques qui sont assignés, et non les sites d'annuaires. L'assignation relève que les gestionnaires de ces derniers se dissimulent derrière des procédures d'anonymisation et des prestataires situés dans des pays lointains. Ici, le lecteur ne pourra que reconnaître les procédés qui font le succès des armateurs de navires (pavillons de complaisance), de ceux qui veulent échapper aux impôts (dont, d'ailleurs, certaines vedettes de la chanson et du cinéma... qui veulent garder leur liberté de penser, sans doute) et de ceux qui veulent échapper à la justice (*) : toucher des recettes en Europe, mais se domicilier ailleurs et utiliser des représentants ou des sociétés-écrans. Devant la difficulté de poursuivre ceux qui gèrent réellement ces sites et en touchent les bénéfices, les ayant-droit ont renoncé. Il est par comparaison beaucoup plus simple d'atteindre des prestataires techniques tels que Free et Orange (basés en France) ou encore Google et Microsoft (moteur de recherche Bing), certes basés aux États-Unis mais ayant une présence en France.

Le but de l'assignation est de rendre, sinon impossible, du moins difficile pour les internautes de chercher des liens sur le site AlloStreaming et les sites associés. Pour cela, elle réclame des mesures de trois ordres :

  1. aux principaux moteurs de recherche : de ne plus référencer les pages de ces sites ;

  2. aux fournisseurs d'accès à Internet, de ne plus rendre les résultats de DNS pour ces sites (je vais expliquer ce concept) ;

  3. aux fournisseurs d'accès à Internet, de filtrer les adresses IP de ces sites (là encore, je vais expliquer ce concept).

Commençons par le plus simple. Un moteur de recherche tel que Google ou Bing présente aux internautes des résultats de recherche en fonction de la requête formulée, et peut très simplement ôter de ces résultats ceux qui pointent vers un site répertorié sur une liste noire. Google a d'ailleurs déjà supprimé AlloStreaming de ses résultats. Comme la plupart des internautes cherchent et trouvent leur information via ces moteurs, cela assurera une diminution du trafic des sites en question. Bien sûr, ces sites peuvent rouvrir sous un autre nom, non présent dans la liste noire ; mais il leur faudra du temps pour retrouver la célébrité sous ce nouveau nom, temps pendant lequel ils occasionneront moins de manque à gagner aux ayant-droit ; si leur nouveau nom devient lui-même bien connu, il sera alors temps de le rajouter sur la liste noire.

Une suggestion dangereuse

Passons maintenant aux autres points, plus techniques : d'abord le point 2.

Lorsque vous accédez au Web ou à tout autre service Internet, vous contactez des machines qui répondent à vos demandes. De la même façon que pour envoyer un courrier postal, il faut l'adresse du destinataire, les machines connectées à Internet ont une adresse, dite « adresse IP ». Celle-ci se présente habituellement sous la forme de quatre nombres séparés par des points, par exemple 198.51.100.25. On peut voir cette adresse comme une sorte de « numéro téléphonique » identifiant la machine destinataire, au niveau mondial (d'ailleurs, l'épuisement des adresses sous cette forme, dite IPv4, a amené à passer à un format plus long et comportant plus de nombres, dit IPv6, mais celui-ci n'est pas encore largement déployé ; c'est un peu comme le passage de la numérotation téléphonique à 8 chiffres à celle à 10 chiffres). De la même façon que les premiers chiffres du code postal ou du numéro téléphonique (du moins sur les lignes fixes France Télécom) identifient une zone géographique, les premiers numéros de l'adresse IP identifient un prestataire Internet (je simplifie).

L'usage de l'Internet serait assez malaisé s'il fallait que les utilisateurs se rappellent de ces adresses : aussi préfère-t-on taper Google.com à taper 74.125.39.147. Pour passer de façon transparente de l'un à l'autre, il faut un service d'annuaire automatique : celui-ci s'appelle le DNS (Domain name system). Sans que vous vous en rendiez compte, votre ordinateur fait des requêtes DNS à chaque fois que vous utilisez un nom tel que Google.com, Free.fr, Ebay.fr, www.CNRS.fr, www-verimag.imag.fr.

Un service comme le DNS s'écroulerait s'il était totalement centralisé. Aussi, les prestataires de service Internet, ou les organismes disposant d'importants réseaux informatiques, disposent-ils de « caches » de DNS qui mémorisent les réponses au cas où elles resserviraient prochainement. Ainsi, quand vous allez sur voyages-sncf.com, votre ordinateur demande à votre prestataire Internet à quelle adresse IP ce site correspond, et votre prestataire répond immédiatement car d'autres personnes avant vous ont récemment accédé à ce site, et la réponse est encore dans la « mémoire cache » du prestataire. Ceci permet d'éviter l'engorgement.

L'assignation demande donc aux principaux prestataires d'accès Internet français de fausser les réponses aux requêtes DNS concernant les sites visés. Au lieu de répondre que www.allostreaming.com est à l'adresse 95.211.83.40, par exemple, le service DNS de votre prestataire mentira et répondra que ce site n'existe pas (voire renverra vers un autre site).

Toutefois, la plupart des prestataires Internet ne vous obligent pas à passer par leurs serveurs de DNS : c'est simplement le réglage par défaut. Il est possible de gérer le DNS entièrement en interne, ou de passer par des serveurs publics alternatifs de DNS (Google DNS, OpenDNS, etc.). Bien sûr, on peut vouloir faire cela afin de contourner les éventuels filtrages imposés pour lutter contre le « piratage », mais il y a bien d'autres raisons :

  1. Les serveurs DNS de certains prestataires Internet souffrent de dysfonctionnements à répétition. Il m'est assez fréquemment arrivé, lors d'usages de bornes WiFi ou lorsque j'étais chez mon prestataire précédent, de passer sur une résolution DNS interne afin de pouvoir continuer à accéder à Internet avec un confort de navigation raisonnable. Cette possibilité de pouvoir contourner un service en panne ou au fonctionnement défectueux est une des bases du bon fonctionnement d'Internet et une raison de son succès, par comparaison à des services centralisés (il suffit de constater l'impact des pannes des services centralisés de messagerie BlackBerry).

  2. Certains prestataires Internet imposent aux usagers de leurs services DNS une fonctionnalité douteuse : au lieu de renvoyer un message « ce site n'existe pas » en réponse à une demande pour un site qu'ils n'existent pas, ils mentent et renvoient sur une page de publicité.

  3. On a récemment mis en place un système de sécurisation des informations DNS, permettant notamment de lutter contre les fraudes et escroqueries (phishing etc.). Les informations nécessaires au bon fonctionnement de ce système, appelé DNSSEC, sont supprimées par certains prestataires, sans doute parce qu'ils ont paramétré leurs systèmes avant le déploiement de DNSSEC et n'ont pas pris la peine de mettre à jour leur configuration. Il est donc nécessaire, dans ce cas, d'utiliser une résolution DNS alternative. Il ne s'agit pas là de pratiques ésotériques ou demandant de profondes connaissances en informatique : par exemple, le logiciel DNSSEC-trigger s'installe très simplement sur Windows, Mac ou Linux, et ensuite, de façon transparente pour l'utilisateur, contourne le système DNS du fournisseur d'accès Internet si celui-ci gêne l'utilisation de la sécurisation DNSSEC.

Aussi doit-on s'alarmer de la suggestion, figurant page 78 (page 70 du PDF) de l'assignation, d'une

« […] interdiction de l'usage par les abonnés d'un service (empêchant les utilisateurs de changer les adresses IP DNS fournies dans le cadre de l'abonnement souscrit auprès du [fournisseur d'accès Internet] pour leur substituer par exemple des services tels que OpenDNS, Google DNS etc...) »

Il s'agirait donc bien de forcer tous les internautes à n'utiliser que les services DNS de leur fournisseur d'accès, et de leur interdire l'accès aux services alternatifs, au motif de faciliter le filtrage. Je trouve pareille suggestion choquante, car il existe des raisons tout à fait respectables (par exemple celles citées ci-dessus) pour lesquelles un internaute peut vouloir utiliser un système DNS alternatif. Les internautes qui ne téléchargent pas de contenus illicites n'ont pas à souffrir d'effets secondaires de litiges qui ne les concernent nullement.

Les difficultés techniques du blocage

Passons maintenant au troisième point.

L'assignation admet que les services visés pourraient changer d'adresse plus vite que les procédures judiciaires ne permettraient de désigner de nouvelles adresses à bloquer. De plus, les adresses libérées par la migration des sites vers des adresses non bloquées, pourraient être allouées à d'autres sites (rappelons qu'il y a pénurie d'adresses IPv4 libres), de sorte que des sites innocents pourraient être bloqués.

Elle réclame donc que des prestataires techniques privés soient autorisés à fournir en temps réel aux fournisseurs d'accès Internet une liste noire de sites à bloquer, désignés par leur adresse IP, et que ceux-ci aient obligation de la mettre en œuvre.

Une difficulté du blocage par adresse IP, il me semble non soulevée dans l'assignation, est que plusieurs sites sans rapport les uns avec les autres peuvent être hébergés à la même adresse (rappelons là encore qu'il y a pénurie). Pour prendre un exemple concret, déjà soulevé par Reflets.info, le site werebuild.eu, désigné page 84 de l'assignation (page 76 du PDF) comme hébergeant des listes de « copies miroir » de sites illicites, héberge également des informations de coordination destinées à ceux qui en Syrie ou dans d'autres dictatures luttent contre le pouvoir en place. Notons également une association d'idées assez dérangeante : dans le même paragraphe, un site est désigné comme « lié aux mouvances libertaires et anarchistes », comme si cela devait constituer une présomption d'illégalité ou désigner préférentiellement au blocage.

Le blocage par adresse IP est donc une arme difficile à manier, avec des risques de surblocages collatéraux. Quelles sont les alternatives ?

  1. Le « filtrage hybride », en résumé, intercepte partiellement les communications afin de permettre un filtrage plus fin au sein d'un site, de ne bloquer que certaines pages et non d'autres. Sa mise en œuvre est difficile ; j'ai déjà parlé ici d'un fiasco causé par un filtrage abusif exercé par l'autorité privée britannique de l'Internet.

  2. Le « deep packet inspection » est également intrusif. Notons que nous avons en France des experts de cette technologie : d'après différents média, une société française filiale d'un groupe bien connu aurait vendu au régime libyen des dispositifs la mettant en œuvre, que ce régime aurait utilisé pour espionner ses dissidents. Pareil antécédent devrait nous inciter à la prudence : si, pour agréer aux demandes catégorielles des ayant-droit, on mettait en place pareil système en France, il serait extrêmement tentant de l'utiliser pour d'autres fins. Rappelons qu'en France, des magistrats et des policiers sont actuellement accusés d'avoir indûment demandé des listings détaillés de factures téléphoniques (les fameuses « fadettes »), et ce pour des raisons de commodité politique.

La course à l'armement

Imaginons que les ayant-droit parviennent à faire bloquer les sites d'annuaire de contenus illicites au niveau des moteurs de l'adresse IP et des DNS. Ces sites pourraient fort bien réémerger par exemple comme services sur le réseau TOR. Ce réseau est justement conçu pour que l'on ne puisse pas facilement exercer d'espionnage ou de censure pour les communications ; il est utilisé par des dissidents politiques dans divers pays autoritaires mais dotés d'accès à Internet.

La tentation sera alors éventuellement de réclamer l'interdiction de TOR. Le problème, c'est que sur TOR, on ne peut pas couper l'accès au contenu « légitimement illicite » (le contenu illicite au vu du droit français) sans couper l'accès au contenu « illégitimement illicite » (celui pourchassé par les régimes autoritaires). Il faut bloquer TOR dans son ensemble.

Gageons qu'alors on trouvera un moyen de faire passer TOR dans des communications VPN ou SSH, utilisées notamment pour le télétravail (accès sécurisé aux réseaux d'entreprise depuis des lieux qui ne le sont pas forcément : WiFi public, etc.). Les ayant-droit demanderont-ils alors l'interdiction des VPN ou de SSH ?

On le voit, nous sommes engagés dans une course à l'armement, contre laquelle j'avais mis en garde déjà en 2006. Il va falloir être vigilant, afin que les bisbilles entre ayant-droit et sites de téléchargement illicites, auxquelles une grande part des internautes sont étrangères, n'aient pas d'effets collatéraux négatifs, que ce soit sur la fiabilité du réseau, sur les libertés individuelles ou sur la liberté d'expression, notamment dans les régimes autoritaires.

(*) Je ne résiste pas à rappeler qu'une des principales organisations d'ayant-droit français, la Société des auteurs-compositeurs dramatiques (SACD), héberge fièrement sur son site une pétition en faveur de Roman Polanski, prétendant à l'« extraterritorialité » des festivals internationaux de cinéma par rapport au droit pénal. Par ailleurs, le directeur général de la SACD, Pascal Rogard, a approuvé ce matin sur Twitter l'assignation sujet de ce billet :

« Qui peut raisonnablement défendre les mafias du streaming illicite On verra si la loi en vigueur est adaptée à cette forme de criminalité. »

Il semble donc que M. Rogard considère que les sites de téléchargement qui se jouent des frontières pour échapper à la justice dans une affaire de manque à gagner pour l'industrie cinématographique, c'est mal, mais que la société qu'il dirige considère qu'en revanche c'est une excellente chose qu'un réalisateur connu fasse de même dans une affaire de viol de mineure de moins de quinze ans.

PS : L'assignation relève, comme preuve de compétence en matière de réseaux d'un consultant technique, que celui-ci est polytechnicien. Avec tout le respect que je dois à mes étudiants passés, présents et futurs, je peux attester qu'être polytechnicien n'implique pas la compétence en informatique. Ceci n'est pas un commentaire à l'encontre du consultant en question, que je n'ai pas l'honneur de connaître, juste un constat.