vendredi, octobre 14, 2011

Référé contre FAI (2)

Bon, je suis allé à l'audience de délibéré, sauf que ce n'était pas dans la même salle que la dernière fois (je pense que c'était dans le bureau du juge en fait), et donc que je n'ai pu qu'écouter ce qu'ont dit les avocats à la sortie ...

Mme le Juge des référés a donc demandé aux 6 FAI de bloquer le site complet par filtrage IP ou DSN (sic).

Cette décision est tout sauf une surprise pour moi :
  • Le blocage par URL n'était pas possible, d'abord parce que le site n'est accessible qu'en HTTPS (argument peu développé à l'audience et pas repris dans le jugement) et, nonobstant cette particularité, parce que le filtrage par URL demanderait l'installation de systèmes DPI que les FAI affirment ne pas posséder ;
  • Le délit est constitué (Injures, Collectes de données personnelles) au vu de la loi (1881 pour l'injure, loi du 6 Janvier 1978 pour les données) ;
  • La LCEN prévoit depuis 2004 que les fournisseurs peuvent être requis dans le cas ou l'hébergeur ne peut pas l'être.
Le juge n'avait donc pas beaucoup de raisons de refuser la demande à mon sens, et donc d'imposer la mesure la plus limitée techniquement possible : bloquer l'accès complet. La mesure est temporaire, en attendant l'issue des plaintes déposées par le Ministère de l'Intérieur. Ce qui est très intéressant, c'est que le jugement reconnait que les FAI seront indemnisés pour le blocage (c'est le moment de faire développer le DPI dans les *BOX avec les sous de l'État !). Il n'y a pas d'astreinte, considérant que les FAI ne sont pour rien dans le délit initial et qu'ils sont de bonne volonté.

Bien sûr tout le monde sait que le site va changer de domaine, d'adresse IP, qu'on peut utiliser des serveurs DNS qui ne sont pas ceux du FAI, que des dizaines de mirroirs existent, qu'on peut utiliser Tor ou un proxy au Belouchistan, ... et donc que cette mesure n'empêchera pas complètement l'accès au site. Je pense simplement que le Ministère ne pouvait pas donner l'impression de laisser tomber les policiers, surtout vu les échéances à venir, et que cette préoccupation est sans doute la principale motivation de cette action.

Plusieurs questions et réflexions :
  • Pourquoi attaquer ces 6 FAI et pas d'autres, même s'ils sont plus petits (Nerim, FDN, ...) ?
  • Ce blocage n'affectera évidemment que les FAI résidentiels, les accès en entreprise ne sont, pour la plupart, pas concernés (il aurait fallu imposer un blocage IP au niveau de tous les opérateurs de transit IP en France) et je suis notamment sûr qu'il restera accessible depuis beaucoup d'administrations bien après que les FAI aient appliqué la demande ^^ ;
  • Je n'ai toujours pas compris pourquoi Gandi, bureau d'enregistrement du domaine, n'a pas été assigné, alors qu'il était le plus à même de faire cesser l'infraction de manière plus définitive ;
  • Est-ce que ce jugement peut en amener d'autres avec des requérants moins régaliens ? Pour ma part, je pense que l'effet "Streisand" déjà en cours et les contournements possibles sont de puissants freins, et je ne le pense donc pas ;
  • On m'a demandé si les miroirs étaient visés : la Justice a pris déjà une décision en une semaine, elle ne peut pas juger quelque chose qui est apparu hier ... Mais j'espère pour eux que les gens qui font des miroirs ont l'intelligence d'être très bien cachés et sont courageux, parce que le Ministère n'a pas l'air de plaisanter...

Une dernière réflexion personnelle : quand les gens d'un bord politique précis, élus sans discontinuité depuis 2002, disent qu'ils veulent "réguler" et "civiliser" l'Internet, et bien au final, contre toute attente, ils le font ! Ils ont certainement tort, mais ils ont une certaine légitimité pour faire la loi, et la Justice l'applique. Dans une République, le peuple fait changer la loi en élisant des députés et un exécutif, d'abord en votant, et, pour les plus courageux, en militant dans de vrais partis politiques, et pas seulement des groupes de pression ne luttant que pour "la neutralité du Net" ou "Hadopi caca ..". Quand nous aurons de nouveau compris cela, collectivement, alors beaucoup de choses iront mieux.


mercredi, octobre 12, 2011

Référé contre les FAI.

Comme je l'ai narré sur twitter, je suis allé ce matin à l'audience publique du référé intenté par Claude Guéant, Ministre de l'Intérieur contre 6 Fournisseurs d'accès internet (France Telecom Orange, SFR, Free, Numéricable, Bouygues Telecom et Darty Telecom) afin de faire interdire l'accès par leurs abonnés à certaines pages du site Copwatch.

Ce site (dont l'hébergeur est américain ainsi que le montre Spyou, et dont le domaine a été fourni par le bureau d'enregistrement français Gandi) diffuse des photos de policiers en civils, ainsi que pour certain d'entre eux, leur identité complète. Le site est clairement anti-flics, voire franchement haineux. Je n'ai pas de raison particulière d'aimer la police, ni de la détester d'ailleurs, et je trouve ces méthodes au moins aussi lamentables que les actions qu'elles prétendent dénoncer.

A vrai dire, s'il n'y avait pas eu cette assignation ni les plaintes pénales que le Ministère a formé, je pense que ce site serait passé inaperçu, au moins du grand public.

Ce qui m'intéressait, c'était de voir comment la Justice allait se débrouiller avec une énorme contradiction technique :
  • Afin de ne pas apparaître trop comme un censeur, le Ministre demandait le filtrage de certaines pages seulement (les pages injurieuses et celles contenant des coordonnées de policiers) ;
  • Le site n'est accessible qu'en HTTPS.
Même le meilleur système de DPI ne saurait résoudre directement cette équation, puisque l'analyse des URLs demandées par le navigateur nécessiterait de déchiffrer le trafic SSL et donc de pouvoir générer des certificats validés par le navigateur. Ce n'est évidemment pas impossible, l'attaque récente sur les internautes iraniens après le piratage de DigiNotar le montre, mais cela impliquerait évidemment qu'une autorité reconnue par un nombre suffisants de navigateurs, par exemple l'autorité de certification IGC/A du SGDN soit implantée dans le système DPI chez chaque FAI et génère des certificats à la volée. Inutile de dire que ce n'est pas son rôle (mais si on a des doutes on peut toujours la désinstaller de son navigateur).

Etonnament, cet argument a été peu utilisé par les avocats de la Défense, qui ont plaidé à tour de rôle. Seul l'avocat d'Orange qui a parlé en premier l'a abordé, mais en étant presque incompréhensible (dur pour moi de ne pas intervenir à ce moment, ceux qui ont travaillé avec moi voient de quoi je parle ^^).

Ils ont tous mis en avant évidemment l'impossibilité technique de filtrer par URL sans installer de coûteux systèmes DPI (qu'ils jurent tous ne pas avoir, alors qu'on sait qu'au moins pour les accès smartphone, c'est faux), et ont expliqué qu'ils pouvaient si on les forçait, filtrer par DNS ou par IP (et SFR a eu l'intelligence d'expliquer que c'était très inefficace) en utilisant le rapport rédigé par la FFTCE à l'occasion je crois de la loi LOPSI2.

L'avocat du Ministère a répondu par avance dans son exposé que ce n'était pas son problème, et que la loi LCEN de 2004 obligeait les fournisseurs d'accès à filtrer si l'hébergeur n'est pas contactable ou n'est pas facilement sanctionnable : "Peu me chaut" a-t-il répété.
En étant tellement éloigné de la réalité (je ne peux pas croire qu'aucun expert du Ministère n'a pu l'aider, j'en connais), on peut même se demander si son but final n'était pas de faire passer le message "Nous voulions filtrer seulement certaines pages, ces crétins d'informaticiens ne peuvent pas, alors maintenant tout le site est bloqué".
L'avocate du syndicat de policiers "Alliance" a tenu le même propos, en expliquant qu'un policier avait reçu une cartouche dans sa boîte à lettres et que la montée de la haine contre la Police inquiétait les fonctionnaires.

Le reste de l'audience était très intéressant, avec des différences subtiles entre les FAI :
  • chez Bouygues on explique qu'on peut pas filtrer l'URL mais qu'on est prêt si on le demande à faire du blocage DNS ;
  • chez SFR on explique qu'on est prêt à bloquer l'adresse IP du serveur ;
  • chez Orange on explique rien mais évidemment on est prêt à bloquer si la justice demande ;
  • chez Free on explique que la France n'est pas la Chine et qu'on veut pas de DPI (mais évidemment sans le dire ils mettront une route vers Null0 si on leur demande) ;
  • chez Darty on explique "C'est pas nous !" puisque le réseau est sous traité et que toutes les fois que la police judiciaire demande quelque chose, on se défausse (^^).
Free a eu l'intelligence de demander pourquoi GANDI n'avait pas été assigné : si les coordonnées données lors de l'enregistrement du domaine sont fausses, comme semble le penser la police, alors il viole la charte ICANN et peut être suspendu. C'est effectivement bizarre, d'autant qu'il y a des précédents et que les Registrars bloquent chaque jour beaucoup de domaines pour spam, escroquerie, malware sans aucune décision de justice !

En revanche ils étaient tous d'accord pour demander une indemnisation en cas d'ordre de blocage, et certains (SFR, Darty, Free) à passer par la case de la Question Préalable de Consitutionnalité si elle n'était pas accordée, en invoquant par exemple la Déclaration des Droits de l'Homme de 1789 (arguant le fait qu'un tiers aidant la justice doit être rémunéré). Ils étaient également tous très très mécontents de la demande d'astreinte de 2000 euros par jour de retard, en expliquant qu'ils n'étaient coupables de rien et collaboraient avec la Justice toutes les fois qu'elle le demandait ...

Le procureur après avoir expliqué que l'infraction initiale semblait constituée et que les dommages (pour les policiers visés par le site) étaient réels, a expliqué qu'il était inutile de demander une mesure ne pouvant être appliquée (le filtrage des URLs) mais qu'elle demandait un filtrage par IP ou par DNS (ce qui revient à bloquer tout le site). Elle était en revanche opposée à l'astreinte qui ne peut s'appliquer qu'en cas de mauvaise foi et de résistance, et pensait également que les FAI devaient être défrayés.

Le jugement a été placé en délibéré et sera rendu le Vendredi 14/10 (après demain) à 17h. J'essaierais d'y aller également.

Je pense que le juge va suivre le procureur (après tout la loi a été votée il y a 7 ans et elle prévoit ce cas), mais qu'on en a pas fini avec cette histoire ... Je pense que le Ministère a bien manoeuvré en demandant "le retrait de quelques pages" en sachant très bien que ce n'était pas faisable ...

Je serais les FAI, je commencerais à faire une annonce BGP bidon pour plein de /32 allant dans Null0 (enfin ils l'ont certainement déjà) et/ou une procédure pour mettre des trous noirs dans les serveurs DNS.

En attendant, le site CopWatch a déjà au moins 25 miroirs ...