août 4th, 2015

Duncan Campbell est ce journaliste Britannique qui, bravant les menaces d’emprisonnement, les procès, les pressions politiques a, 35 ans durant, tenté de révéler au monde l’existence du formidable réseau d’espionnage Etats-Unien Echelon. C’est grâce à ses articles que le Parlement Européen prendra conscience de l’efficacité de cette formidable machine de guerre économique que les USA utilisent, contre l’Europe notamment, et créera une commission d’enquête forte de 36 membres durant l’été 2000. Commission qui ne peut que conclure que la NSA agissait dans une totale légalité, sous l’autorité des membres du Congrès. L’espionnage des NTIC était devenu le nouveau vecteur de techno-colonisation et de conquête industrielle et économique.

Ces 35 ans de recherches sont résumés dans un véritable roman-fleuve de plus de 6 pages, publié conjointement par The Intercept et The Register et signé par Campbell en personne. 35 ans durant lesquels les USA et ses alliés des five eyes ont tenté de noyer le poisson, et dont les dénégations ont été réduites à néant une fois que les « fichiers Snowden » ont pu formellement confirmer l’existence de ce réseau d’écoute et d’espionnage mondial.

Par un discret message sur Twitter, Eric Walter, a annoncé qu’il n’était plus, depuis le premier août, à la tête de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi).

Walter était très critiqué par les tenants d’une industrie du divertissement qui, malgré des bénéfices records, ne parvient toujours pas à s’adapter au marché du numérique et pousse les instances gouvernementales à adopter une ligne répressive. On pourrait d’ailleurs se poser la question quand au rôle d’Hadopi dans le manque d’évolution comme de remise en question du business model de l’industrie du divertissement. L’institution semble considérée, dans le milieu du cinéma, comme une sorte d’assurance anti-piratage qui serait capable de préserver la France et son « exception ». Or le patron de cette Hadopi créée « parce qu’il fallait bien faire quelque chose », a toujours refusé cette ligne dure, celle de « l’éducation par la terreur ».

Du côté des internautes, Eric Walter représentait pourtant cette forme de répression policière aveugle qui tentait de préserver un modèle économique devenu caduque et totalement chamboulé depuis l’apparition d’Internet.

Situation intenable donc, dont la responsabilité incombe en grande partie aux opérateurs télécom, Orange en tête, qui, des années durant, ont insisté sur « la rapidité de téléchargement » de leurs offres respectives. Cette incitation indirecte à la contrefaçon est un problème de fond qui n’a quasiment jamais été évoqué par la commission Hadopi et sur lequel, pas une fois, les professionnels du cinéma et de la chanson de variétés n’ont fait mention. Pourtant, peut-on lutter contre le trafic de drogue ou la prostitution en ne cherchant à condamner que les consommateurs tout en s’efforçant de préserver les producteurs ?

Autre défaut congénital ayant entravé le travail d’Eric Walter, cette dérive sémantique dont s’est rendue coupable l’Hadopi : l’usage des mots « culture » et « industries culturelles » pour ne désigner qu’une activité commerciale, un secteur privé spécialisé dans les produits de divertissement. La création d’une institution gouvernementale chargée de veiller spécifiquement aux intérêts d’un secteur industriel en particulier n’a jamais fait partie des habitudes de la Vème République.

Ceci ne doit pas également faire oublier l’aspect financier de la chose. Dotée d’un budget totalement disproportionné par rapport aux résultats attendus (budget d’ailleurs constamment revu à la baisse au fil des lois de finance successives) le coût réel de l’Hadopi soulevait, et soulève encore, beaucoup de critiques.

Enfin, rarement institution nationale n’a fait preuve d’autant d’inefficacité technique, d’incompétence affirment certain. En 2011, TMG, le sous-traitant chargé de tracer l’activité des prétendus « pirates », se fait pincer pour manquement aux règles élémentaires en matière de préservation de la vie privée. Manquements qui ne déclenchent aucune sanction de la part de la Cnil. Sanctions, en revanche, qui menacent sans distinction les personnes s’étant rendues coupables d’un téléchargement occasionnel comme les stakhanovistes du download. Le principe de la proportionnalité des peines en fonction de la gravité des fautes, totalement absent des mesures de rétorsion imaginées par l’Hadopi, fait débat auprès des internautes.

A cela doit s’ajouter une totale incapacité de la Haute Autorité à réagir dans le cadre de sa mission, puisque le gros de son travail se limite à faire surveiller les réseaux peer to peer, alors que très rapidement, les « téléchargeurs compulsifs » les plus avides ont opté soit pour le téléchargement direct, soit pour les contenus hébergés sur des sites de streaming. Un streaming qui demeure, par ailleurs, l’argument majeur des vendeurs de 4G…

Devant cet Himalaya d’incohérences et de contradictions, le travail d’Eric Walter relevait de l’impossible. Il a, en permanence, tenté de suivre une voie médiane, qui n’a plu ni aux uns, ni aux autres. Mais pouvait-il agir autrement ?

Son successeur (si successeur il y a) devra nécessairement se charger d’une profonde réforme de l’institution. Peut-être sera-ce également l’occasion de reparler de la licence globale et d’autres modèles de rémunération des artistes, de remise à plat dans l’imbroglio des sociétés de gestion des ayant-droit, d’encadrement des stratégies affichées des opérateurs télécoms, de l’unification des différentes « taxe antipiratage » qui frappent les supports et certains terminaux numériques et qui partent du principe que, « par défaut », un usager est systématiquement coupable de contrefaçon… le récent rapport de l’Eurodéputé Julia Reda foisonne d’idées dont le prochain patron d’Hadopi pourrait s’inspirer.

Deux chercheurs de l’Inria (Grenoble) et deux universitaires Belges (Leuven) révèlent qu’il est possible, en utilisant une API HTML5, de récupérer la signature d’un mobile en particulier et par conséquent de tracer les activités, voire de géolocaliser son possesseur. L’exploitation de cette API n’est possible qu’avec les navigateurs Firefox, Chrome et Opera… une fois n’est pas coutume, Internet Explorer n’est pas coupable… faute de capacité technique.

Cette API, baptisée « Batterie Status », peut être utilisée par un serveur Web pour mieux interagir avec le navigateur distant. Si la réserve d’énergie est faible, le trafic pourrait être allégé, certains scripts désactivés afin de ne pas précipiter la « panne sèche » du terminal, et, au contraire, des applications plus gourmandes en ressources (séquences vidéo par exemple) seraient accessibles pour peu que le téléphone ou la tablette déclare avoir fait le plein depuis peu.

Or, aucun accumulateur ne ressemble à un autre. Sa capacité en milliampère/heure constitue déjà un élément de distinction. Mais même au sein d’équipements utilisant strictement le même type de batteries, les temps de décharge montrent des différences significatives, différences liées aux disparités chimiques des éléments, à la température ambiante, à l’âge de l’accumulateur lui-même, voir à la consommation résiduelle propre à chaque appareil.

Et c’est là que la « Battery Status API » se montre très indiscrète, car elle fournit trois données importantes : charging level, chargingTime et dischargingTime (niveau de charge, temps de charge, temps de décharge), informations obtenues via la méthode navigator.getBattery(). Et lesdites informations sont tellement précises qu’il est tout à fait possible de distinguer deux appareils en leur faisant exécuter une même et unique tâche. De là à imaginer un réseau de serveurs Web compromis capables de suivre à la trace une série de téléphones en se basant uniquement sur la consommation instantanée des accumulateurs et leur niveau de charge, puis à y associer l’adresse IP utilisée, il n’y a qu’un pas.

La parade à une telle fingerprinting attack est simple, expliquent les quatre chercheurs : arrondir les résultats, diminuer le degré de finesse avec lequel l’API fournit des renseignements au serveur. Cela n’affecte en rien l’efficacité de l’API. Du coup, il devient impossible de distinguer différents mobiles retournant un « batterie à 15%, décharge à 35 mA/h » alors que, dans l’état actuel des choses, la réponse serait plutôt « batterie à 15,683%, décharge à 32,695mA/h » (ces indications chiffrées n’ayant qu’une valeur de vulgarisation et non une réalité scientifique reflétant les travaux en question).

Selon le Wall Street Journal, Github vient de réaliser une levée de fonds de 250 millions de dollars . Cette même semaine, le groupe concurrent DHI décidait de revendre Sourceforge , dont l’activité est en perte de vitesse depuis plus de 5 ans