Code virtuel

Aller au contenu | Aller au menu | Aller à la recherche

mercredi 17 mars 2010

Fausses bonnes idées

Une des fausses bonnes idées du moment est le filtrage globale d'Internet (sur adresses IP et FQDN), souvent associé à un renforcement juridique pour la lutte contre la « contrefaçon » - terme inadéquat pour le numérique, mais c'est un autre débat (j'y reviendrais !)...

En France, cela prend la forme de l'HADOPI et indirectement de la loi LOPSI. D'un point de vue internationale, le traité ACTA sort de l'ombre.

Les raisons de l'inutilité de ces méthode sont multiples :

  1. Les vrais criminels (par « vrais », j'entends les escrocs, black hat hackers etc. et non pas monsieur-tout-le-monde avec le téléchargement dit « illégal ») se fichent complètement des législations interdisant certaines actions sur les réseaux. Seule l'impossibilité technique, garantie par l'utilisation de protections ouvertes et testées par la communauté, peut freiner le phénomène. Le filtrage, facilement contournable, n'empêchera rien, voir figera et accentuera les problèmes provoqués par de mauvais choix techniques.

  2. La lutte inappropriée contre le téléchargement amènera les utilisateurs à basculer vers le chiffrement généralisé de leur connexion, en payant à l'étranger pour des services VPN toujours plus nombreux, plus cachés, et même parfois tenus par des réseaux mafieux (certains proposent le téléchargement de logiciels maisons dont on ignore tout). Noyés par l'enchevêtrement des connexions internationales, il devient alors impossible de remonter vers les criminels (pédopornographie, intrusions etc.). Seules des avancées légales sur le téléchargement pourraient peut-être enrayer ce phénomène... (mais j'ai des doutes maintenant).

  3. Une adresse IP ne désigne pas forcément une personne physique mais bien parfois une adresse email ou une compte bancaire débité pour payer l'accès – tout cela en admettant qu'il y ait des journaux des connexions ou que l'accès soit payant (ce qui ne garanti rien dans le cas de service PayPal-like ou d'un paradis fiscal). Dans tous les cas, une personne peut faire endosser la responsabilité à quelqu'un d'autre, en débitant son compte bancaire (ou PayPal) ou en utilisant à son insu ses connexions ou ses appareils connectés. On ne peut que constater l'augmentation considérable des machines zombies : les innombrables failles de sécurité ne sont corrigées que trop tardivement par les gros éditeurs (Microsoft, Adobe etc.) qui n'ont aucune obligation légale d'ouverture pour une validation par la communauté. Responsabiliser les utilisateurs est une bonne idée, mais les rendre responsables de l'incompétence de certains éditeurs est inadmissible et dangereux...

  4. L'utilisation de DRM et de formats brevetés (avec interdiction de les contourner même pour l'interopérabilité), ne feront que renforcer les monopoles déjà existants des géants de l'informatique, tuant l'innovation, l'accès à la culture, le logiciel libre... tout en provoquant une baisse globale de la sécurité, inévitable avec l'uniformisation et la faible réactivité des éditeurs. En effet, pourquoi être réactif et innovant si l'on possède un monopole et du code totalement fermé ? Mieux vaut vendre des « logiciels de sécurisation » (sic) totalement bidons !

  5. Le filtrage et le contrôle des contenus entraineront forcément des possibilités de censure, dangereuses pour la liberté d'expression et d'innovation (notamment si l'intervention d'un juge n'est pas obligatoire). Le simple fait qu'il soit possible pour un éditeur – et donc indirectement pour un gouvernement – de révoquer les droits d'accès à une œuvre (DRM sur la musique, les livres...), fait froid dans le dos ! Mais sans pour autant aller aussi loin, c'est avant tout la captation du public qui est en jeu.

Quoi qu'il en soit, lorsque l'on réfléchit au potentiel d'un réseau mondial décentralisé à très haut débit, on ne peut que constater l'amorce d'un immense gâchis, notamment concernant la sécurité des informations personnelles et confidentielles, le partage de la connaissance et de la culture, la liberté d'expression, les biens communs et les évolutions technologiques utiles à tous...

jeudi 11 mars 2010

Ne jamais rien considérer comme acquis

Je suis abasourdi par l'incroyable manque de compréhension de la sécurité informatique par certains éditeurs et industriels, horrifié par leur volonté d'imposer leur point de vue erroné et terrifié par le succès de leur lobbying auprès des gouvernements.

Il faut dire qu'Internet est un peu la boite de pandore. Décentralisé, bidirectionnelle et peu cher (contrairement à d'autres médias), le réseau des réseaux offre des possibilités infinies d'échange d'information - en tout cas, tant que la liberté d'expression n'aura pas totalement disparue et que la transmission directe entres machines restera possible.

Mais comme le dit le proverbe : « ne jamais rien considérer comme acquis ». Car toutes les excuses sont bonnes pour remettre en cause cette liberté inespérée offerte par Internet ; l'excuse la plus utilisée est sans doute la « cybercriminalité », présentée comme une fatalité, rampante et aux multiples facettes...

Premièrement, on peut remarquer l'utilisation d'un terme particulier : « cybercriminalité », c'est à dire une criminalité particulière, qui serait en quelque sorte totalement à part ??? en quoi la criminalité est-elle différente sur Internet ? Certes, l'architecture du « cyberespace » est différente et donc également les techniques utilisées. Mais un vol d'argent a toujours les mêmes conséquences pour les victimes ! Et les méthodes (phishing, spam, piratage) ne sont pas très différentes des méthodes traditionnelles (abus de confiance, bonimenteurs, casses de banque) car toujours basées sur des failles de sécurités et/ou la naïveté des personnes.

Bref, tout cela devient le prétexte : on ne fait rien pour « réellement » sécuriser les réseaux et les logiciels et une fois le constat effectué du manque flagrant de sécurité à travers les statistiques, on accuse les principes fondamentaux du réseau (ouverture, neutralité et décentralisation) d'en être la cause. En gros ce sont les bons vieux « quand on veut tuer son chien on dit qu'il a la rage » et « c'était mieux avant – regardez le minitel, on n'avait pas tous ces problèmes ! » qui ressortent encore et encore... et pour mieux comprendre le phénomène, j'y rajouterai également : « et en plus, c'était plus facile avant de prendre les clients pour des vaches à lait ». La panoplie est alors complète...

Certes, à sa « création », les objectifs d'Internet étaient bien différents et la plupart des protocoles sont aujourd'hui largement dépassés vis-à-vis de l'importance et du volume des données transportées – et ne parlons même pas du système bancaire de paiement, qui est une vraie catastrophe ! Les enjeux actuels ne sont ni plus ni moins que la sécurité matérielle et le respect du droit pour les personnes physiques et morales. Mais au lieu d'accompagner fermement le renforcement de la sécurité et de l'interopérabilité, en garantissant l'ouverture et la neutralité du réseau et en obligeant les éditeurs logiciels et matériels à évoluer rapidement vers des solutions efficaces (c'est à dire ouvertes et testées par la communauté), les gouvernements se retranchent derrière des lois et des traités visant à rendre responsables les utilisateurs des failles des systèmes informatiques (engendrant ainsi une peur tenace de ces mêmes systèmes) et justifiant alors la transformation du réseau en un média de masse centralisé et filtré – en réponse aux inquiétudes et difficultés d'adaptation des industriels dominants.

Très souvent, je peux lire que certains se posent des questions concernant les compétences de nos dirigeants pour prendre de bonnes décisions dans ces domaines. Me concernant, je ne m'en pose plus depuis longtemps, la réponse est dans la problématique...