21 octobre 2017

Actualités juridiques

Et si la meilleure réponse à l'exigence légale de "sécurisation de sa connexion internet" selon l'Hadopi était le VPN?!

23 sept 2012 à 16h43 par Christophe Landat
 


La Haute Autorité pour la Protection des Oeuvres et la Protection des Oeuvres sur Internet est en charge de la responsabilisation des pratiques des internautes français. Sa mission consiste notamment à "éduquer" les usagers pour les amener à protéger leur accès au WEB. Très paradoxalement, on peut considérer que la souscription à un VPN aurait vocation à empêcher que l'on puisse retenir contre vous la négligence carcatérisée prévue par le texte répressif...
Le "Virtual Private Network"  est aujourd'hui considéré par beaucoup comme l'une des méthodes d'anonymisation les plus efficaces. Ainsi notre ami KORBEN, dont la réputation n'est plus à faire sur le net, nous dit-il dans une de ses news sur un VPN en devenir (SPOTFLUX) que le VPN permet de "sécuriser un minimum sa connexion sur un réseau WiFi public ".

Tiens, tiens... N'est-ce pas précisemment ce qu'exige le Législateur?

Techniquement, un VPN permet "de modifier votre adresse IP via des serveurs proxys situés généralement à l'étranger et de chiffrer toutes les données qui transitent entre votre ordinateur et Internet." (Source : Clubic.com).

En théorie, votre surf devient plus sûr et vous vous exposez donc moins aux piratages visant dans notre exemple à pouvoir recueillir des données permettant par exemple à terme de pirater votre connexion.

Que nous dit de son côté l'article R335-5 du code de la propriété intellectuelle? Et bien que ce qui est réprimé c'est la "négligence caractérisée" de l'usager du Net. Ne rien faire, ne pas prendre de mesure pour préserver vos données, les... anonymiser... et ainsi interdire au premier venu de les pirater pour télécharger des fichiers via votre accès au web serait donc constitutif de ce qu'il est juste d'appeler "présomption de culpabilité".

C'est en effet habituellement le régime de la contravention : votre responsabilité est présumée, à défaut pour vous d'apporter des éléments prouvant qu'elle ne peut être engagée.

Pour combattre la présomption posée par l'article R335-5 du CPI, il faudra donc démontrer l'étendue de vos diligences pour éviter de vous faire pirater votre accès au web : rappelons en effet qu'on ne peut pas légalement vous accuser personnellement du téléchargement dès lors que rien ne permet de vous rattacher avec certitude à l'usage de votre accès internet.

Devant le juge, il pourrait donc vous être reproché de n'avoir pas "mis en place un moyen de sécurisation de cet accès" ou encore d'avoir "manqué de diligence dans la mise en œuvre de ce moyen", notamment si vous avez été mis en demeure de le faire par l'Hadopi (Article 335-5 susvisé).

Or, l'usage d'un VPN, qui juridiquement s'analyse incontestablement en une sécurisation de son usage du web et qui peut trouver une totale justification sur la base de l'article 9 du code civil protégeant la vie privée, est certainement une démarche rentrant dans le cadre de l'exigence légale de la mise en place d'un moyen de sécurisation de cet accès... ce qui n'est pas le moindre des paradoxes!

En résumé, après avoir reçu un premier avertissement de l'Hadopi, passer au VPN semble être une réponse juridiquement justifiée et contribuant à vous mettre à l'abri de la sanction pénale basée pour l'essentiel sur la notion Ô combien floue de "négligence caractérisée".

L'un de ces VPN se nomme HideMyAss. Si ma déontologie d'avocat m'interdit d'en assurer la traduction, je ne résiste cependant par au plaisir de le signaler pour ajouter qu'au regard de la loi française, il pourrait également s'appeler "SafeMyAss"...


 
 
 

Commentaires

1. Par Yann, le 23 sept 2012 à 18h32
Yann

Bonjour,
Excellent article. Merci.

Quelques précisions :

Un VPN ne permet pas de proteger des intrusions sur le reseau Wifi.

Il faut préciser que le VPN (tel qu'utilisé courrament) permet de protéger les connexions entre l'ordinateur de l'abonné Internet et le serveur VPN.

Mais le pirate, utilisateur illégitime du réseau Wifi de l'abonné victime, peut toujours se connecter directement sur le Wifi pour télécharger des fichiers illégaux, ce qui expose l'adresse IP de l'abonnement.

Donc même si vous ne faites rien d'illégal, ou vous si tous ce que vous faites d'illégal est fait via le VPN, vous n'êtes pas à l'abri d'un tiers qui utilisera votre abonnement pour faire des choses illégales.

Il faut donc préciser que pour que la parade fonctionne à 100%, il faut que la passerelle du point d'accès Wifi utilise directement une connexion VPN, ceci afin de securiser tous les utilisateurs du réseau de l'abonné, y compris ceux qui piratent la connexion Wifi.

Pour simplifier, il faut que ce soit directement la Box (fournie par le FAI) qui propose un client VPN afin de router tous le traffic sur le serveur VPN.

Le seul outil de sécurisation grand public serait donc un client VPN dans les Box des FAI.

Et l'Hadopi peut très facilement demander à ce que tous les FAI français en propose un.
Mais il ne le ferons pas.

PS : autre solution fiable à 100% mais plus cher : désactiver le reseau Wifi de la Box et mettre un routeur Wifi en mode bridge qui lui comporte un client VPN.

2. Par Maître Christophe Landat, le 23 sept 2012 à 19h39
Maître Christophe Landat

Merci de ces précisions à la fois techniques mais accessibles au profane. Vous avez, avec votre commentaire, parfaitement ciblé la problématique et le paradoxe : connexion mieux protégée = moins de risque d'utilisation inadéquate par des tiers de votre accès au web, mais = aussi anonymisation optimisé du surf...

3. Par Sebastien, le 23 sept 2012 à 21h12
Sebastien

Je plussoie ce qu'a dit Yann, en aucun cas le VPN ne permet de sécuriser un accès à une connexion internet au sens où hadopi l'entend, le vpn sert à deux choses:
-Se cacher
-Eviter les attaques par sniffing/man in the middle

Mais il n'empêchera jamais personne de se connecter a votre wifi et de l'utiliser pour télécharger ses films de vacances :)

4. Par Sqlinjector, le 23 sept 2012 à 21h39
Sqlinjector

Bonjour,
Je trouve votre article intéressant mais votre argumentation manque de technicité. L'internet ne se résume pas au surf http, il y a une multitude de protocole (nntp, ftp, irc, smtp, xmpp, voip, bittorrent etc), il faut comprendre qu'un vpn chiffre les données entre un client et un server. Ensuite, il y a aussi la sécurisation de sa *box*, on ne doit pas laisser les identifiants admin:admin, il faut aussi modifier la clé wpa avec un long pass complexe. Sans vouloir vous offenser, vous devriez un peu plus sur le fonctionnement de l'internet pour mieux comprendre son fonctionnement.
Cordialement

5. Par Maître Christophe Landat, le 23 sept 2012 à 23h19
Maître Christophe Landat

Sebastien, on ne peut pas être aussi catégorique. Parce que justement nous sommes à jeun de jurisprudence en la matière. D'autre part, Sqlinjector, l'absence de technicité de l'article se rapproche des carences du quidam de base à qui on ne peut demander de maîtriser les notions que vous évoquez pour sécuriser son accès, vous comprenez?

En droit il existe une notion qui est celle du "bon père de famille" pour donner une appréciation de ce que l'on est en droit d'attendre d'un citoyen normalement éclairé, raisonnable. La sécurisation de de son accès au web ne doit pas répondre aux exigences techniques que vos compétences permettent de (bien) expliquer. Il faut des diligences de "bon père de famille". En cela, on peut légitimement s'interroger sur le fait de savoir si une démarche visant à sécuriser, juste un peu plus, ses habitudes sur le web ne suffirait pas à répondre aux exigences posées par la loi.

A mon sens, le débat est ouvert et je pense que tous les raisonnements sont possibles... de même que toutes les décisions judiciaires sont possibles!

Merci de vos contributions.

6. Par comaX, le 24 sept 2012 à 00h40
comaX

Bonjour,
Comme il a déjà été dit, le VPN permet de "sécuriser" son *accès web*, et non son accès au réseau. Ainsi, vos téléchargements illégaux pourront être indétectables par la Hadopi, mais un pirate pourrait toujours s'introduire dans votre réseau par le wifi et l'utiliser pour télécharger normalement. Vous seriez alors à nouveau détectable par l'Hadopi. La sécurisation dont parle la loi est celle de la connexion au réseau, et non celle au web, bien que la formulation soit floue. Dire à un juge que vous utilisez un VPN pour sécuriser votre connexion ne marchera pas. Il est vrai qu'en invoquant la figure du bon père de famille, on pourrait dire qu'il y a eu sécurisation, seulement, comme ce n'est pas la bonne, je ne pense pas que cela tiendrait.

Maintenant, comme vous le dites, cela pourrait suffire vu la rédaction de la loi.
Mais enfin, est-ce vraiment la peine ? Un condamné en trois ans d'activité, des millions d'euros dépensés et un Président qui avait dit qu'il abrogerait l'Hadopi.

7. Par Maître Christophe Landat, le 24 sept 2012 à 07h45
Maître Christophe Landat

La loi parle de l'"accès à des services de communication au public en ligne". Dans la logique tu texte, on ne peut pas vous reprocher de ne pas avoir utilisé la bonne sécurisation pourvu que vous en ayez mis une en place, même inefficace.C'est justement l'intérêt de la mauvaise rédaction du texte.

Je partage ensuite complètement votre avis sur votre dernière remarque. Ce que je relève, c'est le paradoxe de la loi : on invite l'internaute à renforcer la sécurité de son accès. Or l'anonymisation, tout comme le cryptage ou toute autre mesure technique en la matière est incontestablement une mesure de sécurité.

Poussé à l'extrême, les mesures de contrôle de l'HADOPI s'en trouveraient alors totalement inefficaces. Mais en effet, vu l'efficience du système, on peut parler de raisonnement théorique. Mais sur le plan juridique, je ne doute pas un instant du raisonnement.

8. Par KG, le 24 sept 2012 à 12h51
KG

A noter que si le VPN est à l'étranger, pas d'inquiétude pour HADOPI... Seules les IP françaises feront l'objet d'une demande d'identification.

9. Par Yann, le 24 sept 2012 à 15h14
Yann

L'anonymisation (VPN ou proxy ou autre)
ne securise par l'acces internet contre le piratage par un tier. (comme je l'ai dis dans mon commentaire précédent)

Le VPN n'as donc pas d'intéret technique de securisation contre un tier.
Le tier peut toujours se connecter à votre box (par wifi ou par cable).
Aussi, ne pas oublier qu'un tiers peut tout à fait injecter votre adresse IP (prise au hasard, pas de bol) dans un reseau P2P pour brouiller les pistes, et vous rendre coupable d'utiliser ce reseau alors que vous ne l'avez jamais fait.

Mais le VPN dans la box protegerait le titulaire de l'acces internet de la détection par la HADOPI de l'infraction commise par le tier (ou par l'abonné lui meme) depuis son abonnement.

L'infraction de non sécurisation est toujours là, car il est impossible de securiser son accès à internet, il est seulement possible d'essayer avec des moyens raisonnables.

Les moyens raisonnables souvent cités étant de securiser le wifi (théoriquement impossible à faire car des failles existent) ou d'éteindre le wifi.

A cela il faut ajouter (depuis le premier jugement HADOPI) le controle physique à l'acces cablé (fermeture des portes de chez vous) et ne laisser personne accéder physiquement à votre box (même pas votre conjoint ou vos enfants). Cela encore il est très difficile de le faire, voir impossible, et une intrusion est difficile detectable.

Ainsi, que l'on soit expert ou bon pere de famille, il est theoriquement impossible de securiser son acces internet.

Tous les internautes sont donc dans l'illégalité soit en permanence, soit à un moment ou un autre.

C'est à mon avis pour cela qu'a été inventé le régime de la contravention : petites infractions à la loi en énorme volume par une grosse proportion de la population.

Comme dans la vraie vie: nous faisons tous presque tous les jours des choses illégales, parfois sans le savoir (griller un feu orange, couper une ligne blanche en plein desert pour contourner un trou, se faire aider par un ami pour faire des travaux chez soit sans le déclarer en travailleur bénévole, ...)

Le fait est que nous sommes tellement à le faire, et que dans le nombre total d'infraction faite chaque jour, seule une infime partie est relevé par l'autorité compétente et font l'objet d'un procés verbal.

Quand on est dans l'illégalité, le premier moyen de ne pas être reconnu coupable s'est de ne pas se fait "choper".
Le VPN (dans la Box) ne permet par de répondre au probleme de securisation, il permet juste de ne pas se faire choper.
De même que, porter un masque lors d'un holdup ne vous rends pas innocent. Le masque permet juste d'éviter qu'on sache que c'est vous qui avez fait le coup.

En bref un client VPN dans la Box du FAI permet :
- de forcer le passage par une connexion VPN de tout ce qui passe entre la box et internet.
- de ne donner qu'a l'abonné la possibilité de changer la configuration du VPN (aucun membre de la famille ne pourra desactiver le VPN si il ne connait pas le mot de passe)
- au FAI peut logger les heures d'activation du VPN, et ainsi fournir une preuve à l'HADOPI que l'adresse IP externe de l'abonné n'est pas celle relevée par l'HADOPI (par exemple en cas d'injection d'IP sur un reseau P2P)

ce qui est déjà par mal...

L'autre possibilité serait de reconnaitre que le defaut de sécurisation criminalise 100% de la population des internaute, comme si on mettait une loi qui disait qu'il est interdit de respirer, tout le monde est en infraction, y compris les législateurs, les policiers et les juges. (mais ils prometterons de changer leurs habitudes)
Les seuls qui ne sont pas en infraction de respirer sont morts ou se turait pour rester dans la légalité.

Donc pour ne pas contrevenir à la loi HADOPI, il faut ne pas avoir d'abonnement à internet.

10. Par Sqlinjector, le 24 sept 2012 à 19h49
Sqlinjector

Je voulais signaler que votre article s'intéresse à la sécurisation de son accès internet. En partant de cette idée, c'est la box qu'il faut sécuriser, hors vous parlez de vpn qui n'a rien à voir avec la sécurisation de son accès internet. /!\ Le vpn permet de chiffrer les données entre votre ordinateur et l'internet mais en aucuns cas ne sécurise votre accès internet /!\ Pour sécuriser son accès internet, il faut modifier les identifiants de l'interface web de la box et modifier la clé wpa du wifi voir l'éteindre complètement. Ensuite partons du principe qu'on soit une famille a utiliser cet accès internet. il est tout à fait possible de controler le web avec opendns. Voilà je vous laisse bosser la dessus en espérant vous avoir éclairer.

11. Par Maître Christophe Landat, le 25 sept 2012 à 01h00
Maître Christophe Landat

Lisez mon nouvel article : j'explique mieux!... ;0)

Ajouter votre commentaire

Identifiez vous pour poster un commentaire.