An avian carrier's blog – Législation Atom feed

  1. Protégez votre intimité (2011-04-05)

    Le recours qui devrait être déposé demain par l'ASIC, association des services internet communautaires regroupant notamment de gros acteurs du web comme Google ou Facebook, me permet de réexaminer le décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne. Ce décret est un décret d'application prévu à l'article 6 de la loi pour la confiance dans l'économie numérique qui précise les informations de connexion qui doivent être conservées par les fournisseurs de services de communication au public en ligne et les fournisseurs d'accès à ces services de communication. Ces informations pourront être réclamées sur réquisition de l'autorité judiciaire.

    Jusque là, rien de très surprenant : on peut comprendre que, pour les besoins d'une enquête, l'autorité judiciaire puisse réclamer des informations permettant d'identifier une personne si l'on soupçonne qu'une infraction ait pu être commise. Toutefois, et c'est plus étonnant, le décret d'application dispose que font partie des données à conserver obligatoirement

    3° g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour

    Il s'agit ici d'une double abberration :

    • Idéalement, les sites ne stockent jamais le mot de passe de leurs utilisateurs. Ils en stockent une version chiffrée, et lorsque l'utilisateur saisit son mot de passe, celui-ci est chiffré à son tour et comparé à la version stockée. Si les deux sont identiques, alors le mot de passe est bon (à 99,99% de probabilité ou plus). L'intérêt immédiat est que si la base de mot de passes venait à être divulguée par erreur, les destinataires ne pourraient pas utiliser cette base chiffrée pour se connecter sur les comptes des utilisateurs car la fonction de chiffrement est très difficilement réversible. Ici, le décret impose de stocker les mots de passe en clair, sans chiffrement, pour pouvoir les communiquer sur réquisition de l'autorité judiciaire.

    • La plupart des gens utilisent le même mot de passe sur plusieurs sites. Si la base des mots de passe en clair est divulguée, leurs autres comptes utilisant le même mot de passe deviennent alors vulnérables. De plus, les services policiers et judiciaires enquêtant sur un utilisateur ou sur un service en ligne auront accès à ce mot de passe et pourront eux aussi aller consulter d'autres sites (courrier électronique, forums, etc.) pour lesquelles aucune réquisition n'était alors prévue.

    En attendant que le recours déposé par l'ASIC soit jugé, il est primordial pour les utilisateurs de services en ligne (c'est-à-dire tout le monde) d'utiliser des mots de passe différents sur tous les services. Mission impossible ? Non, grâce à des extensions pour Firefox comme Password Hasher vous pouvez ne retenir qu'un seul mot de passe tout en ne le divulgant à personne.

    Protégez votre intimité, n'espérez pas que d'autres le feront à votre place.

    Note: Certains analysent la phrase « Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement. » comme une permission de ne pas de stocker les mots de passe en clair si on en stocke une forme chiffrée. Je comprends pour ma part cette phrase comme n'obligeant pas à stocker un mot de passe tout court (certains services n'en nécessitent pas). Où commence la collecte ? Lorsqu'on demande le mot de passe à l'utilisateur (en clair) ou lorsqu'on le stocke (chiffré) ? J'ai hâte de lire le texte du recours et son issue.

  2. DADVSI : en arrière la musique (2008-11-18)

    Il y a maintenant trois ans je prévenais, ainsi que beaucoup d'autres, du danger de la loi sur le droit d'auteur de droits voisins dans la société de l'information, plus connue sous le petit nom de DADVSI. Un amendement, surnommé par les bloggers et les journalistes « Amendement Vivendi Universal », proposait d'interdire la simple mise à disposition du public de logiciels qui pourraient être utilisés pour contrefaire du contenu protégé par le droit d'auteur.

    Et voila, on y est. La société civile des producteurs de phonogrammes en France (SPPF) poursuit quatre sociétés américaines au prétexte que leurs logiciels de peer-to-peer permettent de partager du contenu contrefait. Peu importe que ces logiciels servent à partager des logiciels libres ou de la musique légalement partageable, le fait qu'ils puissent être utilisés pour partager des œuvres dont la redistribution est interdite par leurs ayants-droits suffit à donner une chance à la SPPF de gagner une telle action en justice. Le texte de l'article L335-2-1 du code de la propriété intellectuelle est formulé en ces termes :

    « Est puni de trois ans d'emprisonnement et de 300 000 euros d'amende le fait : 1° D'éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d'oeuvres ou d'objets protégés ; 2° D'inciter sciemment, y compris à travers une annonce publicitaire, à l'usage d'un logiciel mentionné au 1°. »

    Notez bien le « manifestement destiné à la mise à disposition du public non autorisée d'oeuvres ou d'objets protégés » employé ici : c'est lui qui peut faire la différence, le juge devant apprécier si cette condition est respectée. La loi pénale étant d'interprétation stricte, c'est peut-être ce qui sauvera nos logiciels de partage du jouc de la justice.

    On pourra également remarquer qu'en cas de succès de l'action judiciaire, la SPPF aura beau jeu de la prolonger par l'attaque des fournisseurs de distributions GNU/Linux, car ceux ci fournissent en général certains des logiciels mis en cause (Azureus par exemple) dans leurs paquets. Ainsi que de tous ceux qui fournissent des dépôts, notamment en France, contenant une copie de ces distributions GNU/Linux (je pense à la quasi-totalité des fournisseurs d'accès par exemple). D'ailleurs, une des sociétés attaquées actuellement n'est autre que SourceForge, la plus grande plate-forme de développement de logiciels libres. Et ce uniquement parce qu'elle héberge et distribue un des logiciels de partage incriminés, même si la société ne contribue pas directement à son développement.

    Oh, vous me direz que ça ne peut pas arriver chez nous, qu'on ne pourra pas interdire la distribution de logiciels libres sous prétexte que certains pourraient les utiliser illégalement. On parie ?

  3. Pour ou contre le vote électronique ? (2007-04-20)

    Thomas nous invite à signer la pétition contre les machines à voter. Les procédés électroniques utilisés aujourd’hui ne garantissant pas la sincérité des résultats, je l’ai signée sans aucune hésitation.

    Par contre, je ne suis pas farouchement opposé au vote électronique en tant que tel. Mais pour cela, il faudrait que les résultats puissent être vérifiés sans aucune possibilité de tricherie. Je serais satisfait d’un système où :

    1. L’électeur ou son mandataire vote sur une machine ; un bulletin papier est imprimé, représentant son vote, bulletin qui est ensuite placé dans l’urne.
    2. Les résultats sont analysés à l’aide d’ordinateurs de comptage, qui scannent optiquement les bulletins extraits de l’urne.
    3. Tout candidat peut apporter sa propre machine de comptage pour effectuer une vérification. Ces machines n’ont aucun besoin d’être certifiées par qui que ce soit : en cas de désaccord, un comptage manuel permettra toujours de les résoudre, et un parti n’aura aucun intérêt à faire de l’obstruction systématique en prétendant que les résultats sont faux.

    Mais, me direz-vous, quel est l’intérêt d’un tel système qui nécessite la présence de bulletins papiers imprimés par la machine ? Ils sont multiples :

    • Le comptage sera beaucoup plus rapide. En quelques minutes, les résultats définitifs pourront être annoncés.
    • Il sera possible d’adopter des modes de scrutin novateurs, comme par exemple le vote Condorcet qui consiste à classer les candidats par ordre de préférence. Avec cette méthode, le candidat élu aura été classé un plus grand nombre de fois avant tous les autres. En général, un seul tour de scrutin suffit.
    • Il est probable que des implémentations en logiciel libre fleuriront rapidement, permettant d’améliorer les procédés de comptage manière ouverte et transparente.

    Donc pour conclure, NON aux machines à voter actuelles, OUI aux machines à voter ouvertes. Et en attendant, n’oubliez pas de signer la pétition.

  4. Richard Stallman à l'ENST (2007-03-28)

    stallman_enst.jpg

    Richard Stallman, père spirituel du mouvement « logiciel libre », auteur des logiciels Emacs et GCC, concepteur de la licence GPL (General Public License) utilisée par de nombreux projets libres dont Linux, sera présent à l’ENST, dans le XIIIè arrondissement de Paris, mardi 3 avril 2007. Il donnera une conférence à 18h, gratuite et ouverte à tous, portant notamment sur la version 3 de la GPL dont le dernier jet a été révélé aujourd’hui.

    Ne ratez pas cette intervention de ce personnage truculent, plein de ressources, toujours prêt à défendre la liberté du logiciel et des hommes. Richard Stallman est un monument vivant qu’on peut difficilement oublier une fois qu’on l’a vu parler.

    Pour les informations pratiques, allez voir la page de la conférence.

    Édit du 4 avril 2007 : l’amphithéatre était plein, merci à Ali Neishabouri pour l’organisation et à Simon Adda-Reyss pour avoir joué du tango alors que l’on attendait Richard Stallman.

  5. UFC-Que Choisir au dessus des lois ? (2005-12-01)

    Le site CartelMobile a été mis en ligne par l’association de consommateurs UFC-Que Choisir suite à la décision de justice condamnant les trois opérateurs principaux en France de téléphonie mobile (Orange, SFR et Bouygues Télécom) pour entente déloyale sur les prix. Il vous propose de chiffrer votre préjudice en fonction des éléments de votre contrat de téléphonie mobile afin de pouvoir prétendre à une indemnisation.

    Première surprise : pour pouvoir utiliser leur calculateur exclusif, il faut fournir son adresse électronique. Tiens, étonnant de la part de cette association, je n’aurais jamais imaginé qu’elle puisse vouloir constituer un fichier d’adresses, je vois probablement le mal partout, mon adresse électronique sera sans doute effacée aussitôt après l’utilisation du calculateur.

    Or, voici le contenu du courrier reçu juste après :

    From: www-data@ufc-quechoisir.ecritel.net
    Subject: Votre inscription sur www.cartelmobile.org
    Reply-To: contact@cartel-mobile.org

    Merci de votre soutien !

    Votre mot de passe personnel vous permettant d’accéder à notre calculateur exclusif de préjudice est : XXXXXXXX.

    Attention, vous devrez indiquer des éléments précis sur la date de début et de fin de votre contrat de téléphonie mobile, le temps de communication et le prix de votre forfait. Afin de faire une estimation de votre préjudice la plus réaliste possible, nous vous conseillons donc de vous munir de votre contrat et de vos factures avant d’utiliser le calculateur.

    Si vous êtes prêt, cliquez ci-dessous pour estimer votre préjudice personnel :
    http://www.cartelmobile.org/authentification.php

    Si vous rencontrez des difficultés pour vous identifier, assurez-vous que votre navigateur accepte les cookies de session.
    Pour en savoir plus sur les cookies, cliquez ci-dessous :
    http://www.cartelmobile.org/quinoussommes.php#cookies

    Vous recevrez également régulièrement la lettre d’information “cartelmobile” portant sur l’actualité du combat mené de l’UFC-Que Choisir contre les pratiques illicites des opérateurs de téléphonie mobile.

    -—————————
    Union Fédérale des Consommateurs – Que Choisir asociation à but non lucratif
    11, rue Guénot – 75011 Paris
    site web : http://www.quechoisir.org
    -—————————

    Notez bien la partie que j’ai mise en caractères gras. UFC-Que Choisir s’arroge le droit d’enregistrer votre adresse électronique sans vous en prévenir au préalable (collecte déloyale, article 226-18 du Code Pénal), sans respecter les formalités préalables obligatoires (article 226-16 du Code Pénal), et en vous inscrivant d’office à une liste de diffusion alors que vous souhaitiez uniquement utiliser leur calculateur (détournement de finalité, article 226-21 du Code Pénal).

    Si on ajoute à cela le fait que leur courrier ne mentionne pas l’existence d’un droit d’accès et de modification aux données (encore l’article 226-16 du Code Pénal), cela commence à faire beaucoup. Dire que je tenais l’UFC-Que choisir en haute estime.

    Ah, j’oubliais, leur slogan est :

    Faites respecter tous vos droits avec l’Union Fédérale des Consommateurs Que Choisir

  6. Vers un contrôle total du transfert de fichiers sur Internet ? (2005-11-15)

    Plus le temps avance, plus nous sommes sur le point d’abandonner nos libertés face aux puissants lobbys économiques et industriels incapables d’évoluer en même temps que la technologie et ses usages. Les éditeurs et les producteurs intègrent de plus en plus souvent des systèmes de DRM (Digital Rights Management, ou gestion des droits numériques) dans leurs CDs. En quoi cela consiste-t-il ? C’est un système permettant de restreindre la lecture ou la copie des œuvres pour s’assurer que personne ne les dupliquera sans autorisation. Par exemple, un système DRM peut vous empêcher de copier un CD de musique que vous avez acheté pour l’écouter dans votre voiture, comme la loi sur la copie privée vous y autorise pourtant. Il peut aussi vous empêcher de le copier sur votre baladeur, ou vous forcer à ne disposer que d’une copie fortement dégradée.

    Comment fonctionne un système DRM ? Généralement, cela consiste à installer sur votre ordinateur un logiciel qui vérifiera tous vos accès au CD ou aux copies (de basse qualité) que l’éditeur vous aura autorisé à faire. D’ailleurs, en ce moment, celui de Sony défraie la chronique : le logiciel de contrôle agit exactement comme un espion et se cache afin qu’il ne puisse être enlevé de votre ordinateur même si vous n’utilisez plus de disques produits par Sony. De plus, il se connecte par Internet sur le site du fournisseur de Sony et indique quel disque vous êtes en train d’écouter, et ce, bien entendu, sans vous prévenir. Plusieurs plaintes ont été déposées contre Sony ces derniers jours, aussi bien aux USA qu’en Europe.

    Les industries phonographiques et cinématographiques reviennent cependant sans cesse à la charge pour imposer aux consommateurs l’utilisation de tels systèmes. Un amendement, préparé notamment par Vivendi Universal et la SACEM, prévoit l’obligation d’utiliser de telles techniques dans tous les logiciels permettant de communiquer sur Internet. On peut trouver cet amendement ainsi que d’autres informations utiles sur le site de eucd.info. Il est prévu de le faire votre par l’Assemblée Nationale le 22 décembre, lorsque l’hémicycle est traditionnellement désert. Seuls les députés démarchés par Vivendi Universal, la SACEM ou d’autres groupes de pression risquent de ne pas manquer à l’appel.

    Analyse de l’amendement

    Analysons les quatre éléments de cet amendement.

    Est assimilé à un délit de contrefaçon :

    1° Le fait, en connaissance de cause, d’éditer ou de mettre à la disposition du public, sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition non autorisée au public d’oeuvres ou d’objets protégés par un droit littéraire et artistique qui ne comprend pas les mesures pour, en l’état de la technique, préserver ces oeuvres ou objets protégés contre un usage non autorisé.

    Cet alinéa est dangereux, notamment, mais pas uniquement, à cause du mot « manifestement » qui laisse ouverte la voie à une large interprétation. Est-ce qu’un logiciel de peer-to-peer, comme BitTorrent, conçu pour partager des images de CDROM de logiciels libres comme GNU/Linux, est manifestement destiné à partager des œuvres protégées ? La réponse est clairement non dans ce cas précis, du moins dans l’esprit et les propos des auteurs du programme. Est-ce qu’un juge aura la même interprétation, sachant que ce logiciel permet de partager n’importe quel type de fichier ?

    2° Le fait d’éditer ou de mettre à la disposition du public, sous quelque forme que ce soit, un logiciel autre que celui visé au 1° ci-dessus, dès lors que, ayant connaissance de ce que ledit logiciel est manifestement utilisé pour la la mise à disposition non autorisée au public d’oeuvres ou d’objets protégés par un droit littéraire et artistique, l’éditeur n’a pas pris les mesures pour, en l’état de la technique, préserver ces oeuvres ou objets protégés contre un usage non autorisé.

    Cet alinéa est tout simplement délirant : il revient à interdire de facto tout logiciel permettant le transfert de fichiers sur Internet ainsi que tout système d’exploitation permettant de lire un fichier sur le disque pour le mettre à la disposition du public. Notons l’expression « ayant connaissance de ce que ledit logiciel est manifestement utilisé pour la la mise à disposition non autorisée au public d’oeuvres ou d’objets protégés par un droit littéraire et artistique ». Il suffirait donc qu’une maison d’édition cite quelques exemples de cas où un particulier a mis à disposition des œuvres protégées sur une page WWW pour que soient interdits :

    • tout serveur WWW n’intégrant pas des fonctions de DRM (Apache, Microsoft IIS) ;
    • tout navigateur WWW n’intégrant pas des fonctions de DRM (Mozilla Firefox, Microsoft Internet Explorer, Safari, Opera), car ils permettent d’envoyer (upload) des œuvres protégées audits serveurs WWW ;
    • tout client FTP n’intégrant pas des fonctions de DRM, car ces clients permettent d’envoyer des œuvres protégées ;
    • tout système d’exploitation n’intégrant pas des fonctions de DRM (GNU/Linux, Microsoft Windows, MacOS X, FreeBSD, NetBSD, OpenBSD) sur lequel peuvent tourner des serveurs WWW.

    Cette liste semble irréelle. Elle ne l’est pas, et surtout elle est loin d’être exhaustive.

    3° Le fait, en connaissance de cause, de promouvoir directement la mise à disposition du public sous quelque forme que ce soit ou l’utilisation d’un logiciel visé au 1° et 2° ci_dessus.

    Attention à cet alinéa : si par malheur vous avez, sur votre page WWW, un lien incitant à installer GNU/Linux, Mozilla Firefox, Microsoft Windows, MacOS X ou tout autre logiciel potentiellement couvert par le deuxième alinéa, vous vous rendrez complice d’un délit de contrefaçon dès lors que ces logiciels auront été signalés comme permettant la mise à disposition du public d’une œuvre protégée, même si le logiciel n’a pas été prévu pour ça.

    4° Les dispositions ci-dessus s’appliquent sans préjudice de l’application des dispositions de l’article L121-7 du Code Pénal et de celles propres à la loi du 21 juin 2004.

    L’article L121-7 du Code Pénal stipule que « est complice d’un crime ou d’un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation ». Cet article, plein de bon sens au demeurant, prend un autre aspect au regard du texte ci-dessus. Par exemple, les sociétés chargés du pressage des CDROM de GNU/Linux, devront vérifier que ceux-ci ne contiennent pas de logiciels comme le serveur WWW Apache dès lors qu’un producteur ou un éditeur aura signalé qu’il a été utilisé pour distribuer du contenu illicite. Rappelons qu’Apache, logiciel libre, donc entre autres librement redistribuable, est le serveur WWW le plus utilisé sur Internet.

    Les conséquences d’une adoption de cet amendement

    Cet amendement est extrêmement dangereux car il étend la responsabilité du diffuseur d’œuvres protégées aux fournisseurs de logiciel. Aujourd’hui, si vous placez des œuvres protégées sur un espace WWW ou que vous les partagez avec un logiciel de peer-to-peer comme BitTorrent, vous pouvez être condamné pour contrefaçon. Demain, si l’amendement est adopté, tout fournisseur ou diffuseur des logiciels vous ayant permis de le faire pourra également être condamné s’il n’arrête pas de diffuser ce logiciel.

    Autre exemple : vous utilisez aujourd’hui des logiciels pour échanger des fichiers, que ce soit à titre personnel ou professionnel ? Attention, si demain quelqu’un utilise le même logiciel pour échanger des œuvres protégées, vous risquez de ne plus pouvoir acheter ou télécharger ce logiciel, et vous n’aurez plus le droit d’en faire la promotion.

    Tout cela paraît irréaliste ? Regardons les choses en face : cela fait des années que les maisons d’édition luttent pour essayer de restreindre l’échange des fichiers par Internet. Elles rêvent d’un monde où tout serait payant et contrôlé. Il existe des œuvres artistiques librement distribuables, copiables, modifiables ? Les éditeurs ne veulent pas en entendre parler, c’est une part du marché qui leur échappe.

    Et qu’en est-il des logiciels libres ? Pensez-vous vraiment que Vivendi Universal, Sony et les autres accepteront l’utilisation de logiciels qui sont librement distribuables et modifiables ? Cela signifie qu’il est possible, dans ces logiciels ou ces systèmes d’exploitation, de ne pas utiliser de DRM. Pensez-vous vraiment que ce soit un hasard si la BSA (Business Software Alliance, une entité financée principalement par Microsoft pour faire du lobby anti-logiciel-libre) fait partie des inspirateurs de cet amendement ?

    Aux USA, le DMCA (Digital Millenium Copyright Act) interdit de contourner les mesures de protection, quelles qu’elles soient, mises en place par un fournisseur de contenu. Cette loi, décriée par les défenseurs des libertés, vous interdit de copier sur un baladeur MP3 la musique d’un CD que vous auriez acheté si le vendeur du CD essaye de vous en empêcher (et ceci même si la protection est ridiculement facile à contourner). Les derniers systèmes de protection de Sony (mentionnés en début d’article) sont incompatibles avec le iTunes d’Apple : vous ne pouvez pas copier les morceaux sur votre baladeur iPod, bien que la loi française vous y autorise.

    Est-ce vraiment ainsi que l’on veut faire évoluer les lois ? Doit-on laisser nos parlementaires se faire convaincre par les industries basées uniquement sur la gestion des droits d’exploitation (aussi appelés « propriété intellectuelle ») sans que leurs électeurs, directs ou indirects, puissent s’exprimer ? N’oublions pas qu’ils sont là pour nous représenter.

    Que peut-on faire ?

    Individuellement, chacun peut faire beaucoup. Tout d’abord, cet amendement sera voté par les députés et les sénateurs. Vous pouvez vous rechercher votre député sur le site de l’Assemblée Nationale et lui envoyer un message électronique exprimant votre opposition à cet amendement. Vous pouvez faire de même avec votre sénateur.

    Une autre action indispensable et urgente consiste à faire connaître l’existence de cet amendement et de ses origines. Vous pouvez faire un lien vers cet article, vers celui de eucd.info et/ou écrire votre propre texte sur le sujet.

    Cette menace sur les libertés et la technologie dépasse les clivages politiques, et est aussi inacceptable pour quelqu’un de gauche que pour quelqu’un de droite. Même si vous n’avez pas la même sensibilité que votre député ou votre sénateur, n’hésitez pas à leur écrire.