n en a lu des tonnes sur cette décision de justice prononcée par la Cour Fédérale allemande de Karlsruhe. Malheureusement, il semblerait que certains aillent un peu vite en besogne. Comme Dancho Danchev sur Zero Day qui laisse imaginer la création d'une unité de wardrivers au sein de la police teutonne tout en dissertant sur la solidité de mots de passe prétendument rendus obligatoires.
Car contrairement à ce que beaucoup titrent, le jugement ne semblerait pas imposer de moyen de protection particulier. D'ailleurs, personne, en dehors des troublions habituels, ne semble s'intéresser tout simplement au bien fondé du jugement...
Passons sur la relaxe de l'internaute, même si le point prête à rire. L'argumentation avait déjà été discutée au plus fort de la polémique autour d'HADOPI en tant que moyen fallacieux d'y échapper. Il semblerait donc que certains aient du mal à comprendre que certains principes du monde physique s'appliquent relativement mal au monde numérique, en l'occurrence tout ce qui tourne autour de l'ubiquité. Mais bref...
Ce jugement rappelle la quasi-obligation de sécurisation amenée par notre chère loi HADOPI. Aussi bien dans l'esprit que dans la formulation. Car si le tribunal demande à l'internaute de "vérifier si son accès Internet sans fil est sécurisé de manière adéquate", il resterait cependant assez vague sur les moyens et le niveau de protection attendu. Par contre, là où HADOPI est censé fournir à l'utilisateur des moyens validés dont on attend encore la liste, la justice allemande s'en tient à la seule notion d'adéquation. Notion à géométrie variable s'il en est. Ceci dit, le jugement semble préciser que si la mise en place d'une protection serait exigée lors de la configuration initiale de l'accès, le maintien du niveau de sécurité dans le temps par la mise à jour de l'équipement ou sa reconfiguration conformément à l'état de l'art ne l'est pas.
Or, le moins qu'on puisse dire, c'est qu'en matière de sécurité Wi-Fi, une obligation de protection énoncée ainsi est d'un flou artistique impressionnant compte-tenu de la réalité technique. D'abord, parce qu'elle ne dit rien quant à l'efficacité du type de protection utilisée. Le WEP est en effet réputé pour son inefficacité chronique, mais il n'en reste pas moins un système qui, du point de vue de l'utilisateur, nécessite la fourniture d'une clé partagée[1] et peut en ce sens être envisagé par beaucoup comme un moyen de protection. D'autant qu'il est encore proposé par défaut sur des équipements Wi-Fi quand ces derniers n'arrivent pas ouverts. De plus, rien n'est évidemment indiqué quant à la force d'un éventuel mot de passe, facteur qui reste crucial pour la sécurité d'un accès WPA/WPA2 en mode PSK... Par contre, en exonérant explicitement l'utilisateur du maintien de sa protection à jour, on induit un comportement complètement décorrélé de l'efficacité des moyens disponibles. Ce qui laisse un peu songeur face à la pléthore d'outils disponibles pour attaquer aux accès mal protégés...
Pour toute ces raisons, je ne pense pas que de telles mesures soient susceptibles de faire avancer la sécurité globale du parc Wi-Fi en l'état, en Allemagne comme en France. On ne peut en effet pas raisonnablement demander à une population largement néophyte de sécuriser correctement un accès sans lui fournir une information claire sur les moyens de protection à adopter. Parce qu'il ne suffit pas de dire à l'utilisateur que le standard de protection d'un accès sans-fil particulier est aujourd'hui WPA ou WPA2 en mode preshared key. Il faut également qu'il le configure avec une clé partagée forte, c'est à dire longue, 20 caractères minimum, mélangeant minuscules, majuscule, chiffres et caractères spéciaux, et, dans la mesure du possible, aléatoire. On ne peut pas non plus espérer que ces accès soient réellement sécurisés si cet effort ne s'accompagne d'une mise à niveau à l'état de l'art. Que dire d'un utilisateur à qui son FAI aurait fourni un routeur Wi-Fi configuré en WEP par défaut ? Saura-t-il que cette protection ne vaut pas tripette ? Sera-t-il en capacité de reconfigurer correctement l'équipement, pour autant que ce soit possible ?
En fait, ce qui me gêne dans ce jugement comme dans HADOPI, c'est un déséquilibre dans le partage des responsabilités entre pouvoirs publics, particuliers et, catégorie oubliée jusqu'alors dans ces débats, fournisseurs. Chacun a son rôle à jouer, et il semble que la responsabilité de fournir à l'utilisateur les moyens de protection adéquats et un minimum d'information leur revienne naturellement, quoi qu'ils en disent. On pourrait donc leur imposer de faciliter la tâche de l'utilisateur dans ce sens. Comme lui proposer WPA/WPA2 PSK par défaut ou encore lui fournir une GUI lui donnant une indication quant à la force de la passphrase choisie, voire un générateur de clé aléatoire. Ce que font certains, mais pas d'autres...
Toujours est-il qu'avec cette récente histoire de détournement de réseau Wi-Fi ou la constante recherche de moyens visant contourner les lois anti-téléchargement, certains pourrait peut-être commencer à réfléchir à la pertinence de certaines position quant à la possibilité que leur accès soit utilisé à des fins malhonnêtes...
PS : Si un germanophone pouvait me confirmer si oui ou non le mot de passe est évoqué comme moyen de protection dans le jugement, ce serait sympa. Merci ;)
Notes
[1] Autrement dit un mot de passe aux yeux du commun des mortels.
Jeu de briques
Snake
Pacman
Bubble