Le jeudi, c'est LOPPSI

lors que le corps presque exsangue d'HADOPI n'en finit pas de se faire étriper sur la blogosphère, un autre projet de loi pointe le bout de son nez. Il s'agit bien évidemment de LOPPSI, avec deux P comme dans "hippopotame", et son volet sur la cybercriminalité qui attire à son tour l'attention des commentateurs plus ou moins éclairés.

En tête des sujets de polémique, ont trouve évidemment le blocage des sites pédophiles et les "perquisitions numériques" à base de backdoors légales. On notera également une nouvelle mouture de l'article 226-3 qui devrait faire passer le 323-3-1 de la LCEN pour une partie de plaisir.

Mais permettez-moi de m'en tenir au filtrage uniquement pour cette fois...

Je vais m'intéresser en particulier au blocage des sites proposant du contenu pédopornographique tel que décrit dans ce projet de loi, dont la Quadrature vous propose le volet cybercriminalité en version lisible sur son Wiki. Le moins qu'on puisse dire, c'est qu'il y a de la lecture, mais si vous voulez aller directement à l'essentiel, c'est vers l'étude d'impact qu'il faut vous diriger. Je ne vais pas m'étendre comme d'autres l'ont déjà fait sur tous les problèmes soulevés par ce texte. Je vous propose plutôt de commenter deux points qui me semble particulièrement contradictoires sur ce sujet précis du blocage.

Et en guise de commencement, je tiens à préciser clairement une chose importante avant que les aboyeurs habituels n'aient fini par imposer leur manichéisme crétin. La pédopornographie me répugne au plus haut point. C'est quelque chose d'abjecte qui doit être combattu avec la plus vive énergie. Ça ne souffre pas la contestation. Mais il me semble opportun de s'interroger sur les moyens de cette lutte. En particulier, je pense qu'il faut combattre avant tout les causes profondes. Or LOPPSI ne vise pas à combattre directement la pédopornographie en s'attaquant à ses causes. Telle qu'on peut la lire, elle ne s'attaque qu'à sa manifestation sur Internet, qui est une de ses conséquences. C'est d'ailleurs clairement expliqué dans la description des objectifs de la mesure :

[Le texte] n'est pas destiné à lutter directement contre les 
contenus pédopornographiques, ni d'en rechercher les auteurs 
et les victimes. L'objectif du dispositif est de mettre en 
place le moyen de prévenir les infractions et de préserver 
l'ordre public en garantissant aux internautes la pleine 
jouissance de leur droit à la sécurité.

L'objet du texte n'est donc pas la lutte contre la pédopornographie en tant que telle. Il s'agit de faire en sorte qu'elle ne soit pas visible de l'intérieur de nos frontières. Ce qui est totalement différent. On me retorquera que le fait de priver les propriétaires de tels sites de leur public les appauvrit et contribue par la même occasion à les faire disparaître. Je pense que c'est surtout une cautère sur une jambe de bois... Loin de moi cependant l'idée que les autorités ne travaillent pas à éradiquer le problème à la source, je dis juste que ce n'est pas l'objet de ce texte, et donc qu'il ne les y aidera pas.

Ce texte contribue d'autant moins à cette lutte que ceux qui en appellent à une régulation d'Internet en France semblent ignorer la caractère mondial d'Internet. Pris sous l'angle de la globalité du réseau, on comprend mieux combien un blocage local, à l'échelle de la France par exemple, est vain et ne change rien à ce qui se passe en dehors de nos frontières. C'est un peu comme imaginer qu'on puisse régler s'affranchir du problème du spam en déployant un antispam tout seul dans son petit pré carré. Donc quand bien même se prendrait-on à rêver que ce système puisse être implémenté efficacement, il n'empêcherait pas pour autant la maltraitance de millions d'enfants aux quatre coins de la planète. Il la cacherait juste. Un peu comme on change de chaîne pour ne pas se miner le moral avec un reportage sur la faim dans le monde à l'heure du repas...

Ce qui m'amène au deuxième point de mon propos, à savoir l'efficacité de ces mesures. Là encore, c'est le texte qui nous apportent les arguments qui jettent le doute sur la pertinence du procédé. Ainsi, on peut lire au paragraphe "Analyse des causes et des contraintes qui doivent être prises en compte." :

La très grande majorité des images de pornographie enfantine 
sont diffusées sur Internet par des sites hébergés à 
l'étranger. L'actionnement des hébergeurs à l'étranger est 
inefficace voire impossible du fait de la volatilité des
sites qui migrent régulièrement d'hébergeurs et de pays. En 
outre, l'intervention judiciaire par la procédure d'entraide
internationale intervient bien souvent dans des délais qui
ne sont pas compatibles avec la durée de vie des sites
pédopornographiques qui se limite à quelques heures. 
Par exemple, la diffusion par spam de l'adresse d'un site 
pédopornographique provoque un pic de tentatives de connexion 
dans les premières heures de la diffusion du pourriel ; un 
blocage qui ne serait effectif que 48 heures après les 
premiers signalements de l'adresse, serait une réponse 
inadaptée. Au Royaume-Uni, les mises à jour de la liste noire 
sont quotidiennes.

On nous explique donc avec le plus grand sérieux que l'essentiel des sites mettant à disposition ce genre de contenus ont une volatilité très importante, avec des durées de vie qui se chiffrent en heures. Je ne suis pas spécialement callé en pédopornographie. Ee fais en effet partie de cette catégorie exceptionnelle des gens qui surfent toute la journée mais ne sont manifestement pas encore assez exposés pour tomber par accident sur ce genre de contenu. Aussi je suppute qu'ils font ici référence au système Fast Flux, bien connu pour l'hébergement des sites de phishing, lesquels se montrent terriblement résistants aux tentatives de blocage ou de fermeture comme l'ont démontré Richard Clayton et Tyler Moore, ce dernier ayant présenté une partie de leurs résultats à Deepsec en 2007. Et de conclure naturellement que tout dispositif qui ne permet pas de prendre en compte ce facteur serait inadapté.

À la lecture de ce passage, il est évident que 48 heures sera un délai trop long. Mais l'exemple du Royaume Uni qui rafraichit sa liste quotidiennement est également un exemple de système inadapté. Car si la durée de vie du site se compte en heures, c'est dès les premières minutes qu'il faut pouvoir le bloquer pour espérer être efficace. Or, le patron de l'OCLCTIC, Christian Aghroum, donnait récemment une interview à PC Inpact sur ces histoires de filtrage blocage. Et voici ce qu'il nous déclarait à propos des délais d'exécution :

[Les opérateur] sont inquiets, car on parle de "sans délai"
par exemple, mais comme je leur expliquais "sans délai" cela
ne veut pas dire tout de suite. Cela veut dire "sans délai"
dans la prise en compte de la demande qui leur est faite.
Après, il est évident que s'il leur faut 3 jours pour
effectivement y arriver, il leur faudra trois jours. On ne va
pas leur demander de faire cela en 10 minutes.

On se doute bien qu'il faudra moins de trois jours à un opérateur pour mettre à jour sa liste d'URLs bloquées^[1] et propager la modification sur l'ensemble de ses points de filtrage. Cependant, j'ai du mal à croire que la durée qui va séparer la première détection du site de la mise en place effective de son blocage par l'ensemble des opérateurs du territoire national se chiffre en minutes. Bref, je doute fort que ce délai s'accomode des contraintes exprimées plus haut et permettent de fournir une réponse adaptée à la résilience de tels sites.

Au-delà d'un positionnement qui me rappelle le soi-disant arrêt du nuage de Tchernobyl à nos frontières, c'est surtout la perspective de la spirale dans laquelle pourrait nous entraîner ce premier pas vers un flicage généralisé du net en France. Je vais m'arrêter là sur ce terrain glissant, le point Godwin^[2] n'étant pas très loin. Mais tout de même...

Mon avis à ce propos aurait pu être plus nuancé, voire presque candide, si ce texte ne venait pas s'inscrire dans une actualité déjà bien chargée en la matière. Après la loi DADVSI, après l'examen de la loi HADOPI à l'assemblée et les nombreux incidents qui l'ont émaillé, ma confiance en la clairvoyance de ceux qui légifèrent ces temps-ci a atteint le fond^[3]. Il m'est en particulier terriblement difficile de croire qu'aucune extension de ce dispositif à d'autres contenus, dont l'illégalité pourrait être beaucoup plus discutable, ne verra le jour sous la pression de quelque groupe qui trouvera son intérêt dans l'application de ce régime à son cas particulier...

Notes

[1] Pour autant qu'il s'agisse d'URLs...

[2] Je les laisse au camp d'en face...

[3] Ce qui ne les empêche pas de creuser encore...