ADOPI n'en finira donc jamais de nous navrer. Dernier épisode en date, fin de semaine dernière, la parution au Journal Officiel du décret instaurant la fameuse "contravention de négligence caractérisée". Je ne me lancerai pas dans une analyse juridique de ce texte, comme Kevin a pu le faire sur le statut de la labellisation des moyens de sécurité, d'autant que Me Eolas vient de le faire.
Je vais m'en tenir aux réflexions que m'inspirent ce décret qui vient ajouter sa pierre à l'édifice déjà branlant de la sécurisation des accès personnels. Car ce n'est clairement pas en faisant peser la responsabilité de leur sécurisation sur le maillon le plus faible qu'on améliorera la situation...
Cette nouvelle prune pour "négligence caractérisée" est définie par l'article R. 335-5 du Code de la Propriété Intellectuelle. Je ne vais pas copier ici l'article en question que vous lirez vous-même et vais me contenter de reprendre la clarification proposée par Me Eolas :
Constitue une négligence caractérisée [...] le fait, sans motif légitime, pour la personne titulaire d'un accès à des services de communication au public en ligne ayant fait l'objet d'une recommandation de sécurisation de cet accès par la commission de protection des droits en application de l'article L. 331-25, de ne pas avoir mis en place un moyen de sécurisation de cet accès ou d'avoir manqué de diligence dans la mise en œuvre de ce moyen si cet accès est à nouveau utilisé aux mêmes fins frauduleuses dans l'année qui suit cette recommandation.
Comme Bluetouff, je reste assez dubitatif devant cet énoncé. Dubitatif car cet article met clairement la charrue avant les bœufs. Comment en effet peut-on définir une infraction à un concept qui n'est lui-même pas défini ? Car le moins qu'on puisse dire, c'est que les questions de fond demeurent, encore et toujours, sans réponse :
- qu'est-ce qu'un moyen de sécurisation ?
- quelles sont les fonctionnalités qu'on en attend ?
- qu'est-ce que la diligence en matière de mise en œuvre de ces moyens ?
- quand commence-t-elle ?
- quand s'arrête-t-elle, i.e. comment juge-t-on avoir fait assez ?
Les réponses aux deux premières questions sont censées se trouver dans le fameux cahier des charges pour la réalisation de moyens de protection labellisés. Sauf que ce cahier des charges n'a toujours pas été publié. La labellisation s'en trouve évidemment bloquée, mais pas seulement sur ce point, puisqu'on ne sait toujours pas qui sera en charge de la délivrer[1] et selon quelle méthodologie. Ceci dit, dans la mesure où on ne sait pas non plus ce qui est entendu par "protection", il est difficile de se faire une idée. Pour s'en convaincre, je vais renvoyer à la récente mésaventure d'Orange. Non pas à l'epic fail en lui-même, mais plus au fonctionnement du logiciel en lui-même dont le but n'est en aucune façon de sécuriser l'accès de son utilisateur, mais de bloquer des moyens de téléchargement spécifiques. Donc même dans le meilleur des mondes, ça aurait été 2EUR pour se protéger... de rien...
Les réponses aux points suivants sont infiniment plus difficiles car elles renvoient directement à la notion au combien floue d'état de l'art. Ce concept varie en effet dans le temps et dans l'espace[2], et change en fonction du contexte et des besoins. Du coup, c'est quoi faire preuve de diligence ? Choisir un moyen de protection adapté ? L'installer proprement ? Le configurer correctement ? Le maintenir à jour ? Le remplacer si l'état de l'art l'exige[3] ? Comment savoir si ses efforts ont ou non été suffisants ? Comment tout ça s'accorde-t-il avec l'état de la menace ? Etc.
Bref, c'est beaucoup à mon sens pour quelqu'un a qui on aura juste envoyé une invitation lapidaire à sécuriser son accès. Sans s'intéresser au fait qu'il avait peut-être déjà déployé un moyen de sécurisation. Sans s'intéresser non plus au fait que le moyen qu'il installera ensuite ne sera peut-être pas plus efficace. Sans s'intéresser enfin au fait qu'on ne disposait possiblement pas, au moment des faits, de réponse adaptée à l'attaque qu'il a subie, et que c'est peut-être encore le cas. Bref, tout un pan technique balayé d'un revers de la main sous prétexte que de nombreuses solutions seraient déjà disponibles.
Un flou le plus total, qui a depuis longtemps dépassé le stade de l'artistique...
Mais au-delà d'un texte qui n'a ni queue ni tête, ce qui me gêne le plus est le renforcement du déséquilibre dans le partage de responsabilité que je soulevais le mois dernier. Car pendant qu'on entend taxer le end user de négligence caractérisée lorsqu'il s'avère incapable de sécuriser de son accès internet, on n'impose absolument rien aux autres acteurs de la chaîne. Ce qui revient à faire peser sur le pauvre utilisateur final l'intégralité de la responsabilité.
Bluetouff soulève très justement la dépendance des uns par rapport aux autres dans le maintien d'un bon niveau de sécurité. En effet, la négligence des uns affecte indéniablement la sécurité des autres, mais du fait du transfert de la responsabilité vers l'utilisateur final, seul ce dernier en subira les conséquences. Les conséquences, par exemple, de l'utilisation d'un moyen de sécurisation déficient qui ruinera les élans volontaristes de Mme Michu. Ou d'avoir suivi des conseils particulièrement mal avisés...
Car pour autant que je puisse en juger, personne n'est passible d'un quelconque délit de négligence caractérisé à conseiller, entre autres, l'utilisation de WEP comme moyen de protection. Pas plus qu'un éditeur quand il met sur le marché un logiciel présentant des vulnérabilités pourtant évidentes. Pas plus qu'un FAI qui propose des box dont l'accès Wi-Fi est activé en WEP par défaut, ou un autre dont la clé WPA par défaut se calcul à partir de l'adresse MAC de la box. N'a-t-on pas ici affaire à des manques de diligence, voire des négligences caractérisées ? Dans quelles mesure est-ce sanctionnable ? La réponse est laissée en exercice au lecteur ;)
Enfin, et encore une fois, c'est sur le maillon le plus faible qu'on fait peser la responsabilité. Tout le monde comprend combien il serait difficile d'établir une réglementation encadrant efficacement la qualité des moyens de sécurité mis sur le marché. Ce n'est pour autant pas une raison pour ne pas s'attaquer à ce problème crucial. Et surtout, ce n'est pas une raison pour renvoyer la balle sur la catégorie globalement la moins informée et la moins compétente de la chaîne[4].
D'aucuns se félicitent de ce texte, sous prétexte qu'il fallait bien commencer quelque part. Je ne suis pas trop d'accord. C'est d'abord céder honteusement à la facilité. C'est s'engager sur un chemin particulièrement difficile. Puisque le code de la route est cher aussi au cœur de certains que les analogies déplacées[5], imaginerait-on imposer l'utilisation d'un équipement automobile dont la distribution ne ferait l'objet d'aucune norme de qualité ou autre contrôle de conformité ? Et ce dans le but avoué d'améliorer la sécurité routière ? Franchement...
Et surtout, quel en serait le résultat ? Indéniablement une inondation du marché par des produits de mauvaise qualité dont les constructeurs peu scrupuleux ne manqueraient pas de profiter d'abord de l'obligation réglementaire ainsi établie et ensuite de l'absence de contrainte à leur égard. C'est d'ailleurs exactement ce qui est en train de se passer avec l'apparition des premiers HADOPIwares[6]...
C'est aussi exactement ce que beaucoup de gens avaient prévu. Encore une fois...
Notes
[1] Sinon que ce ne sera pas l'HADOPI...
[2] Au regard des réglementations nationales par exemple.
[3] Cf. utilisation du WEP par exemple.
[4] Il n'y a là aucun jugement de valeur : l'utilisateur final a le droit d'être néophyte, et à ce titre devrait disposer d'une information de référence qui fait aujourd'hui défaut.
[5] Je vous recommande à ce sujet la lecture d'un essai intitulé "HADOPI : un feu rouge en plein ciel ?" que j'ai trouvé suite à un quasi-spam laissé en commentaire.
[6] Logiciels qui n'offrent de toute manière, on ne cessera jamais de le rappeler, aucune protection légale !
Jeu de briques
Snake
Pacman
Bubble