Bon, c'est un peu la nouvelle du jour dont tout le monde parle mais il faut la relayer. Visiblement, la Chambre criminelle de la Cour de Cassation a déposé un arrêt précisant que la collecte d'adresses IP pourra dorénavant se faire sans l'autorisation de la CNIL. En gros, n'importe qui aura désormais la possibilité de vous chopper lorsque vous téléchargerez du contenu illégal.
Comme Korben le dit si bien, désormais l'IP n'est plus considérée comme une donnée privée. Concrètement, cela veut dire que si vous téléchargez sur la mule ou sur les réseaux bittorrent, n'importe qui pourra relever votre IP, demander à votre fournisseur d'accès votre prénom, votre nom, votre adresse et vous coller un très très méchant procès aux fesses. De ceux qui risquent de réduire considérablement votre pouvoir d'achat, qui de toute manière ne se portait déjà pas bien.
Jusqu'à présent, la CNIL protégeait les données personnelles des internautes et interdisait à quiconque d'y accéder. Avec un tel arrêté, ce n'est plus le cas, n'importe quel crétin maitrisant un tant soit peu l'outil informatique pourra chopper les IP des vilains pirates, constituer un gros gros fichier et le vendre aux majors afin qu'ils défendent leurs droits et vident votre pauvre compte en banque.
Mais ce n'est pas le pire. Non, avec un tel arrêté, c'est la porte ouverte à toutes les fenêtres, comme disait l'un de mes stagiaires. Car on le sait bien, il est très facile d'usurper l'IP d'un autre internaute et il sera ainsi possible de lui nuire quelque chose de bien. Par exemple, je ne m'entends pas spécialement bien avec l'une des boîtes de mon immeuble. Manque de chance pour eux, ils n'ont jamais été foutus de sécuriser correctement leur réseau WiFi. Maintenant, je vais donc pouvoir me connecter sur leur réseau, démarrer µTorrent, faire le plein de films et de musique et récupérer en plus leur place de parking lorsqu'ils seront amenés à déposer le bilan à cause des majors qui leur demanderont des milliers d'euros de dommages et intérêts.
Et ça marche vraiment pour n'importe quoi. En effet, quand vous surfez sur le web, vous laissez trainer un peu partout votre adresse IP. Pour peu que vous ne la protégiez pas, n'importe quel webmestre pourra donc obtenir légalement vos données et envoyer Jack Bauer chez vous pour vous régler votre compte ou, pire, envoyer une lettre anonyme à votre femme avec le listing de toutes vos consultations nocturnes.
Ça fait rêver, hein ?
Note : Visiblement, je me suis emporté pour pas grand chose. D'après vos retours et ceux que j'ai pu lire chez Korben, il semblerait que le phénomène soit moins grave que je ne le pensais. Comme quoi, écrire un billet dans la précipitation n'est pas une bonne chose et je tiens à m'en excuser. Attention cependant, car il convient tout-de-même de rester très vigilant sur la suite des évènements. Que les autorités compétentes relèvent les IP de ceux qui ne respectent pas la loi et qu'ils entament une action en justice contre eux, c'est une chose, mais nous devons veiller à ce que ce phénomène ne se généralise pas. Et encore une fois, merci à Burning Hat d'avoir apporté des informations complémentaires à ce sujet délicat.
Pingback: www.fuzz.fr
C’est « juste » la collecte d’adresses IP qui est autorisée ou aussi justement le fait de lier cette adresse IP avec une identité IRL ?! Parce que si c’est juste la collecte d’IP, moi je me suis toujours demandé pourquoi c’était considéré comme une donnée privée dans certains pays vu que c’est aussi visible et facile à relever qu’une plaque minéralogique (et nettement moins nominatif « à priori » par son caractère volatil, etc.).
Maintenant si c’est effectivement la collecte passive d’adresses IP puis la liaison avec des identités physiques sans surpervision aucune qui est désormais permise, ça c’est déjà plus gênant.
Super! :/
Putin, c’est sérieux ou juste un truc qui veulent faire passer?
Si c’est le cas, ça va être la merde et je suis surpris qu’on est pas une levée de bouclier…
Mouaip alors je viens de lire l’arrêt de la cours de cassation depuis le lien vers PC Inpact donné sur l’article de Korben. C’est beaucoup plus logique et « moins grave » que ça n’en avait l’air de prime. En plus, un seul arrêté ne fait pas loi (même pas forcément jurisprudence directement) donc pas de quoi casser trois pattes à un canard à mon très humble avis. La volonté forte de filtrer le Net par l’État actuellement me fait bien plus souci que cette décision-là en fait et c’est peut-être pour ça que ça m’impressionne moins.
Pour faire un parallèle, on est dans le cas d’un type qui constate une infraction sur la route, relève la plaque du chauffard, filme et photographie la scène et tout ce que tu veux pour appuyer sa déclaration et se rend à la police. Il est important de voir qu’une fois l’IP relevée « à la main » et l’infraction constatée, une plainte a été déposé (d’après le compte-rendu) et que c’est bien la gendarmerie qui a rapproché l’IP d’une personne physique, a interpellé le « suspect » et inspecté ses machines.
@burningHat: C’est bien le fait de lier cette adresse IP à l’identité d’un internaute qui est ainsi légalisé. Alors c’est sûr, un arrêté n’est qu’un arrêté mais c’est quand même un sacré pas qu’on vient tout juste de franchir. Et ce qui m’inquiète personnellement, c’est que tu es de moins en moins protégé quand tu surfes.
Après, pour ton exemple, faut pas oublier que tu as toujours quelque chose à te reprocher. Suffit de tomber sur le mauvais flic et tu peux très facilement te faire aligner.
@Ichigo: Comme tu dis…
@Morgan: Non c’est sérieux mais personne ne bougera. A part les Geek, il n’y a pas grand monde qui comprend l’horreur de la chose.
@Fred: Euh dans l’arrêté j’ai lu tout le contraire de ce que tu dis là en fait. Il est bien spécifié dans le compte rendu que c’est la gendarmerie qui a liée l’IP à l’individu (je cite : ) et que l’agent de la SACEM n’a récolté que des données accessibles publiquement (IP, FAI (déductible facilement d’une IP sans traque particulière)).
Alors bien sûr que c’est la porte ouverte à de graves dérives mais en l’état l’arrêté n’a validé qu’une plainte traitée logiquement par les autorités compétentes suite à la constatation manuelle d’une infraction. Considéré qu’on ne peut pas relever une IP pour déposer une plainte est idiot, comment porté plainte pour piratage si on ne peut relever l’IP de l’attaquant dans les logs de son firewall et le présenter à la police franchement ? C’est la même chose… C’est d’ailleurs même la procédure standard pour constater une infraction sur le net.
Nan, je suis d’accord avec toi sur le fait que le jour où la collecte automatisée et la requête auprès du FAI par un agent assermenté indépendant de la justice sera effective, ce sera bien une catastrophe pour la liberté individuelle mais cet arrêté est tout le contraire d’après ce que j’ai compris à sa lecture.
Tiens, d’ailleurs lui a bien résumé l’arrêté en commentaire chez Korben (à part le 1er paragraphe un peu dur à l’encontre des « relais », ça sert à rien de cracher sur les gens comme il le fait) : http://www.korben.info/la-collecte-dadresses-ip-autorisee-en-france-bordel.html#comment-55085
Ok avec les explications de @burningHat ça me semble moins grave mais… j’ai l’impression qu’on descend un escalier en ce moment, et cette affaire est la première marche..
@burningHat: Le ton de mon billet était peut-être alarmiste, c’est certain, mais les faits n’en sont pas moins inquiétants. Tu commences par diminuer les pouvoirs de la CNIL, tu autorises les autorités à obtenir facilement l’identité du gars qui se cache derrière une IP et tu finis par permettre aux ayant-droits de chopper des IP à la volée. Depuis quelques temps, j’ai le sentiment qu’on se dirige tout droit vers ce type de système. Et ça, vraiment, ça me fait peur…
@Rydgel: yep merci ;)
@Fred: Yep je comprends bien et moi-même il y a beaucoup de dérives actuelles ou à venir au niveau du contrôle du réseau qui m’inquiète. Et c’est justement pour ça aussi que je tenais à rétablir un peu l’histoire du cas présent (si j’ose dire). Parce que justement, si nous, les geeks, les pros, voulont être crédibles quand on averti les gens des risques qui pèsent sur eux au niveau du contrôle, je crois qu’il nous faut éviter de céder à la parano ambiante et avancer sur des faits concrets et avérés.
Je veux dire que les paranos qui croient le net hanté par toute la fange de l’humanité et plébiscitent le filtrage massif sont certes une menace pour nos libertés individuelles mais si nous crions au loup, nous ne serons plus crédibles et ne pourrons pas l’empêcher non plus. Le tout ne fera que le jeu des lobbyistes désireux de voir le net se transformer en minitel 2.0 du coup.
Hors dans le cas présent, si on lit attentivement le compte rendu de la Cours de Cassation, il n’y a eu aucune manipulation, aucune atteinte à la juridiction de la CNIL (qui d’ailleurs n’est pas entrée en matière pour dire qu’on avait marché sur ses plate-bandes, ce qui en soit valide la procédure) ni quoi que ce soit de totalitaire mais une simple application des lois existantes (et pas depuis Hadopi mais depuis un sacré bail). Il n’a jamais été interdit de relever une adresse IP et de la transmettre aux autorités lorsqu’on constate une infraction, c’est même la procédure type (pour un admin de site par exemple: mettre offline, conserver/archiver, transmettre). Au contraire moi j’ai plutôt l’impression que la ligne de défense a été de le prétendre pour échapper à la justice. Je m’explique, avec la connaissance des lois et notamment du copyright que l’on a actuellement, télécharger des données illégalement depuis sa propre machine chez soi sur son IP c’est un peu comme faire un casse avec sa propre voiture et sans masque. Le gars qui se plaint après de s’être fait choper parce qu’on a noté sa plaque minéralogique puis que suite à la plainte la police retrouve son adresse grâce à ce numéro, perquisitionne le domicile du suspect et y trouve les traces du larsin, c’est un peu se foutre de la gueule de la justice.
En fait, et c’est noir sur blanc dans l’arrêté, l’adresse IP seule en soit n’a jamais été une donnée privée .
Non ce qui me fait vraiment peur ce sont les volontés de donner effectivement le droit à des agents d’automatiser la procédure et de pouvoir obtenir les données sans passer par les autorités judiciaires. De même que la volonté nette de filtrer les contenus massivement sur le net soi-disant « pour notre bien » (et là, si on veut vraiment flipper un peu y a des threads très intéressants sur la question dans les mailing lists spécialisées comme FRnOG). Et sur ça, évidemment, il nous faut communiquer et former un maximum les gens.
Juste une correction pour ma part, la CNIL considère l’adresse IP comme une certaine sorte de données personnelles mais établie elle-même le parallèle avec une plaque minéralogique dans sa définition. Ce qui du coup ne contredit guère de nouveau la finalité de la décision de justice rendue ci-dessous (n’importe qui a le droit de relever à la main une plaque minéralogique et de la communiquer à la justice le cas échéant). Bref, c’est pas forcément un point qui remet en question l’ensemble de mon pamphlet précédent :p
C’était Gad Elmaleh ton stagiaire Fred ? :wink:
C’est Gad qui a inventé la porte ouverte à toutes les fenêtres.
@burningHat: Bon, va vraiment falloir que je me penche sur ce bug qui m’interdit d’agrandir la zone de rédaction des commentaires, hein… Cet enfoiré ne veut pas de mon rows=50, il m’envoie bouler quelque chose de bien… :mrgreen:
Après avoir lu attentivement ton pamphlet (en fait je l’ai relu deux fois parce que je n’ai vraiment pas les yeux en face des trous en ce moment), j’ai réalisé mon erreur : quand tu rédiges un billet très rapidement pour coller à l’actualité, tu as parfois tendance à lire les choses en diagonales. Les subtilités de cette information m’ont donc échappé et heureusement que tu es là pour veiller au grain. Du coup, pour que ce soit plus clair, j’ai édité mon billet en conséquence.
Après, je dirais que le gros problème de l’adresse IP, c’est qu’il ne s’agit pas d’une donnée fiable. Lorsque tu relèves la plaque minéralogique d’une voiture, tu sais qu’elle correspond bien à une personne en particulier. Enfin à moins qu’elle n’ait prêté son véhicule ou qu’on le lui ait volé, bien entendu. Or justement, avec une IP, ce n’est pas le cas. Il suffit de fouiner un minimum pour apprendre à usurper l’IP d’un internaute. Même chose pour les réseaux WiFi non sécurisés, qui sont bien plus nombreux que ce que l’on croit.
Alors certes, on est bien d’accord, l’adresse IP seule ne fera pas foi. Du moins pas pour le moment, et c’est heureux. Comme tu le dis toi-même, ce que je crains pour ma part, c’est une généralisation du phénomène.
@BROliv- Le grand bro des 2 BroS du Site du skateboard: Euh… On va dire que oui, comme ça je vais pouvoir faire mon intéressant pendant une poignée de secondes ;)
@Fred: Ouaip j’allais le dire pour la zone d’édition, surtout que devoir rédiger sur TextEdit puis copier/coller, ça fatigue à la longue :p
Yep, je comprends bien ce qui s’est passé va, ça arrive… pas de souci, surtout si, comme tu le fais là, on prend le temps de se poser à postériori pour ré-examiner le truc. C’est cool ça, merci… et merci pour le crédit dans la note ;)
On est bien d’accord sur le côté « hautement volatile » (on dira ça comme ça) de l’adresse IP. C’est bien pour ça que je pense fermement que seules des autorités clairement définies et compétentes doivent disposer du droit de traiter les plaintes, réquisitionner les FAI et d’enquêter sur les usages hors-la-loi qui sont perpétrés sur le Net (polices d’état ou gendarmeries donc) et surtout pas des agences non-gouvernementales à la solde de lobbyistes. Car effectivement, trouver un nom attaché à une IP ne suffit pas pour désigner un coupable et seul ensuite l’examen des machines récupérées durant une perquisition pourront servir à établir concrètement que c’est bien de là qu’est partie le délit. Comme tu le soulignes si bien, sans cela, il serait trop facile sinon d’accuser monsieur machin d’avoir lancer une attaque sur le réseau de l’entreprise chose juste parce que c’est son IP qui fut relevée dans les logs du firewall de la boite alors qu’en fait il y avait juste un wardriver qui a profité de son réseau wifi.
Et ce même état doit aussi bien se garder d’être tenté d’automatiser les procédures de manière outrancières et d’être également tenté de vouloir tout/trop filter en amont. Ça ne servirait qu’à violer et restreindre le droit à la vie privée et n’aurait aucune efficacité contre la vraie cyber-criminalité.
Merci beaucoup pour ces précisions burninghat, ça rassure un peu même si ça commence par de petites choses qu’on arrive à des dérives…
Waouw, j’ai été cité sur un blog pour un commentaire que j’ai fait sur un autre blog :D. La classe !
Pour la peine, je retire ce que j’ai dis sur le « relai de l’information ». Ou disons que je l’atténue, je suis d’accord, burningHat, il ne sert jamais à rien de cracher sur les gens. J’ai parfois la critique un peu vive, c’est mal :) .
Sinon, juste comme ça histoire d’apporter ma pierre culturelle : la cour de cassation rend des arrêts, pas des arrêtés :) . Il me semble pas qu’on puisse dire arrêté dans ce cas en tout cas. Tu employais le bon terme au début, pis tu t’es laissé entrainé ^^ .
@burningHat: Oui, je sais bien, mais comme d’habitude, j’ai pas trop le temps en ce moment. Je me ramasse des super projets dans tous les sens et j’ai un peu de mal à m’organiser. Cela dit, pour en revenir au sujet, c’est quand même con parce que je vais du coup devoir trouver une autre solution pour faire déposer le bilan à la boîte d’en dessous et récupérer leur place de parking… :mrgreen:
@Morgan: Même que ça s’appelle l’effet « papillon »… Mais en nettement moins sympathique que dans le film.
@Grigrifounet: C’est le début de la célébrité. Sinon, t’as pas forcément tort sur tes remarques, perso j’avoue que je me suis bien planté sur ce billet et que je l’ai un peu mauvaise.
@Grigrifounet: yep merci et oui, à force d’aller d’un texte à l’autre je me suis aussi un peu mélangé dans les termes et mis de « l’arrêté » là où il n’en fallait point. Imprécision que je mettrais sur le compte de mes connaissances limitées de l’art ;)
@Fred: ne me parle pas d’organisation et de gestion du temps en ce moment, ça me rend fou comme tu le sais. Pareil que toi en gros: 150’000 trucs à faire et pour hier de préférence + la préparation pour la release de 2.0 et tout :) je devrais vraiment arrêté d’être un gentil sysop/formateur et virer BOFH, ça serait tellement plus simple :p
Désolé pour ton ex-futur-place de parc ;) (« aaaah » dis-je en songeant à ma tuture bien au chaud dans son garage douillet :p)
Ah oui, la RC1 du 2.0 va te bouffer pas mal de ressources système, mon pauvre. Et fais gaffe, ces petites bêtes là sont assez vicieuses, y a de fortes chances que ton 2.0 te balance des DoS dans les dents. Et si cela peut te rassurer, la RC2 est pas mal non plus. :)
Au fait, t’as déjà repeint la chambre ?
@Fred: nope pas repeint la chambre (ni le garage d’ailleurs :p) mais acheté les meubles par contre ! ;)
T’abuses, va falloir que tu te mettes au boulot ;)