Home » Idioties, Internet, Legislation

HADOPI et l’entreprise

25 août 2010 3 commentaires
tags : , , , ,
Download PDF

Pour rebondir sur une rapide interview de Bernard Lamon (avocat spécialiste en droit IT) publiée ce soir par FrenchWeb, nous allons faire un tour d’horizon d’HADOPI dans le monde de l’entreprise coté technique.

Comme le précise Bernard dans l’interview, le cadre règlementaire global est déjà en vigueur depuis la LCEN, les entreprise sont censée conserver des « logs de connexion » afin de pouvoir identifier la personne ayant utilisé la connexion Internet pour des activités peu recommandables. Les décrets d’application de cette loi concernant la durée de conservation des logs ne sont toujours pas parus, mais la profession s’entends généralement pour dire qu’un an est une durée suffisante.

Ce qu’HADOPI apporte de nouveau, c’est qu’une traque systématique va être mise en place. L’unique cas relevé par l’avocat dans l’interview risque donc de ne plus être seul très longtemps.

Mais techniquement, l’obligation de l’entreprise, c’est quoi ? Tout simplement d’être capable de dire « c’est lui » quand on va venir lui demander « qui a fait telle chose tel jour à telle heure depuis votre adresse IP ? »

Quels problèmes cela pose-t-il ? Tout une tripotée en fait, qui ne sont pas tous en rapport avec HADOPI, on va donc éviter de faire une liste hors sujet et en arriver au fait intéressant.

Dans 99%, si ce n’est pas plus, des entreprises, les ordinateurs des salariés se trouvent derrière un routeur qui fait du NAT. Pour les gens qui ne baignent pas dedans, le NAT (Network Address Translation), c’est un mécanisme qui permet de transformer toutes les adresses IP privées (celles du réseau local de l’entreprise) pour les faire tenir dans une ou plusieurs adresses IP publiques (celles attribuées par le fournisseur d’accès).

Vous devinez rapidement la teneur du problème, puisque ces messieurs de l’HADOPI basent la totalité de leurs attaques sur la seule information qu’ils peuvent récolter, ce sera l’adresse IP publique qui sera accusée, donc la société dans son ensemble.

Si les grandes entreprises sont à l’abri, soit parce qu’elles distribuent une IP publique par salarié, soit parce qu’elles ont investi dans des équipements capable de bloquer le trafic peer2peer ou de l’analyser, les TPE et PME (au bas mot plus d’un million d’entreprises ayant entre 1 et 49 salariés) utilisent bien souvent une connexion ADSL de particulier ne distribuant qu’une seule adresse IP, assortie du modem routeur fourni par le FAI qui ne sait absolument pas bloquer le trafic de manière sélective et encore moins l’espionner pour produire un fichier de log.

Autant, la législation mise en place par la LCEN n’était pas réellement gênante, car si un membre des forces de l’ordre venait demander à une entreprise « qui a envoyé ce mail » et qu’il était impossible de lui répondre, il trouverai bien un autre moyen de confondre la personne, et au pire la boite se ferai taper sur les doigts, autant, avec HADOPI :

  • La présomption d’innocence n’existant quasiment pas et l’employeur étant dans l’impossibilité de dénoncer le coupable, il se verra donc couper son accès internet (adieu veaux, vaches, cochons !)
  • Si par bonheur il pouvait retrouver le vilain pirate (si par exemple il n’a qu’un seul salarié ou qu’il a réussi à prendre le coupable la main dans le sac), comment cela se passerait-il ? le salarié se verrai couper sa connexion internet personnelle, chez lui, alors qu’il n’a rien piraté avec, et même si le patron l’a balancé alors qu’il n’a rien fait ? (ben oui, y’a aussi des patrons qui téléchargent)

Ils y ont pensé, à ça, nos amis du gouvernement ? Manifestement non, puisque donc, dans une TPE avec 3 salariés, ne pas dépenser, à la louche, 700 euro de matériel et 1000 à 3000 euro de prestation d’installation et de formation à l’utilisation pour pouvoir dire qui fait quoi, sans aucun respect pour la vie privée de ses salarié, c’est de la négligence caractérisée et c’est punissable.

Voyons maintenant ce qu’on peut faire si on est patron et qu’on est flippé par le sujet. Il n’y a pas grand choix. On peut :

  • soit donner une IP publique à chaque salarié. Pour ça, il faut que le fournisseur d’accès le permette, ce qui n’est le cas ni des agrumes, ni de ceux qui savent faire, ni de ceux qui ont tout compris. C’est par contre le cas de FDN, qui est le seul FAI en France à proposer cette option sans surcout sur l’abonnement.
  • soit couper purement et simplement le peer2peer. De petits logiciels libres existent, permettant de filtrer le trafic sur son réseau pour s’assurer que les salariés bossent au lieu d’aller sur facebook, mais leur installation n’est pas à la porté du premier venu.
  • soit utiliser un VPN permettant d’évacuer son trafic à l’étranger, sous des cieux ou l’HADOPI n’ira pas regarder. L’offre en la matière est entrain d’exploser, il suffit de demander à Google. Autant d’argent qui n’ira pas chez les ayants droits, en plus de celui qui va déjà chez Rapidshare.
  • soit prier pour que le juge soit clément et ne coupe pas la connexion internet de l’entreprise (ou bien que l’HADOPI capote avant l’heure, n’oubliez pas le rendez-vous du 8 septembre)

3 Comments »

  • Michael said:

    Une autre solution, c’est un firewall authentifiant ( mon ancienne boite mets sur le marché ce genre de produit de surveillance sous le nom Edenwall ). C’est un peu ironique de voir qu’en plus, le boitier est un bête pc avec une debian et un logiciel libre ( nufw ) qui loggue dans une base mysql ( et une tripotée d’autres softs de reporting, pour la plupart également libre ).

  • Bruno (author) said:

    Et ca log toutes les communications TCP/UDP ? ou bien seulement le web ?

  • domi said:

    Pour le produit en question, je ne sais pas.

    Mais NuFW sait logger pour tout ce qui passe, pour peu qu’on le lui demande.
    Après, je n’ai jamais vraiment utilisé à large échelle, je sais pas trop la quantité de données de log que ça peut générer, et si c’est « praticable » dans la vraie vie…

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


deux + 9 =