Home » 3615 my life, Internet, Legislation

Réponse à la consultation HADOPI

13 septembre 2010 un commentaire
tags : , , ,
Download PDF

[On m’a signalé que le document objet du présent article n’était plus confidentiel, vous le trouverez donc ici. La haute autorité souhaite manifestement obtenir de multiples réponses à sa consultation, y compris, comme indiqué page 3, celle du citoyen lambda]

Cet article à été rédigé comme une réponse à la consultation publique de la haute autorité pour la diffusion des oeuvres et la protection des droits sur internet. N’étant pas spécialiste de l’exercice et étant avant tout bloggueur, il ressemble également à mes billets habituels. J’y réponds à la fois en tant que particulier et en tant que mandataire social d’un opérateur télécom dûment déclaré auprès de l’ARCEP.

La haute autorité me pardonnera sans doute de ne pas savoir su synthétiser ma réponse comme l’a été le document de travail.

Commençons par fixer le cadre de la-dite consultation.

Le document spécifie

La Haute Autorité pour la diffusion des oeuvres et la protection des droits sur internet (« Hadopi ») soumet à consultation publique un projet de spécifications fonctionnelles pour des moyens de sécurisation destinés à prévenir l’utilisation illicite de l’accès à un service de communication au public en ligne.

Comme il l’a été démontré, notamment par le projet de loi HADOPI1 dont le volet répressif à été en grande partie abrogé, le problème qui est à l’origine de la création de la haute autorité n’est pas l’utilisation illicite d’un accès internet par un tier mais bien un comportement sociétal constaté aujourd’hui : une majorité de citoyens consomme des contenus numériques, texte, audio et vidéo, sans en acquitter les droits correspondants.

C’est l’apparente ampleur du phénomène qui gène les ayants droits, mais nous pouvons déjà les rassurer en leur rappelant

  • qu’en 1980 il s’échangeait déjà gratuitement des cassettes audio puis vidéo dans la cour de l’école sans pour autant se faire taper dessus ni interdire de récréation,
  • que les humains n’ont toujours chacun que deux oreilles mais que malgré ca, ils sont toujours incapables d’écouter en même temps plusieurs musiques différentes (et je ne parle pas des yeux pour les films), et qu’on ne peut donc pas vendre une infinité de contenus audio & video à une même personne
  • que les personnes ayant un pouvoir d’achat conséquent n’ont généralement que très peu de temps pour les loisirs et que ceux qui n’ont pas le pouvoir d’achat sont généralement, en plus de ne pas pouvoir acheter, occupés à travailler pour pouvoir manger.

Et que donc, la marge de ventes actuellement perdues à cause du « piratage » et qui seraient éventuellement récupérable par un effet ciseaux entre la peur du gendarme et l’offre légale est probablement très faible.

Par ailleurs, on peut considérer que le sujet des travaux de Mr Riguidel est faussé dès le départ, puisque tout au long de la loi et donc du document de travail, l’hypothèse sous-jacente est que le titulaire de l’abonnement est de bonne foi et qu’il convient de l’aider dans sa tâche d’honnête citoyen en lui fournissant un logiciel lui permettant de s’assurer qu’aucune personne mal intentionnée ne détourne à son insu sa connexion à internet pour télécharger illégalement des contenus protégés par le droit d’auteur.

Elle serait également faussée si la cible était clairement identifiée comme étant l’internaute téléchargeant depuis sa propre connexion, puisque la France dispose déjà de tout l’arsenal juridique nécessaire pour faire condamner ces indélicats à une amende pouvant aller jusqu’à 300.000 euro et/ou 3 ans de prison.

Autrement plus efficace qu’une menace par mail ou par courrier, mais tellement plus couteuse pour le requérant qui devra alors trouver autre chose qu’une adresse IP à fournir à un juge pour déclencher une perquisition et qui devra également essuyer le déficit d’image de marque auprès de sa propre clientèle si jamais l’un des accusés se rebiffe et ameute un peu trop les médias.

Conservons toute fois l’hypothèse que l’utilisateur est de bonne foi et qu’il a besoin d’un outil lui permettant d’assurer une sécurité maximale sur son installation.

En page 5 du document, 4 éléments de la politique de sécurité du logiciel en question sont détaillés :

  • Observation en temps réel des flux d’information avec la possibilité pour l’utilisateur de les autoriser ou de les bloquer. Ce type de logiciel existe déjà et est intégré dans les versions récentes du système d’exploitation Windows qui demandent systématiquement l’autorisation de l’utilisateur de manière explicite avant d’autoriser un logiciel à communiquer avec le réseau. Des systèmes équivalents existent sous les autres systèmes d’exploitation mais devraient probablement être rendus plus facile d’accès, principalement sous Linux & ses dérivés.
  • Analyse de la configuration de l’ordinateur et du réseau, permettant de déceler d’éventuels logiciels indésirable, chose existant déjà sur le marché pour les plateformes sujettes à ce genre de désagrément. Le diagnostique de configuration réseau est quant à lui une idée intéressante, mais difficilement applicable compte tenu de la diversité d’équipements présents sur le marché. On peut toute fois noter qu’il doit être relativement simple de prendre en compte l’ensemble des box fournies par les FAI, certains pouvant même proposer ce type de service sans installation chez l’abonné (Free, par exemple, dont la configuration de la box est centralisée chez l’opérateur, pouvant, de facto, alerter l’utilisateur lors d’une configuration réseau trop permissive pouvant lui porter préjudice). Il s’agit ici de vérifier que les dispositifs de sécurité de la configuration réseau sans fil sont suffisants, et traite du même coup le seul réel problème de piratage ou une personne non autorisée par le titulaire de l’abonnement va l’utiliser à son insu. D’autres méthodes existent, principalement la prise en main à distance des ordinateur via des virus, mais les utilisations détournées du poste de travail de ce genre n’engendrent, jusqu’à ce jour, aucun téléchargement illégal d’oeuvre probablement du fait de l’asymétrie des connexions haut débit.
  • Le troisième élément est intéressant, c’est quasiment la seule fois que le document sous entend que le coupable de téléchargement illégal pourrait être l’abonné. Distiller de la pédagogie faussée du type « attention, le logiciel que vous allez lancer peut servir à télécharger illégalement des oeuvres » est tout à fait ridicule dans la mesure ou 99% des logiciels communiquant avec internet peuvent être utilisés dans ce but. Par ailleurs, ce genre de mesure, outre le fait qu’elle énervera passablement les gens de bonne foi de la même façon que les 10 minutes d’avertissements au début des DVD légalement achetés, sera probablement à peu près aussi dissuasive que les phrases du type « fumer tue » sur les paquets de cigarette (je suis fumeur).
  • Le dernier élément est la journalisation de l’ensemble de l’activité effectuée sur l’ordinateur, élément logiciel aujourd’hui peu répandu, si ce n’est dans le milieu de l’espionnage (des industriels ou de votre mari volage). Cette journalisation se veut confidentielle, authentique et infalsifiable au moyen d’une relation de confiance établie avec une tierce personne. Plus loin, le document insiste aussi sur le coté infalsifiable du logiciel par une vérification périodique de son code. Ce type de logiciel est en contradiction totale avec le principe du logiciel libre qui se veut ouvert à toute modification malgré ce qui est précisé en cours de page 6. Comment un logiciel pourrait être libre s’il ne peut être modifié ? De facto, aucune communauté du monde du logiciel libre ne serait à même de travailler sur ce genre de projet, laissant le développement à des industriels qui, étant donné la charge de travail prévue, devront tout naturellement être rémunéré pour ce travail. L’état n’étant manifestement pas prêt à payer la facture HADOPI, qui paiera ?

Concernant la non falsification du logiciel et des journaux produits, le document indique que c’est le logiciel qui génèrera son propre couple de clé de chiffrement/déchiffrement et qu’il enverra la clé privée au tier de confiance. Partant de ce principe, et dans l’éventualité d’un logiciel basé sur du code source libre, n’importe qui sera donc en mesure de générer les dites clés et de les stocker avant de les transmettre au tier de confiance.

Partant de ce constat, n’importe qui sera donc en mesure de déchiffrer le journal censé être infalsifiable, de le modifier, puis de le rechiffrer.

A contrario, en page 16, on apprend que le logiciel fonctionnerai à partir d’un dérivé d’une clé publique (appartenant probablement au un tiers de confiance qui conserve la clé privée) ce qui entre en contradiction avec la page 6. Dans le cas indiqué en page 16, le journal ne sera effectivement pas déchiffrable par le titulaire, mais la création d’un logiciel labellisé sera fermée au monde du logiciel libre qui n’aura probablement aucune possibilité d’échanger quoi que ce soit avec ce fameux tiers de confiance.

Toujours en page 6, l’auteur se veut rassurant, précisant que le logiciel n’enregistrera pas le détail de l’activité de l’internaute. Dès lors, comment innocenter ou confondre une personne effectuant ou pas un téléchargement illégal ? la simple concomitance horaire entre le relevé d’infraction reçu par HADOPI et le lancement d’un logiciel pouvant avoir été à l’origine de cette infraction n’étant absolument pas suffisante pour conclure ou exclure la culpabilité. Pour ce qui me concerne, par exemple, le navigateur web (pouvant servir à accéder à des fichiers en direct download) est en fonctionnement depuis l’instant ou la machine est allumée jusqu’au moment ou je l’éteint(c’est à dire jamais).

Voilà pour l’introduction.

Attaquons nous à présent aux descriptifs fonctionnels.

Nous pensions avoir affaire à une discussion autour d’un logiciel, c’est raté :

Le produit ou ce service de type informatique conforme aux SFH pourra être composé d’un ou plusieurs dispositifs matériels et/ou logiciels, dans une architecture centralisée et/ou distribuée, selon les solutions définies par les concepteurs.

La justification suit immédiatement. Lorsqu’on a affaire à un grand nombre d’utilisateurs, il sera plus opportun de placer ces fonctionnalités sur le réseau plutôt que sur chaque poste. On apprends également, qu’il sera aussi plus efficace de loger ces fonctionnalités dans le boitier ADSL de l’abonné et non sur son poste de travail.

Dès lors, si on observe le cas du particulier et du logiciel embarqué dans le boitier ADSL, qu’est devenue la phrase du début du document qui précisait que ces fonctionnalités devaient pouvoir être, au choix, activées, désactivées ou désinstallées sans « reste » informatique ? Aucun équipement ADSL du marché ne permet aujourd’hui l’installation/supression de composants logiciels.

Curieusement, la totalité du reste du document parle de logiciel, laissant à penser qu’il est surtout question d’une installation poste par poste.

Suivent les descriptions assez fidèles à la réalité du terrain des logiciels existant actuellement sur le marché en matière de protection du poste informatique.

Suivent les amélioration à apporter à cet existant pour entrer dans la norme SFH. La partie antivirus a retenue mon attention. Il est en effet question que le logiciel puisse détecter d’éventuelles menaces contre lui-même. Le principe d’un virus est qu’il se multiplie et se propage sur le réseau et est donc rapidement connu. En somme, il peut être étudié et identifié. On imagine bien qu’une personne ayant trouver un moyen de contourner un logiciel de sécurisation n’ira pas le crier sur les toits et le gardera pour elle et éventuellement ses proche. Dès lors, comment un anti-virus ou un logiciel approchant pourrait valablement detecter ce genre de co-locataire indésirable s’il n’a aucun moyen de l’identifier ?

La partie suivante concerne les spécifications générales de la solution. Le but affiché est toujours de sécuriser la navigation sur internet des utilisateurs, à quoi on ajoute la possibilité de prouver qu’on pris les bonnes dispositions pour sécuriser son poste.

Suivent les descriptions technique des modules, pour en arriver à l’ergonomie du premier, le module d’administration de la solution. L’auteur décrit à peu de choses près ce qui se pratique déjà en matière d’alertes proposées à l’utilisateur et aborde ensuite l’installation de l’application, précisant que certains composants du logiciels devront être signés, fermant donc encore une nouvelle porte au logiciel libre, puis reprend l’affaire des clés de chiffrement version « page 6 » ou le logiciel est responsable de la création des clés. On ne sait décidément plus à quel saint se vouer.

Pour être labellisé HADOPI, il faudra que le logiciel se mette à jour tout seul via le réseau. Que devient la possibilité, pour l’internaute, de prouver sa bonne foi avec le journal chiffré tenu par le logiciel si celui-ci n’est plus mis à jour par l’éditeur et ne détecte donc pas, par exemple, les derniers sites de directdownload à la mode ?

Suivent les besoin spécifique de mise à jour, dont les fameuses listes noires qu’il conviendra donc de rendre définitivement publiques pour que chaque éditeur de logiciel puisse les incorporer à son logiciel. Est-on vraiment certain de vouloir livrer à toute la population le listing de tous les sites pédopornographiques du monde, sans même parler du reste ?

Terminons les mises à jour par l’évolution des usages en matière de téléchargement illégal. Plus haut dans le document, l’auteur parlait d’avertissements à but pédagogique en prenant l’exemple du peer2peer. Je propose donc, étant donné les usages actuels, de prévoir également un avertissement à but pédagogique du type « Attention, vous venez de taper une adresse de site dans internet explorer. HADOPI vous rappelle que le téléchargement illégal d’oeuvres protégées est interdit ».

Concernant les performances requises en page 20, et compte tenu des spécification qui ont précédées, on se demande comment une application pourrait être discrète en terme de consommation de ressources sur l’ordinateur si elle doit inspecter à fond 100Mbps de trafic. Après 20 pages de descriptif, l’auteur qualifie SFH de « logiciel léger ». Lorsqu’on a un minimum expérimenté les antivirus (sous Windows par exemple) on sait très bien que ce ne sont pas des logiciels légers. En y ajoutant le reste des fonctionnalités, il y a fort à parier que le logiciel monopolise une bonne partie des ressources d’une machine récente lorsqu’il fonctionnera.

Suit l’explication du module de traitement, détaillant tour à tour les modules d’analyse de flux, de configuration de la machine et du réseau, de protocoles. Cette dernière partie fait un parallèle assez déroutant entre la « maturité informatique » de l’utilisateur et le volume et/ou la vitesse des flux échangés. J’avoue ne pas très bien comprendre la relation de cause à effet.

Suit une description assez poussée des systèmes d’alerte aux différents niveaux du logiciel puis un listing détaillé de tout ce qui est susceptible de se trouver dans le journal de l’application ainsi le détail de la protection du dit journal où le symptôme d’asymétrie des pages 6 et 16 remonte à la surface.

D’un coté, il est explicitement dit que le logiciel ne doit pas transmettre d’information à des tiers, mais on dit aussi que le titulaire pourra obtenir la version déchiffrée du journal. Soit le tiers de confiance fourni la clé de déchiffrage, supprimant ainsi le coté infalsifiable du journal, soit le journal est envoyé au tiers de confiance pour décryptage, brisant ainsi le respect de la vie privée et l’engagement de non communication des informations.

Suit, page 31, l’indication que le logiciel base la totalité de sa journalisation sur un serveur NTP. Encore une nouvelle porte fermée au logiciel libre, puisque l’éditeur est supposé maintenir un serveur de mise à jour et un serveur NTP redondés et sécurisés, chose financièrement inaccessible à la majorité des développeurs aujourd’hui.

La page 32 continue d’entretenir la confusion sur le fonctionnement des clés asymétriques et introduit une notion techniquement irréaliste. L’application est censée prévenir l’effacement des journaux qu’elle génère. Comment faire pour éviter qu’une personne (un salarié dans une entreprise, par exemple) qui a décidé d’effacer des fichiers ne le fasse ? C’est tout bonnement impossible. Une fois le journal effacé, sur qui retombe le défaut de sécurisation ? le titulaire est de bonne foi et l’utilisateur, s’il a bien manoeuvré, ne peut être confondu par aucune preuve tangible ou numérique, puisqu’il peut prétexter un mauvais fonctionnement du logiciel ou de l’ordinateur en lui même, en allant peut-être jusqu’à détruire volontairement le disque dur pour faire croire à une panne.

La page 34 instaure une obligation systématique de signer une charte avant d’accéder à internet en mobilité. Ce sera donc la mort définitive de tous les accès wifi gratuits, les personnes les ayant installé ayant généralement autre chose à faire que de vérifier des identités, photocopier des passeports, noter les horaires d’allés & venues, etc …

Ce dispositif supposerait aussi que l’utilisateur installe Un logiciel labellisé sur son ordinateur. Je vois d’ici la récèption d’un hotel demander à un touriste d’installer le logiciel HADOPI.

Le document se termine sur le descriptif des profils utilisateur à mettre en oeuvre et les caractéristiques qui y sont attachés.

Revenons à présent au but de ce document.

Il s’agit de décrire les fonctions et comportements d’une application destinée à prévenir l’utilisation illicite d’un accès internet.

Remettons les choses à leur place, 999 fois sur 1000, si ce n’est plus, le titulaire de l’abonnement sait pertinemment que son accès est utilisé pour télécharger illégalement des contenus. A aucun moment dans le document il n’est fait mention de

  • la façon dont sont traités les ordinateurs et terminaux mobiles sur lesquels il ne sera pas possible d’installer une protection
  • la façon dont le logiciel pourra détecter et journaliser le branchement d’un autre ordinateur ou périphérique au réseau qui, lui, ne sera pas équipé d’un logiciel labellisé et pourra donc faire tout ce qu’il veut sur internet sans que ce soit journalisé pendant qu’un journal tout propre sera tenu sur l’ordinateur « officiel » du titulaire, permettant de le disculper lors d’une éventuelle audition devant la CPD
  • la façon de prévenir la perte des données incluses dans le journal, seules informations qui, en l’état, permettent de disculper un internaute accusé à tord, par exemple en cas de crash (volontaire ou pas) de disque dur

Alors que ce sont pourtant les trois actions les plus évidentes à faire si quelqu’un veut à la fois se protéger des foudres de la haute autorité et continuer à télécharger illégalement.

Le document se veut rassurant sur les possibilités de sécurisation du monde du logiciel libre, mais il est manifeste qu’aucun développeur de logiciel libre ne pourra s’investir dans ce genre de projet et que, mécaniquement, aucun éditeur de logiciel commercial ne s’y intéressera non plus, étant donné la faible minorité de gens prêts aujourd’hui à payer pour utiliser un logiciel commercial sur un système d’exploitation libre. Nous voilà, même si je suis loin d’être spécialiste, devant un fort joli cas d’inégalité face au droit.

Restons serieux quelques instants.

Le seul moyen d’atteindre une petite partie du but fixé par le législateur à la haute autorité, c’est d’instaurer le deep packet inspection systématique, soit en coeur de réseau, soit en périphérie, et personne n’a envie de le faire, tant c’est contreproductif et dangereux pour les libertés individuelles.

Le document contient un certain nombre de bonnes idées qu’il faudrait creuser pour rendre à l’utilisateur néophyte un contrôle sur sa vie privée numérique qu’il n’a plus de nos jours (à la fois via un logiciel mais aussi une sorte de formation de terrain que les pouvoirs publics auraient tout intérêt à mettre en place), mais toute la partie concernant les fonctionnalités censées permettre à l’internaute de s’innocenter de lui-même ressemble fort à une usine à gaz qui ne produirait rien d’autre qu’un immense imbroglio juridico-technique ou toutes les parties se perdraient à coup sur, tant il est difficile, même pour un spécialiste, d’appréhender tous les dommages collatéraux qu’un tel logiciel pourrait engendrer.

La haute autorité doit, à mon humble petit avis insignifiant, réunir les parties en présence (les ayants droits, les opérateurs et les citoyens) autour d’une table pour réfléchir au modèle économique à mettre en place. Je me répète, mais même si nous, les gens du réseau, sommes des gens se voulant neutres, nous savons aussi être force de proposition qu’il convient bien sur d’écouter puis d’adapter.

Nous sommes face à un outil dont la capacité d’auto-adaptation m’étonne chaque jour, et ce depuis 20 ans. Il est impossible de le contrôler, certains arrivent tout juste à influer dessus. Il faut apprendre à vivre avec et à l’utiliser, de la même façon qu’on peut utiliser la force d’un adversaire contre lui au judo sans se faire trop mal et sans lui faire trop mal non plus.

Je n’ai rien sur moi pour lire l’avenir à l’heure ou j’écris ces lignes, mais je peux constater chaque jour que

  • le chiffre d’affaire général généré par et sur internet (construction du réseau, abonnements des utilisateurs, vente en ligne, etc …) est largement plus élevé que ceux des industries de la culture et de l’art.
  • qu’il né tous les mois de nouveaux modèles économiques originaux et que des gens réussissent et vivent très bien avec ces modèles.
  • j’ai peur qu’il arrive un jour ou nous serons contraints de choisir, faute de s’être entendus aujourd’hui. Et je doute que ce soit internet qui perde la bataille, ce qui serait fort dommageable pour ceux qui ne s’y seront pas adapté.

Proposition aux artistes

Partant du constat que ça n’a manifestement rien de très amusant d’aller télécharger des contenus illégalement juste pour le plaisir de les télécharger (même s’il existe beaucoup de téléchargeurs compulsifs), mais qu’il est également manifeste que se battre systématiquement contre le même mur ne mène à rien, si toute fois vous constatez une réele baisse de vos revenus ces dernières années et qu’elle n’est pas imputable aux intermédiaires entre vous et votre clientèle, seriez-vous enclins à réviser votre façon de voir les choses si on vous prouvait par A+B qu’a production artistique égale, votre revenu serait égal voir supérieur en passant du modèle « je vends des disque » au modèle « je diffuse sans restriction mes contenus à la communauté qui me rémunère en échange » ?

Pas une licence globale ou l’intégralité des fonds collectés sans l’avis individuels des payeurs finaux seraient reversés selon d’obscures règles définies par on ne sait trop qui.

Non. Simplement, vous créez un site, vous y mettez vos contenus sous licence Creative Common (comme ce blog, avec éventuellement quelques restrictions supplémentaires si vous le souhaitez), vous vous constituez une fanbase via les réseaux sociaux qui seront vos meilleurs ambassadeurs et vous gagnez de l’argent :

  • par la vente de produits dérivés
  • par la vente privée en avant première de certains de vos contenus à vos fans (moyennant, pourquoi pas, un abonnement récurrent)
  • par la vente des droits de reprise et de modification de vos oeuvres
  • par les dons de gens qui, content d’avoir pu découvrir votre oeuvre sans bourse délier, trouvent qu’il est juste et sain de vous rémunérer directement
  • par vos prestations live, qui seront de plus en plus suivies et rentables à mesure que vous entretiendrez votre fanbase
  • par la vente matérielle de votre oeuvre sur les anciens supports, il existe encore un tas de gens qui aiment les boites à CD ou les pochettes de vinyles

Evidemment, selon ce principe, vous ne serez fort probablement jamais aussi riche que Céline Dion. Pire, lorsque vous vous arrêterez de produire, votre revenu fondra probablement comme neige au soleil, mais … vous savez sans doute que c’est le lot de beaucoup de gens ?

Et puis entre nous, écoutez ça puis ça (scrollez dans la musicbox blanche située à droite et cliquez sur « last monday ») … laquelle des deux oeuvres mérite le plus gros revenu ? Si on laisse de coté les goûts de chacun, ces deux artistes n’ont-ils pas produit un travail équivalent, question qualité ?

Alors bien sur, comme moi, vous créez dans l’ultime but de devenir le richissime et unique maître du monde, mais vous savez aussi qu’il faut revenir sur terre à un moment. Cela fait 20 ans que je produit des oeuvres de l’esprit (logiciels et textes) librement diffusés, je mange à ma faim, ma famille aussi, tout va bien, merci.

One Comment »

  • K. said:

    « Le seul moyen d’atteindre une petite partie du but fixé par le législateur à la haute autorité, c’est d’instaurer le deep packet inspection systématique, soit en coeur de réseau, soit en périphérie, et personne n’a envie de le faire, tant c’est contreproductif et dangereux pour les libertés individuelles. »

    Un autre point bien plus important que des considérations de droits et d’économie, l’effet de bord de la mise en place du scannage, et ou du deep packet sniffing, ferait que les utilisateurs passerait sur d’autres moyens de communications, ce qui augmenterait significativement les risques réel de sécurité, et là il s’agit de véritable risque de sécurité nationale.

    Et personne ne le veut , n’est ce pas ?

    Il faut oublier le contrôle absolu. Faire de la prévention serait plus utile et moins risqué : se rapprocher par exemple de google qui met des messages intermédiaires sur les risques encourut sur certains sites.

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


quatre − 3 =