Mot-clé - réseau

Fil des billets - Fil des commentaires

vendredi 7 octobre 2011

Attaque juridique sur la tz database et ses conséquences pour le monde entier

Qu’est-ce qui s’est passé ?

Ce 30 septembre 2011 s’est produit un événement rare, d’une ampleur catastrophique pour le monde entier. Et personne ne l’a su, en dehors d’informaticiens spécialisés (administrateurs systèmes, gestionnaires de distribution de logiciels, etc.) et compétents[1].

La législation sur la propriété intellectuelle a failli déstructurer non seulement internet, mais aussi la quasi totalité des ordinateurs du monde entier. Je n’ai pas l’habitude des exagérations inutiles, donc moi-même je me surprend à écrire des choses pareilles. Et pourtant, c’est vrai.

La société américaine Astrolabe qui publie des ouvrages d'astrologie et des atlas a abusé utilisé le droit américain sur la propriété intellectuelle pour mettre hors-ligne et faire cesser l’activité autour de la tz database. Cela ne vous parle absolument pas, et c’est normal : il s’agit d’une partie de l’informatique très précise qui ne concerne pas directement les utilisateurs finaux.

La tz database ?

La tz database est un ensemble d'informations techniques sur les fuseaux horaires dans le monde. Ces informations sont utilisées partout en informatique : Détail d'horloge murale

  • Chaque fois que vous indiquez la ville où vous vous trouvez, par exemple, Europe/Paris, vous utilisez la tz database.
  • Chaque fois qu'un de vos appareils se met à l'heure automatiquement, par exemple votre magnétoscope, vous utilisez la tz database.
  • Chaque fois que vous consultez un site web votre ordinateur et celui en face se réfèrent à la tz database.
  • Chaque fois que vous notez un rendez-vous dans votre agenda électronique, vous utilisez la tz database.
  • Chaque fois que vous dépendez d'un appareil médical qui permet de vous maintenir en vie, vous pouvez être sur qu'il utilise la tz database.
  • Chaque fois que vous téléphonez, vous utilisez la tz database.
  • Chaque fois que vous prenez l'avion, vous utilisez la tz database.
  • Chaque fois que vous allumez la lumière dans une pièce, vous pouvez être sur que c'est grâce à des ordinateurs qui utilisent la tz database.

La tz database a été mise en place par Arthur Olson en 1986, pour permettre de disposer en un seul d'endroit des informations nécessaires pour gérer la data et l'heure sur les dispositifs informatiques. Avoir une seule source d'information permit à l'époque de factoriser de nombreux efforts éparpillés et de résoudre les problèmes de synchronisation. Ce projet s'est révélé être tellement pratique qu'il a été ensuite utilisé par l'ensemble des équipements qui utilisent de l'informatique; et qui donc s'appuient sur la notion de temps. De nos jours, on retrouve l'utilisation de la tz database dans la quasi totalité des équipements informatiques.

La tz database est gérée dans la grande tradition du libre : ouverture et transparence totale. N'importe qui peut rejoindre le projet, discuter de la structuration des données, participer au travail de collecte et de vérification des informations, réfléchir sur l'évolution de la gestion du temps (année bissextile, ajout et retrait de seconde pour compenser la rotation de la Terre, etc). Il est donc aisé pour n'importe quelle personne de contrôler la qualité du travail accompli et de le réutiliser.

Par une de ces bizarreries dont l'histoire a le secret, la tz database est hébergée par le NIH, ce qui convient très bien. De plus, elle est libre de toute contrainte politique et ne dépend d'aucun organisme. Ce qui correspond parfaitement aux besoins [2].

La bonne gestion de la tz database est importante car chaque année plusieurs dizaines de modifications y sont apportées : des pays sont créés et supprimés, des décisions politiques sont mises en œuvre pour limiter la consommation d'énergie (horaire été/hiver), des zones géographiques sont réaménagées, des tremblements de terre affectent la rotation de la planète, etc.

Conséquences de l'attaque juridique sur la tz database

La tz database est alimentée par des informations publiques : des lois sont votées, des arrêtés sont pris, des calculs scientifiques sont publiés… Son contenu n'est donc pas soumis à de quelconques règles d'exclusivité. En fait, c'est même l'inverse : ces informations doivent absolument être diffusées. Et au niveau international, la question politique du temps est plutôt bien gérée. Bref, rien à signaler.

Tout le monde (ou presque) dépend des informations de cette base de données. L'armée, la police, les secours aux personnes, la médecine, les transports, les entreprises, les particuliers… il n'y a aucun domaine couvert par l'informatique qui ne soit pas concerné. Et donc, la législation sur la propriété intellectuelle a failli supprimer et bloquer tout usage ultérieur de ces informations. Vous réalisez maintenant ce qui a affolé les informaticiens ?

kilo-étalon

Supprimer cette base de données équivaut à supprimer le kilo-étalon du Bureau international des poids et mesures et à interdire l'usage de sa dimension. Il n'y aurait alors plus de référence pour calibrer les machines-outils, et les conséquences seraient aussi dramatiques qu'immédiates dans tous les secteurs. Il se passe actuellement une chose similaire au niveau du temps : sa référence (ou plus précisément la grille qui permet de l'interpréter) est supprimée.

Naturellement, les informaticiens ont mis en place des procédures temporaires pour préserver le temps[3] et réfléchissent à une réorganisation de la gestion du projet pour que cela ne soit pas reproductible. Mais le problème initial demeure, à savoir que de plus en plus des actes juridiques aberrants attentent non seulement aux libertés fondamentales, mais mettent aussi en danger notre vie quotidienne.

Que des avocats agissant au nom d'une société aient pu mettre à genoux le temps, simplement en ayant une mauvaise connaissance du sujet qu'ils traitent et en abusant d'une législation créé pour protéger la rente culturelle des grands groupes internationaux, est inacceptable.

Solution(s)

Une solution serait de faire avancer les réformes sur le droit d'auteur, la protection des œuvres, et de poursuivre la législation sur les droits et devoir des hébergeurs internet afin que cette situation ne puisse pas se reproduire. C'est le but des lois DADVSI, HADOPI et LCEN. Malheureusement cette approche est vouée à l'échec, de part la nature de la technique du numérique et de celle du travail législatif. Il va vraiment falloir que le législateur accepte le fait qu'il ne peut pas simplement « réguler internet ».

Plus prosaïquement, une solution pratique serait de supprimer la propriété intellectuelle sur les œuvres de l'esprit, les logiciels, et les brevets. Pan. Ah oui, c'est vrai : cela ne plairait pas à Vivendi Universal. Donc à la place on préfère conserver une loi qui permet de casser tous les appareils informatiques avec une simple lettre de 5 pages envoyée de l'autre côté de l'océan par une personne sur laquelle on n'a aucun contrôle.

Notes

[1] Si vous êtes directement concerné et que vous n'êtes pas au courant de cette histoire, posez-vous sérieusement la question de votre qualification… vraiment.

[2] Imaginez que vos dispositifs informatiques dépendent du bon vouloir politique d'un pays tiers ; vous apprécieriez ? Je ne pense pas ; donc c'est très bien que la politique reste en dehors du projet.

[3] Ah, l'informaticien, ce héros des temps modernes. Il passe sa vie à Sauver le Monde, et le grand public ne le sait jamais.

samedi 7 mai 2011

Positionnement sur la nature et le statut de l'adresse IP

En lien avec mon positionnement sur la vie privée, je prend aussi position sur la nature et le statut de l'adresse IP.

Rappel sur l'IP

Une adresse IP est une série de chiffres et de lettres qui permet de contacter un dispositif informatique au travers d'un réseau, via une méthode de communication spécifique (protocole IP). Ainsi, tous les ordinateurs connectés à internet ne sont pas obligatoirement désignés par une adresse IP; ils le sont en revanche dans l'immense majorité des cas, mais pas de façon unique : un ordinateur a souvent plusieurs adresses IP qui permettent de le joindre et ces adresses peuvent changer [1].

Ce que (ne) dit (pas) la loi

Juridiquement, le statut de l'adresse IP est incertain : tantôt un juge la traite d'un manière, tantôt un autre la classe différemment. D'où un flou qui n'arrange personne en cas de dépôt de plainte [2].

Ainsi, pour la justice l'adresse IP est actuellement :

  • soit une donnée purement technique qui ne porte pas de valeur particulière et sert uniquement à l'interconnexion des équipements;
  • soit une information nominative qui permet d'identifier une personne derrière un ordinateur;
  • soit quelque chose entre les deux, une sorte de données technique qui peut devenir une fiche d'identité au travers d'un traitement adapté et en liaison avec d'autres données.

En résumé : il y a donc une grande incertitude sur le statut de l'adresse IP en France, ce qui ouvre la porte à toutes sortes de problèmes, mais aussi à des possibilités d'utilisation.

Networking 101 Networking 101

La question de savoir si l'adresse IP permet d'identifier (ou non !) la ou les personnes qui ont utilisé un ordinateur ordinateur est critique, car elle permet le traitement judiciaire : seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) pour obtenir du fournisseur d’accès l'identité de l'utilisateur

En effet, l'adresse IP est une série de chiffres et de lettres qui ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à une activité.

On a donc bien une différence entre l'identification d'une machine, et l'identification d'un humain. La mise en relation n'est pas automatique et doit être prouvée.

Lorsqu'on lis le Décret n°2011-219 du 25 février 2011 « relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne », ce n'est pas plus clair pour autant : si les particuliers, associations et autres n'ont pas le statut juridique de « fournisseur d'accès à internet » (qui est soumis à une autorisation de l'ARCEP), ils n'ont pas non plus nécessairement le statut juridique d' « hébergeur » (les critères sont bordéliques). La loi n'apporte donc pas réponse aux questions posées.

Je comprend la loi comme disant entre les lignes que l'IP n'est pas juridiquement classée comme une donnée d'identification nominative, et n'est donc pas pas soumise à un encadrement spécifique pour les particuliers et associations.

Les logs, en pratique

Dans le cadre des services informatiques sur internet, il est habituel que ceux-ci conservent des enregistrements sur leurs activités et les dispositifs avec lesquels ils interagissent : ce sont les « logs ».

Techniquement, un log est juste une trace numérique que l'on défini comme on veut. Il n'y a donc pas un seul format de log, mais une multitude ayant des natures et contenus différents. Un même service peut conserver des enregistrements des interactions homme-machine et machine-machine sous plusieurs formes plus ou moins explicites. Pour parler de log, il faut donc bien le préciser.

Person Network Person Network

Le mot log ne doit pas être tabou de la discussion sur la vie privée en le classant immédiatement comme pratique intrusive; il est indispensable au bon fonctionnement du net, car le log constitue la mémoire de travail des services. Sans log, toute l'informatique navigue à vue.

Dans le cadre d'un log d'apache au format combiné, je comprend que le log est anonyme, vis à vis de la loi, car l'adresse IP n'est pas une donnée qui permet à elle seule d'identifier un individu.

Ce qui me laisse perplexe, c'est la double valeur que des gens prêtent à une adresse IP. Je constate les deux discours suivants :

  1. Dans les transferts par BitTorrent, on ne peut pas identifier l'utilisateur car une IP n'est pas une personne, c'est une simple information technique pour faire circuler les données; elle peut être falsifiée, détournée, contrefaite…
  2. Dans les logs de services web (ou autres tels que le courriel), on peut identifier l'utilisateur par son adresse IP, car c'est une information nominative.

D'où ma remarque : il faut être cohérent et se poser les questions suivantes :

  • supposément, qu'est-ce qui oblige à anonymer les logs d'un serveur web ?
  • supposément, qu'est-ce qui interdit de publier les logs, anonymés ou non, d'un serveur web ?
  • un particulier ou une association mettant en ligne un site web non-participatif (c'est à dire que les visiteurs ne peuvent pas contribuer à son contenu) sont-ils des « hébergeurs » au sens de la loi ?
  • quels sont les critères qui permettent de qualifier une donnée comme étant nominative ou qui permette de réaliser l'identification d'une personne ?

Réflexion dans le cadre du Parti Ꝓirate

Le Parti Ꝓirate (PꝒ) a pris position sur le fait que l'adresse IP n'est pas une donnée nominative qui permet d'identifier la personne qui télécharge via BitTorrent. Il me semble donc logique de conclure que l'adresse IP n'est pas, pour le Parti Ꝓirate, une donnée nominative qui permet d'identifier une personne se connectant à un service web.

Le fait est que, pour qu'il y ait publication, il faut auparavant qu'il y ait collecte.

Prenons le cas du PꝒ qui, très probablement (on va dire que oui si ce n'est pas le cas) conserve un log des transactions sur son serveur web.

Est-ce que je peux demander au PꝒ de consulter et supprimer de ce log toutes les informations personnelles qui me concerne ? Bien sur, c'est ce que la loi liberté et informatique de 1978 me garanti. En revanche, le PꝒ va très certainement me répondre « on veut bien, mais on ne peut pas : on n'a pas de données personnelles sur toi ».

Qu'à cela ne tienne, je demande alors au PꝒ de me dire tout ce qui concerne l'adresse IP de mon ordinateur (par exemple, 82.239.197.205). Et là, le PꝒ me répond « heu, qu'est-ce qui me prouve que c'est bien toi derrière cet ordinateur, et pas quelqu'un d'autre ? Et même si c'est le cas, vous n'êtes pas plusieurs dans ton foyer à utiliser cet ordinateur ? ». Godferdom ! Est-ce que le PꝒ refuserait de se plier à la loi ? Non, il ne fait que l'appliquer strictement, car la loi ne l'oblige pas de communiquer tout ou une parti des log de son serveur web.

Si la collecte d'adresse IP est obligatoire à différents niveaux pour plusieurs raisons, la publication de log anonyme de serveur web est donc bien un choix que l'on peut faire, ou pas.

Conclusion

À mon sens, cette mise à disposition d'informations est neutre sur l'usage : un individu peut s'en servir pour faire de la recherche scientifique (ce qui est légal), pour assurer de façon neutre le bon fonctionnement des systèmes informatique (c'est souhaitable), mais pas pour espionner une personne (c'est illégal). Le PꝒ n'endosse pas ici le rôle du législateur qui fait la loi, du juge qui l'arbitre, ou du policier qui la fait appliquer. Il se borne à faire ce qu'il veut, dans le cadre de cette loi.

De la même façon qu'on n'interdit pas la vente des couteaux en supermarché sous prétexte que quelqu'un pourrait faire quelque chose de mal avec, il ne faut pas, à mon sens, interdire a priori le partage des données sous prétexte que cela peut être dangereux.

T3 - L'anonymat T3 - L'anonymat

L'argument le plus courant pour refuser le partage des logs d'un serveur web est le droit à l'anonymat. L'adresse IP pouvant être utilisée (au même titre qu'un numéro de téléphone, une plaque d'immatriculation, etc) pour réaliser l'identification une personne, il faut alors la protéger. Je ne suis pas entièrement de cet avis.

S'il était vrai il y a encore dix ans qu'une adresse IP permettait de faire le lien entre une personne et un ordinateur d'une façon très fiable, ce n'est plus le cas de nos jours. Les pratiques (roaming, réseaux ouverts…) et technologies (NAT, IPv6, VPN) ont évoluées suffisamment pour aboutir à un découplage toujours croissant entre l'adresse IP (qui pointe vers un dispositif technique) et une personne se trouvant en bout de la chaîne de communication.

Il me semble dangereux de statuer sur la valeur nominative de l'adresse IP : cela entraîne des fausses identifications et donc des accusations portées à tord, et bride l'innovation en contraignant fortement la collecte et le travail sur des données. L'objectif final étant ici de forcer l'anonymat sur internet, je ne pense pas que ça soit la bonne méthode.

De plus, l'anonymat doit être un choix, garanti par la loi, et non une obligation. Prendre position en faveur d'un anonymat forcé, c'est pour moi vouloir maintenir une conception citadine de la vie privée datant des années 80. Les populations ont changées, les outils et les pratiques aussi, il ne faut donc pas imposer une stagnation législative qui empêche l'accompagnement de la vie.

À lire aussi

Notes

[1] cas de l'IPv6 qui permet d'affecter plusieurs adresses à la même interface

[2] CF les commentaires de Nicolas Herzog et la fiche Jurispédia sur l'adresse IP