Régulièrement, je reçois des courriers me demandant des précisions sur mes billets, ou des conseils en relation avec mes activités sur le net. Je prend toujours le temps d'y répondre en longueur, mais certains messages gagneraient à être plus largement diffusés, car les mêmes questions reviennent régulièrement.
Ainsi, les mails concernant la protection de la vie privée tournent souvent autour de deux thèmes : comment protéger sa vie privée dans telle ou telle activité, et est-ce légal de vouloir la protéger avec un outil précis. Voici le dernier message que j'ai reçu à ce sujet.
Je vous écrit suite au fait que vous soyez noté comme adresse de contact du noeud de sortie Tor "rebelZ".
Ce dernier est à priori hébergé en France sur une machine chez GANDI. Vu que je m'intéresse à la situation actuelle de Tor vis-à-vis de la législation autour des télécommunications qui a tendance à se durcir en France, je me demandais si vous aviez eu le moindre problème légal jusqu'ici.
Par ailleurs, quelles sont vos relations avec GANDI ? Leur avez-vous demandé avant de démarrer ce relai ? Vous ont-ils déjà transmis des plaintes concernant ce service ?
Merci d'avance si vous preniez le temps de répondre à mes quelques questions.
PS : Je vous joint ma clé GnuPG si vous désiriez me chiffrer votre réponse.
Je suis effectivement un client de Gandi, sans rien de particulier : je leur confie la gestion de plusieurs DNS, utilise leurs systèmes de blog, d'hébergement et de courrier. Bien que je trouve leurs prix élevés depuis quelques temps (principalement à cause de l'augmentation de la concurrence) je reste chez Gandi car la qualité de service est élevée : uptime correct, interfaces web efficaces, et une bonne assistance en cas de soucis.
Ainsi, lorsque j'ai besoin de déployer rapidement un petit serveur pour héberger un projet ou tester quelques outils, j'utilise l'hébergement mutualisé de Gandi. La machine rebelz (rebelz.Clauzel.nom.fr) est l'une d'entre elles. Elle n'a rien d'extraordinaire, si ce n'est le fait qu'elle n'accepte que des connexions chiffrées (https, ssh, svn+ssh, etc) et que ses volumes sont eux aussi chiffrés. En effet, elle sert actuellement de plate-forme communautaire à un petit groupe de chercheurs de mon laboratoire. Pour parler technique, il s'agit d'un serveur headless mutualisé Debian constitué d'une seule part (1/64e).
En ce qui concerne TOR (couplé à outils comme privoxy, socat et tsocks), je l'utilise depuis ses débuts, et j'ai pour habitude de mettre en place des relais là où je le puis afin de renforcer son usage. C'est donc tout naturellement que j'ai mis en place un nœud sur rebelz.
À ma connaissance, TOR n'a jamais été impliqué dans le cadre d'une enquête judiciaire en France, aussi bien en simple relais qu'en nœud de sortie. Mais le mieux serait d'interroger directement des juristes spécialisés. Néanmoins, comme il s'agit là d'assurer le rôle d'opérateur technique permettant l'interconnexion de systèmes informatiques, je ne vois pas la possibilité pour un juge de mettre en cause l'administrateur : en effet, rendre responsable l'administrateur de l'usage qui est fait du relais obligerait également à rendre responsable France Télécom des appels circulant par ses lignes. Inconcevable, quoi qu'en disent les ayatollahs de LOPPSI.
En ce qui concerne l'utilisation des machines virtuelles de Gandi, les conditions générales de l'hébergement (article 3) ne font aucune mention de la mise en place de relais de services. Les seules contraintes sont le respect de la législation française (droit d'auteur, diffamation, etc) et la gestion en « bon père de famille ».
En résumé : TOR, yabon.
7 réactions
1 De Cassandre - 25/09/2009, 08:59
Néanmoins, n'est-il pas possible que dans le cadre d'Hadopi ce logiciel soit ciblé comme étant contraire à la "nouvelle éthique" d'utilisation du net en "favorisant" l'anonymat et donc par extension pour ces imbéciles du gouvernement, le piratage ?
2 De Damien Clauzel - 25/09/2009, 14:06
Probablement pas, car TOR (et donc son administrateur) assure dans ce cas le rôle d'interconnexion technique. En effet, les ressources dans le TLD virtuel .onion ne sont accessibles que par TOR, ce qui oblige donc à passer par lui. La loi prend en compte ce genre de situation, en déchargeant l'administrateur de sa responsabilité. Ce qui est d'ailleurs une bonne nouvelle pour France Télécom, qui serait autrement coupable de toutes les utilisations du téléphone à des fins illégales :)
3 De Fabien - 27/09/2009, 16:38
A mon avis, c'est surtout le vide juridique international qui joue. Tor va au delà de l'interconnexion technique (comme le ferait un router) car utilisé comme un proxy, il change donc l'adresse IP du client (en cascade). Certes, en France, seuls les fournisseurs de "services de communications électroniques" ont obligation de conserver des logs Utilisateurs/IP/Sources/Destination/Date&heure, mais pas les intermédiaires pour l'interconnexion technique s'il ne font que transférer les données, sans changer la source et la destination. Or un proxy modifie l'adresse source : il doit donc conserver les logs, en tout cas en France, sinon l'utilisateur officiel de l'IP (le noeud) est tout simplement responsable du traffic (et présumé coupable avec HADOPI). Donc Tor c'est bien, mais il ne faut pas être un noeud de sortie en France.....
4 De Damien Clauzel - 28/09/2009, 17:34
Il y a clairement un problème de législation internationale, mais aussi des challenges pratiques : comment réguler ce qui par nature est chiffré, décentralisé et anonymé ?
Je ne suis pas entièrement d'accord : un proxy ne réécrit pas nécessairement l'adresse source; il peut être transparent. De la même façon, il peut être avec ou sans cache, faisant de lui (ou non) un serveur de données.
TOR a la possibilité de se comporter en routeur (visible identifié), en pont (invisible inconnu) et en serveur (visible anonyme); sachant qu'il n'est pas possible (sauf erreur d'administration) de déterminer si le nœud de sortie est la source d'une requête ou son simple routeur, la présomption d'innocence prévaut.
Actuellement, il n'existe pas de juridiction française ou européenne sur l'utilisation de TOR. Les premiers jugements sont donc à suivre de près.
Je vais préparer un mini tutoriel montrant comment HADOPI, qui s'appuie sur les adresses IP, est inapplicable du point de vue technologique. Cela sera plus simple.
5 De Fabien - 28/09/2009, 23:10
Bien sûr que Hadopi n'est pas réellement applicable : le but est de faire peur par des exemples (et ça marchera au moins au début) pour que Mme Michu achète "le tube de l'été" à 1€ le Mo ou Lost à 3€ l'épisode en VOD. Après, ils s'en ficheront que certains continuent à télécharger en passant par des réseaux sécurisés divers, tant que la majorité ne le fait pas...
Surtout, ils se fichent des problèmes techniques ou de taper sur la bonne personne : aucune importance que tu ais réellement téléchargé ou pas. La seule question est : qui est la personne solvable rattachée à cette ip ayant servi au téléchargement du fichier XY - et pas de présomption d'innocence ici, au "mieux", tu es responsable de laisser faire. C'est un peu comme si on te rendait responsable d'un accident avec ta voiture lorsqu'elle est utilisée par un autre - et oui c'est triste, mais on va en arriver là...
Bref ;-)
@+
6 De Tabou - 01/02/2010, 21:19
Bonjour,
Le VPN est-il une alternative crédible ?
7 De Damien Clauzel - 02/02/2010, 10:32
Le VPN ? Tout dépend pour quoi.
Concrètement, un VPN apporte principalement deux choses :
- la confidentialité des données entre le point d'entrée (ici, l'ordinateur
de l'utilisateur) et le point de sortie (le prestataire mettant à disposition
le VPN)
- une localisation logique (c'est à dire, sur internet) différente de celle
habituelle de l'utilisateur
TOR va plus loin que cela en apportant la possibilité de masquer l'existence d'une transaction au milieu d'un flot de données aléatoires, de publier des données anonymement (le TDL.onion), etc.Disons que TOR et un VPN sont assez proches, mais ne remplissent pas le même usage. C'est difficile de donner une réponse dans le cas générique.