16 février 2010

Filtrage d'internet

Après les débats sur Hadopi, puis sur LOPPSI et maintenant sur LOPPSI 2, se pose le problème du filtrage d'internet.

Sans avoir l'ambition de faire une synthèse des arguments que je lis ici et là, je vais essayer d'organiser ici un peu ma propre opinion.

Je travaille depuis 1999 comme expert judiciaire en informatique, avec une grande majorité des missions dans la recherche d'images ou de films pédopornographiques. J'en ai souvent parlé sur ce blog, par exemple dans ce billet.

Je dis souvent en plaisantant que les personnes en France qui ont vu le plus grand nombre d'images pédopornographiques sont sans doute les experts judiciaires et les OPJ qui mènent ce type d'enquêtes. En même temps, il n'est pas facile de plaisanter sur ce thème, tant tout le monde en France est d'accord pour condamner ce sujet.

Mais il est évident qu'en matière de filtrage d'internet, la lutte contre la pédopornographie est un prétexte facile. Néanmoins, le filtrage va se mettre en place, quand ce n'est pas déjà fait.

Dans les affaires que j'ai traitées, quels ont été les outils les plus utilisés pour effectuer un téléchargement de données?

- la messagerie (email et pièces jointes de toute nature)
- les messageries instantanées (chat et échanges de fichiers)
- les navigateurs (textes, images, sons et vidéos)
- les outils des réseaux pair à pair (emule, shareaza, azureus, etc)
- les outils de téléchargement FTP (FileZilla, etc)
- et les scripts IRC (Panzer, etc)

Dans chaque univers, il y a un nombre plus ou moins grand de protocoles internets gérés par chaque outils. Et bien entendu, dans chaque cas, il y a des données dont le téléchargement est interdit par la loi.

Faut-il empêcher ce téléchargement et si oui, comment faire?

La réponse à la première question est assez simple: si la loi indique qu'une chose est interdite, il faut essayer de l'empêcher. Mais que faire si la loi est mauvaise? Il faut apprendre à vivre en société, et faire modifier les mauvaises lois par des actions citoyennes (la plus simple étant de voter pour des personnes qui pensent comme vous, donc de lire les programmes et de veiller à leur application).

Un gouvernement normalement responsable va s'intéresser au fonctionnement d'internet, et va chercher à y faire appliquer les lois de la République. Rappelez-vous l'affaire Yahoo et la demande de prendre toutes les mesures de nature à dissuader et à rendre impossible toute consultation de service de ventes aux enchères d’objets nazis et de tout autre site ou service qui constitue une apologie du nazisme et une contestation de crimes nazis. Nous étions en 2000...

En France, la complaisance envers les crimes contre l'humanité est un délit, mais pas aux Etats-Unis, où le premier amendement de la Constitution garantit la liberté d'expression à tous.

Il faut donc, du point de vue du gouvernement, opérer un contrôle d'internet, mais comment?

J'ai l'impression que jusqu'à présent, tous les gouvernements opéraient un contrôle, soit en direct en participant sous pseudonyme aux échanges électroniques (articles 706-35-1 et 706-47-3 du code de procédure pénale), soit "a postériori", par exemple en saisissant du matériel et en demandant une expertise judiciaire (lire à ce sujet, l'arrêté du 30 mars 2009 relatif à la répression de certaines formes de criminalité informatique et à la lutte contre la pédopornographie).

Le filtrage d'internet correspondrait donc plutôt à un souhait de passer à un contrôle "a priori" d'internet.

Un groupe de travail européen a créé le projet CIRCAMP en 2006 avec trois objectifs majeurs:
- le blocage de l’accès à des images d’exploitation d’enfants en tant que mesure préventive et en fonction de la législation nationale, par l’introduction du Child Sexual Abuse Anti Distribution Filter (CSAADF)
- l’identification et la fermeture, après enquête, des systèmes de paiement utilisés/détournés par les criminels propageant du matériel pédopornographique sur Internet à des fins commerciales
- l’identification et l’arrestation, après enquête, des responsables de la distribution, à des fins commerciales, de matériel pédopornographique sur le web.

Certains pays (Royaume-Uni, la Norvège, le Danemark, la Suède ou les Pays-Bas) ont donc mis en place, par concertation avec les FAI, une liste de filtrage des "pires sites web".

Extrait:
Les critères d’ajout à cette liste sont très stricts et la fiabilité de ladite liste est de la plus haute importance. Les critères seront encore affinés, mais les considérations suivantes seront prises en compte:
* L’enfant doit être un enfant réel. Les images générées par ordinateur, par morphing, dessinées et pseudo-images ne seront pas incluses.
* L’enfant doit être âgé de moins de 13 ans ou doit donner cette impression.
* Les fichiers doivent représenter des abus graves.
* Le site doit avoir été mis en ligne dans les trois derniers mois.


Le problème de ces listes de filtrage est qu'elles sont basées sur les adresses IP des sites webs. Elles bloquent donc parfois des groupes de sites entiers partageant la même adresse IP (pour un seul illicite).

Ce système me pose plusieurs questions:
- le contrôle de la liste exclusivement par les services de police: qui s'assure de la légalité du filtrage? La police des police?
- sur la mise en place de filtres par les FAI: n'y a-t-il pas possibilité pour un FAI de filtrer le service d'un FAI concurrent? Qui va vérifier?
- sur la mesure de l'efficacité de ce système: la pédophilie est-elle en recul dans ces pays?

La France a choisi quant à elle la voie législative, avec les lois Hadopi et LOPPSI. Mais sans trancher sur le fonctionnement du filtrage, ni les coûts associés, ni les mesures objectives d'efficacité. Sans garantie sur la liberté d'expression.

Pour ma part, je suis plutôt pour des logiciels de contrôle individuel sur le mode des antivirus ou antispyware, ou encore "adblock", mon extension fétiche de Firefox. Avec des listes chiffrées de sites bloqués, des listes blanches, etc.

Je suis pour la responsabilisation des moteurs de recherche (par exemple, le filtrage SafeSearch de Google dans la recherche d'image, débrayable au choix de l'internaute).

Et je suis pour l'utilisation des moyens actuels de lutte, sans ajouter de filtre ou de loi supplémentaires. Mais en leur donnant des moyens financiers décents.

Je finirai ce billet par une citation de Philippe Bilger extraite de ce billet (et de son contexte):
Dans quelle époque vit-on où apparemment il faut tout mâcher pour le confort du citoyen : la pensée, l'opinion, la mémoire et l'indignation? [...] on prend tellement de précautions, pour notre bénéfice paraît-il, qu'on a vraiment l'impression que notre communauté n'est composée que d'imbéciles et de pervers. Par peur de nous voir tomber dans tous les pièges possibles, on serait prêt à nous dispenser de tout.

-------------------------
Dessin de Martin Vidberg

8 commentaires:

  1. Très bon article, merci!
    "la plus simple étant de voter pour des personnes qui pensent comme vous, donc de lire les programmes et de veiller à leur application"
    => Et rédiger des billets d'opinion argumentés.

    RépondreSupprimer
  2. Très bon article en effet.

    Il est important de prendre en compte le prix que cela va nous coûter, ainsi que la perte d'argent que cela va engendrer à certaines entreprises à cause du surblocage.

    Je cite pcinpact : Dans l’hypothèse d’une liste ne dépassant pas les 2000 sites et d’une adoption uniforme d’une même technologie de blocage par les principaux FAI (3 FAI fixe-mobile, 1 FAI fixe-câble, 1 FAI fixe-DSL), le coût direct total pour le secteur sur 3 ans se décline de la manière suivante :
    * Entre 100 k€ et 3 M€ respectivement pour le blocage BGP « externalisé État » et BGP « internalisé FAI »
    * près de 5 M€ pour le blocage DNS
    * près de 15 M€ pour le blocage hybride
    * près de 140 M€ pour le blocage DPI

    Et également :
    Cela pourrait se traduire par des coûts additionnels au niveau des centres d’appels à la suite d’erreurs de blocage de domaines à fort trafic (Wikipedia, Youtube, Google…). En considérant un coût de 5 euros par appel et un taux d’appel des abonnés de 1%, le surcoût immédiat pour le FAI générique serait de 140 k€ par heure.

    RépondreSupprimer
  3. C'est un sujet très intéressants, plusieurs chose que j'aimerais pointer,

    —Premier point on commente par les pédophiles, et puis après ?  thepiratebay car c'est des vilains qui ne respectent pas la propriété intellectuelle, ensuite Indymedia car ce sont des dangereux terroristes d'ultragauche et ouma.com car ce sont des extrémistes religieux, et un beau jour un patron de presse verra son site censuré, bon d'accord c'est pas plus humiliant que de se retrouver au poste le pantalon sur les chevilles en toussant trois fois ?

    —Second point quelle est la limite (je me doute que la loi définit clairement une image pédohile) Les albums de scorpion sur wikipedia ? le Manga Hentaï ? les ados qui montrent leur cul sur 4chan ? les ados complexés qui montrent leurs partie intimes sur un forum médical ? Bref à censurer sans un contrôle on risque des dommages collatéraux ? Il faut donc un débat contradictoire devant un juge ! (ce qui aurait éviter l'incident wikipedia)

    —La neutralité du net, on va nous dire que c'est un machin pour enfants gaté et qu'on ne peut pas l'opposer a la défense des gentils nenfants ! mais qui dit filtrage dit un réseau non neutre et donc des difficultées pour un nouveau concurent de google youtube, facebook et leurs amis

    —Une dernière question, est le fait d'arrété les déviants sexuels est éfficace où la majorité des ordi qui vous sont confiés appartiennent a des habitués ? 

    RépondreSupprimer
  4. Sur un autre sujet : vous avez une blouse antistatique ?

    http://www.lepoint.fr/actualites-technologie-internet/2010-02-16/en-images-dans-le-laboratoire-des-experts-de-la-gendarmerie/1387/0/424777

    RépondreSupprimer
  5. @XXX: Je ne relève qu'une seule question dans votre commentaire (la dernière;) et je n'ai pas la hauteur de vue suffisante sur les dossiers pour vous répondre. Un expert judiciaire n'est pas tenu au courant des suites données au dossier dans lequel il est intervenu.

    @Guillaume: Je dispose de bracelets antistatiques, et j'évite de travailler en pull. Dans l'ensemble, je touche toujours une surface métallique reliée à la terre avant de démonter quoi que ce soit.

    RépondreSupprimer
  6. Bonjour,

    Un peu off topic de ce post, quoique..., j'aurais aimé avoir votre avis sur le "livre blanc sur les logs) publié par l'OSSIR (cf : http://www.ossir.org/technico-juridique/livre-blanc-sur-les-logs.shtml)

    Cordialement

    RépondreSupprimer
  7. @Karlinou: Je ne connaissais pas ce livre blanc que j'ai trouvé très intéressant.

    Pour ma part, j'applique à titre professionnel les consignes de la CNIL et celles du Comité Réseau des Universités cités dans le livre blanc.

    Cela se retrouve donc dans mes rapports d'expertise lorsque j'ai a analyser des fichiers logs, où je rappelle toutes les réserves nécessaires à la bonne lecture de ces fichiers (en particulier l'utilisation ou non de serveurs de temps).

    Merci de m'avoir signaler ce document très intéressant (mais un peu inquiétant pour un administrateur réseau. Mais la vie est toujours un peu inquiétante:)

    RépondreSupprimer
  8. Il me semble que la question du filtrage se rapporte à une question omniprésente qui s'applique à de nombreuses problématiques politiques : est-ce qu'intervenir sur les effets (ici, filtrer) est légitime et suffisant ? (Que ce soit à la place ou en complément des causes.)

    Filtrer la pédopornographie, c'est très différent que de lutter contre la pédopornographie. Cacher la poussière sous le tapis ne rend pas la pièce plus propre.

    On peut par ailleurs se demander quelle sera l'influence du filtrage sur la lutte contre la pédophilie ? Est-ce que cela facilitera la tâche de la police, ou au contraire la lui rendra plus difficile ? Qu'advient-il de celui qui se voit filtrer l'accès ? Est-il condamnable pour tentative de téléchargement, ou bien est-il tranquille ? Car s'il ne peut être l'objet de poursuites, et donc d'investigations, qui sait à côté de quoi la police peut passer ?

    Bref, je ne vais pas m'éterniser (d'autant que je n'y ai pas réfléchi sérieusement), mais je crois qu'en tournant et retournant la question du filtrage de la pédopornographie, on se rend très vite compte que les auteurs de cette proposition, soit sont des imbéciles, soit ont autre chose en tête. (Je précise à toutes fins utiles que je ne suis pas un habituel défenseur des théories du complot…)

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.