Deux semaines après avoir reçu la notification de mon amende (payable 2 mois avant que je la reçoive avant poursuite) pour une condamnation portant sur l’article 323-3-1 du code pénal (sans préalablement avoir été notifié d’une mise en cause) qui dispose :

Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

J’ai finalement reçu ce jour les Minutes du Greffe qui confirment ce que je vous expliquais dans cet article.

Update voici le jugement

Récapitulons

En 2011 je publie un script sur un de mes blogs, que l’on retrouve facilement dans Gogleuh, et j’en explique par ailleurs la motivation à cet endroit.

Je suis cité comme prévenu (pas prévenu) par le Procureur de la République le 1er avril 2014 (sinon c’est moins drôle).

Le 4 novembre 2014 je suis jugé et condamné sans même avoir été notifié d’une mise en cause, enfin plutôt si, j’ai été notifié « à Parquet », le problème étant qu’étonnamment, je n’habite pas à « Parquet ». Mais il semble que ce soit parfaitement légal… Évidemment, je n’ai donc pas pu me présenter à mon jugement vu que je n’en avais pas même eu vent, je n’ai donc pas pu me défendre. Mais peu importe.

Début août 2015, je découvre cette affaire.

Pourquoi et comment ?

Les Minutes juridiques sont assez intéressantes :

1° Il n’y a pas de partie civile, donc pas de victime ;

2° Il semblerait que pour la justice, j’étais SDF en 2014, alors que la même justice me trouvait bien pour l’autre affaire qui me visait à cette même période ;

3° L’action est menée par le Procureur de la République (l’État) ;

4° On me reproche « d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 » SANS MOTIF LEGITIME ! Les Minutes Juridiques pointent cet article (et oui, quel affreux enfoiré ce Bluetouff).

5° Si vous prenez le train en marche, mon métier, c’est la réalisation de tests d’intrusions, et mon activité annexe, l’écriture d’articles portant principalement sur Internet et la sécurité. Accessoirement, je forme aussi des gens à ces outils « à double usage » que sont les outils de chiffrement et d’anonymisation, parfois dans le cadre de missions de « coopération » (genre le truc officiel avec un .gouv.fr à la fin).

Keskidi ?

Si ce jugement est confirmé, est-ce que ça veut dire que je n’ai par exemple plus le droit de détenir des outils qui me servent aussi bien dans le cadre de mon activité professionnelle tournant autour de l’infosec que celle de presse ? D’ailleurs, le jugement ne me dit pas si j’aurais encore le droit de boire de la Ricorée, puisque c’est un équipement qui est spécialement adapté pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3.

… Blasé.

Cordialement, votre cyberterroriste préféré, aka Abou Buntu

Hors du format « corporate » du billet de blog sur le site du projet, j’essaie ici d’apporter l’éclairage du projet Caliopen sur le milieu du logiciel libre, aujourd’hui en France.

Lancer, de nos jours, en France, un projet de logiciel libre, n’est pas chose facile.

D’abord pour toutes les raisons habituelles: difficulté de trouver les ressources nécessaires, les partenaires, le financement… C’est vrai de tous les projets, dans tous les domaines.

Ensuite, étrangement, alors qu’on s’attendrait plutôt – au moins à de la bienveillance – sinon à du soutien de la « communauté » geek, celle-ci s’avère en réalité très critique, souvent négative, et généralement fort peu accueillante. Non qu’elle se désintéresse du projet: ce que j’ai ressenti pour Caliopen relève plutôt d’un très fort esprit de concurrence (y compris et surtout de la part de ceux qui n’ont ni les moyens ni l’ambition de relever le défi).

Je ne voudrais pas faire une règle de mon cas pour autant, et il est très probable que je sois largement responsable de cet état de fait: Caliopen était à la base – et volontairement – un projet assez flou. J’ai choisi de demander aux gens ce qu’ils attendaient d’un outil moderne de correspondance privée plutôt que de me lancer directement, puis j’ai de nouveau préféré passer du temps sur le design avant qu’aucune ligne de code ne soit écrite: forcément ça rend la communication plus difficile.

Il n’empêche qu’il suffit de voir le nombre de projets relevant du même domaine, ayant les mêmes objectifs, et peu ou prou la même interface pour prendre la mesure du problème (les exemples abondent: je ne compte plus les outils de domotique qu’on m’a proposé d’essayer, même après que j’ai commencé à en utiliser un).

Concurrence libre et non faussée

Chacun voit midi à sa porte.

Alors même que – parce qu’un projet de logiciel libre se heurtera toujours au moins aux murs de l’argent, de la bonne volonté, de la maîtrise d’oeuvre et j’en passe – il est si difficile de réaliser de bonnes choses dans ce domaine, au lieu de trouver des synergies et de travailler ensemble à des causes communes, chacun semble choisir de faire dans son coin un produit qu’il considère comme le meilleur possible, utilisant la meilleure techno, le bon langage informatique, la bonne méthodologie…

Et c’est également le cas de mon propre projet, Caliopen, évidemment.

Dès le départ, alors même que le projet n’en était qu’à l’ébauche la plus légère, je faisais déjà face à des comparaisons avec tel webmail à la mode (Caliopen n’est pas un webmail), tel système de remplacement du mail (Caliopen n’est pas un remplaçant de l’email), et à des critiques plus ou moins justifiée sur le manque de sécurité inhérent à ce que je voulais réaliser (Caliopen n’est pas un outil de sécurité, c’est un outil permettant d’avantage de sécurité: ce n’est pas la même chose) et sur mes choix techniques (non, Caliopen n’est pas spécifiquement prévu pour de l’autohébergement, et il y a de bonnes raisons pour ça).

J’ignore si tous les projets dont je parle – et qui se retrouvent à se concurrencer plutôt qu’à partager le boulot – ont fait face au même genre de tir de barrage, mais il est certain que toutes ces critiques n’incitent pas vraiment à la coopération, mais surtout au repli sur soi.

Et la pire de toutes les critiques, parce que la plus démotivante, n’a jamais cessé de me poursuivre jusqu’à ce jour: « C’est trop tard ».

Non Johnny, il n’est pas trop tard

D’abord parce qu’il aurait fallu se lancer au moment des révélations d’Edward Snowden, et que ma façon de travailler n’était pas raccord avec la publicité faite autour de cette affaire.

Ensuite parce que ceux qui avaient surfé sur la 1ère vague avaient sorti des produits et qu’il était inutile d’en faire d’autres.

Enfin parce que les gros s’y mettaient, et que si Apple et Google promettent du chiffrement partout, il ne sert à rien de proposer autre chose.

Pas facile de rester motivé. Et j’ai eu des périodes de doute. Mais, sur la durée, ça m’a surtout convaincu qu’au delà des difficultés inhérentes, je devais prouver à tous les sceptiques qu’ils avaient tort: il n’est pas trop tard.

D’abord parce qu’aucune des motivations qui étaient les miennes au départ n’ont reçu de réponse concrète depuis.

Non, inventer un nouveau protocole de messagerie pour initié ne peut pas répondre au fait que les États surveillent la totalité des communications. Aucune réponse uniquement technique ne peut y répondre: il faut a minima et en parallèle faire en sorte que le grand public prenne vraiment conscience des enjeux de la disparition de sa vie privée, et ça ne se fera pas en restant dans un « entre-nous », même le plus sécurisé au monde.

Non, les messageries chiffrées du type ProtonMail (qu’elles soient à base de logiciel libre ou non) ne relève pas de la problématique que Caliopen cherche à résoudre, parce que ce type de solution ne s’adresse qu’à des utilisateurs convaincus, qui seront toujours trop peu nombreux pour limiter la surveillance de masse ¹. Et d’autant moins quand ces solutions ne concernent que le courrier électronique quand la surveillance s’étend beaucoup plus largement à toute la correspondance privée, y compris et surtout à celle qui passe via les réseaux sociaux.

Et non, trois fois non, je n’ai aucune confiance dans les GAFAMs pour protéger la vie privée, non seulement parce que rien ne garantit que leur bonne volonté actuelle sera pérennisée si ça devait mettre en péril leur rentabilité, mais surtout parce qu’étant de nature hégémonique ils n’offriront jamais de solution pour les échanges entrant ou sortant de leurs propres réseaux. Sans parler de leurs modèles économiques qui sont, justement, pour le moins antagonistes de la vie privée.

Alors non, il n’est pas « trop tard » pour Caliopen. Beaucoup de travail reste à faire, et je suis le premier à me plaindre de notre lenteur même si j’en suis pour beaucoup responsable, mais nous avançons, et je suis convaincu que ce projet est plus que jamais nécessaire et utile.

Partage interdit

Mais au delà de ça, le constat de la très faible coopération qui existe dans le petit monde du logiciel libre reste patent. Nous aurions pu, et nous aurions dû, trouver des synergies avec d’autres projets, plus ou moins proches. Nous aurions pu, et nous avons essayé malgré nos faibles compétences en langues, chercher de l’aide au delà des frontières nationales (il faudrait un autre article rien que pour parler de l’enfermement français dans un monde des nouvelles technologies dominé par l’anglais). Et nous aurions dû mieux partager et convaincre du bien fondé de notre projet pour attirer d’avantage de bonnes volontés (et pour celà il n’est pas non plus trop tard).

C’est un vrai problème, et une belle ironie, que justement dans ce tout petit monde dont le maître mot est « partage » la concurrence soit si rude. Et à ce problème là, Caliopen n’apporte aucune réponse.

LC.

1Tant qu’il y aura un milliard de comptes Gmail face aux centaines de milliers de comptes ouverts chez Protonmail et consorts, ces derniers continueront d’échanger très majoritairement de manière non sécurisée.

La récup alimentaire dans les poubelles de supermarchés est toujours un crime puni jusqu’à sept ans de taule et 100.000 € d’amende. Cette pratique, devenue très courante pour les occupants de squats ou autres associations qui offrent des repas aux plus démunis, a bien failli être dépénalisée – à la marge, lire en fin d’article – suite à une disposition de la loi Royal sur la transition énergétique. Manque de bol, l’article 103 de cette loi, dédié à « la lutte contre le gaspillage alimentaire », s’est fait censurer le 13 août par le Conseil constitutionnel pour un vice de forme (l’amendement, initialement voté dans la loi Macron sur la croissance, a été rajouté en cours de route).

C’est à la suite d’un procès ahurissant, devant le TGI de Montpellier, que les parlementaires ont décidé de légiférer. Trois personnes avaient été chopées, en mai 2014, par un directeur de supermarché, l’Intermarché de Frontignan (Hérault), pour avoir osé fouiller dans ses poubelles et y avoir récupéré des denrées encore consommables. Le verdict a été prononcé le 3 février 2015.

Les prévenu.e.s ont été « dispensé.e.s de peine », mais tout de même condamné.e.s. (Mise à jour) Leur avocat, Jean-Jacques Gandini, nous précise qu’il a fait appel pour que ses clients soient relaxés « au nom de l’état de nécessité » (et indique qu’une affaire similaire s’est conclue par une relaxe à Toulouse). Les prévenu.e.s de Frontignan étaient poursuivi.e.s pour « soustraction de denrées périssables », délit assimilé à un « vol en réunion », puisqu’ils étaient trois (!), et le fait d’avoir agi de nuit en escaladant une grille est devenu une « circonstance aggravante ». Le vice-proc de Montpellier, sans rire, avait noté dans ses réquisitions : «Il y a eu pénétration dans un domaine privé sans autorisation. Il aurait été plus simple de demander la permission au directeur de l’établissement».

Demander gentiment au directeur d’un hyper de pouvoir piquer dans ses poubelles ? La bonne blague. Sans préjuger des pratiques des autres enseignes, la chaîne Intermarché a encore prouvé, fin juillet en Haute-Marne, de la haute valeur chevaleresque de ses « mousquetaires ».

(crédit: blog-zapi.com)

Alors que se prépare un campement autogéré non loin de là, près de Bure (Meuse), lieu pressenti pour y creuser une énorme poubelle nucléaire, une petite équipe se rend sur le parking de l’Intermarché de Joinville pour la récup du jour. Agacé d’avoir déjà subi la visite de ces dangereux criminels les jours précédents, le directeur fait irruption derrière le bâtiment où sont stockées ses poubelles, et les apostrophe tout en filmant la scène avec son smarte fone©. La suite est proprement hallucinante, selon le récit croquignolet qu’en ont fait les personnes présentes (ici en PDF).

Le boss de l’Inter de Joinville commence son cirque en se couchant devant le véhicule des malfaiteurs, téléphone en main, avec la gendarmerie au bout du fil, histoire d’empêcher leur fuite inopinée… Les malfaiteurs avaient déjà eu le temps de trier des légumes encore comestibles, de quoi remplir deux pauvres cagettes. Les gendarmes, un brin gênés par l’hystérie du directeur, exigent que ces cagettes soient restituées à leur propriétaire. Qui affirme devant témoins que ces légumes sont « réservés à des associations » – alibi complètement bidon, vu l’état des poubelles suintantes visitées régulièrement les jours précédents, et dont les écoulements de pourriture se déversent allègrement dans un petit cours d’eau derrière le bâtiment. « A cet instant », peut-on lire dans le récit, « la scène, déjà dingue, bascule dans une dimension surréaliste et grotesque :

le directeur bondit et saute à pieds joints sur les cagettes triées, probablement pour s’assurer que quoi qu’il arrive les copain.ines ne repartiront pas avec ces légumes qui méritent la poubelle. Silence des gendarmes gênés. La consternation se poursuit quand le directeur impose aux salariés, déjà empêchés depuis plus d’une heure de quitter leur lieu de travail, de ramasser les légumes pourris qui jonchent le sol. « Je suis patron, je ne me salis pas les mains ». Ce à quoi les salariés obtempèrent en baissant la tête. »

Ce triste sire l’a échappé belle. Car l’amendement déposé dans la loi Royal – qui devrait refaire surface un jour, si les parlementaires ont de la suite dans les idées… – prévoit précisément de punir tout acte qui viserait à rendre une denrée invendue, encore comestible, impropre à la consommation (cf le texte adopté avant censure). L’alinéa IV de l’article 103 censuré, stipule en effet que « les distributeurs du secteur alimentaire […] ne peuvent délibérément rendre leurs invendus alimentaires encore consommables impropres à la consommation ou à toute autre forme de valorisation […] ». La pratique sournoise la plus pourrie, souvent constatée dans les hypers, consiste à balancer de l’eau de javel pure, ou d’autres détergents dégueux, dans les bennes à ordures pour décourager les glaneurs de poubelles. A ce compte-là, sauter à pieds-joints pour écraser des légumes encore mangeables tomberait sous le coup de la loi. Pas trop dure non plus, la loi. Car l’amendement censuré prévoyait, pour un tel acte, une peine de 3750 € d’amende assortie d’une « peine complémentaire d’affichage ou de diffusion de la décision prononcée », ce qui la foutrait mal pour la réputation d’un patron d’hypermarché qui refuse de mettre les mains dans la merde et la pourriture…

(Légende: poubelle cadenassée à Gerone, Espagne (El Pais))

La grande distribution peut tout de même se rassurer : elle aura tout le temps pour se mettre au diapason. Car cette disposition devait entrer en vigueur au 1er juillet 2016 (et la loi laissait aux nouveaux établissements un an de délai pour se mettre en conformité). Quant à l’obligation de signer une « convention » avec une « association caritative habilitée » – qui devait servir de base légale au don des denrées invendues et encore consommables –, elle ne risque pas d’être très efficace : le « manquement » à cette disposition (passer un deal avec une association) « est puni de l’amende prévue pour les contraventions de troisième classe ». Soit, selon le barème actuel, 45 € maxi. Moins qu’un excès de vitesse. Autant dire que les mousquetaires de la distribution pourront continuer de se foutre éperdument de la « lutte contre le gaspillage alimentaire » (un phénomène non négligeable en Europe, en gros 89 millions de tonnes par an foutues en l’air).

Enfin, et vous l’aurez compris, cet amendement règle une partie du problème mais fait preuve d’une hypocrisie poisseuse. Car à aucun moment il n’est question de dépénaliser le fait, pour un individu ou un petit groupe, de piocher dans les poubelles pour se nourrir. Il faudra obligatoirement passer par une association déclarée. Les glaneurs de poubelles n’auront qu’à bien se tenir. Et des procès comme celui de Montpellier continueront d’avoir lieu, et les poursuites de ce type seront d’autant plus légitimes que le gaspillage institutionnel aura officiellement cessé. CQFD. Les mousquetaires pourront toujours jouer aux ordures sans mettre les mains dans la merde.

Voici 2 jours que je retourne dans tous les sens les publications qui auraient pu me valoir une nouvelle condamnation, cette fois au motif de l’article 323-3-1 du code pénal. Voici pour le moment l’hypothèse que je retiens si je me fie à la date des faits inscrite sur l’avis avant poursuite du 11/06/2015 que j’ai reçu le 04/08/2015 (logique), pour un jugement rendu le 04/11/2014 sans que je n’en sois, à aucun moment notifié, sans procédure contradictoire, sans même que je ne sache que j’étais mis en cause dans une autre affaire que celle de l’ANSES.

Après des heures passées à éplucher mes publications de la période des faits indiquée sur le document que j’ai reçu (à savoir la période de novembre 2011), je pense, sans aucune certitude, enfin commencer à comprendre ce qu’on me reproche.

Novembre 2011, une attaque DDOS de grande envergure vise des hébergeurs comme Gandi et NBS System pour ne citer qu’eux. La cause est identifiée : des serveurs de jeu d’OVH et de l’hébergeur allemand 1&1 sont à l’origine d’une majorité du trafic de cette attaque. De mémoire, il s’agissait des FPS de Valve, qui sont régulièrement le vecteur de ce genre d’attaques. Des explications techniques sur ce type de DDoS amplifiés sont disponibles par exemple dans cet échange. Problème : OVH ne veut à l’époque, à tort ou à raison, rien entendre et laisse faire, il ne veut pas couper les machines de ses clients gamers qui relaient sans le savoir le trafic, massif, qui paralyse plusieurs grosses cibles. Valve de son côté a mis beaucoup de temps à patcher.

Le code servant à l’attaque est identifié, je le récupère je ne sais plus trop où (ça va quand même faire 5 ans), mais comme souvent, il s’agit d’un proof of concept et non d’un code utilisable out of the box. Il démontre la vulnérabilité, ce n’est pas un soft packagé sur lequel on clic pour allumer une cible, il ne dispose pas d’interface graphique, bref il faut un minimum de compétences pour l’utiliser.

Puis je ne sais plus à quelle période, sûrement quelques mois après cette publication, peut-être même un an, je suis invité à me présenter dans un commissariat de quartier, situé proche des Halles à Paris. Je me présente spontanément, je ne suis pas mis en cause, à aucun moment on ne me notifie une garde à vue ou une quelconque mise en cause de près ou de loin, l’entretien est cordial. On m’interroge sur les motivations de cette publication, l’OPJ semblait bien avoir compris de quoi il en retournait, et ce n’est pas la première fois que j’explique clairement que ces attaques sont quelque chose de nuisible à Internet en général, et qu’elles sont stupides, ni même la première fois que je fais de la prévention là dessus en encourageant d’autres méthodes, légales celles ci, pour se faire entendre… puis, plus aucune nouvelle de cette affaire.

A l’issue de cette entrevue avec un OPJ, j’ai consenti à retirer ce proof of concept de mon blog, un blog relativement confidentiel, puisque je n’y écris pas sous mon pseudo habituel. Son but n’était donc pas de faire des milliers de clics, ils s’adressait à un public bien ciblé. Il était accessible à l’URL http://cypherpunk.fr. En outre le code en question est évidemment encore disponible sur le net.

Sur ce blog, il y avait un peu de code, principalement dans un espace privé… mais comme ça parle de sécurité et de frameworks python, c’est forcément un blog de cybercriminel, la preuve il est écrit en vert fluo sur fond noir, si c’est pas une signature de pirate ça !

Sachez que mon blog sur les engins explosifs artisanaux est localisé à cette adresse.

Je ne sais pas ce que l’OPJ a écrit dans son enquête, mais j’imagine très bien ce qu’un procureur en a pensé sans aucune explication, sans aucun recul… c’est déjà pas simple tous les jours avec Gogleuh, alors avec ça… Je vous laisse juger sur pièce avec ce que j’ai pu retrouver de ce blog défunt dans webarchives.

Ce blog me servait de base de travail, et les scripts vraiment hostiles n’étaient pas publics, ils étaient bien privés et destinés à mener des tests sur les applications de mes clients. Ah, je ne vous ai pas dit… C’est une partie de mon activité professionnelle. L’autre partie vous la connaissez, c’est d’expliquer et rendre compte dans des blogs et des sites de presse sur des problématiques liées à la surveillance et la sécurité informatique, comme ici sur Reflets, ou sur Rue89.

Mais n’ai-je pas essayé de tuer toute la planète avec une recherche Gogleuh après tout ?

Pire j’organise, depuis des années, Pas Sage en Seine, un odieux rendez-vous de hackers qui mettent à disposition du public sans motif légitime des outils et des connaissances destinées à comprendre ou à se protéger.

Quoi qu’il en soit, la loi dispose en son article 323-3-1 :

Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

Tirer dans le dos du messager ?

Comme je n’ai évidemment jamais eu accès au dossier, je suis incapable de vous dire ce qui a déclenché cette procédure ni vous dire avec certitude si c’est bien de cette affaire dont il s’agit, je sais juste qu’il n’y a pas de plaignant, ce qui complique évidemment pour moi la compréhension de ce qu’il s’est passé et qui laisse perplexe le TGI quand je lui demande des précisions sur les faits.

Le juge n’a pas retenu comme motif légitime l’information, ni le fait que la sécurité informatique soit un peu mon activité professionnelle principale… c’est un point de vue que j’entends contester attendu que je n’ai eu droit à aucune procédure contradictoire jusque là, et que ça me semble au bas mot curieux que la justice n’aie pas réussi à mettre la main sur moi pour me notifier de quoi que ce soit sur cette affaire en dehors de ma condamnation, et que parallèlement elle me trouvait très bien pour l’affaire qui m’a opposé à l’ANSES et qui m’a notamment valu une perquisition à mon domicile à peu près à la même période. Probablement une panne de fax, allez comprendre.

On a donc un délit de mise à disposition de moyens de piratage sans motif légitime. Et oui, sur un blog technique, on explique, on fait de la pédagogie, on démontre. Et croyez-le ou non, on ne démontre pas un DDoS avec des représentations de Picsou Magazine.

Pourquoi l’avoir fait publiquement ? Tout simplement parce que le code était disponible publiquement sur Internet, ça n’avait rien d’un scoop et je n’ai par exemple pas choisi de le publier sur Reflets.info qui drainait une audience autrement plus importante que ce blog. Un imbécile l’a utilisé pour taper une autre cible ? Oui et alors ? J’en suis donc complice ?
J’ai toujours eu une position un peu nuancée sur le full disclosure, je le trouve dans certains cas nécessaire, mais je pratique le responsible disclosure depuis des années, il doit y avoir un paquet d’entreprises et d’administrations qui peuvent en témoigner.

Autre chose me chiffonne, il n’y a pas de plaignant, donc pas de victime. Mais comme pour l’ANSES, un jour un procureur se réveille et décide de lancer des poursuites à mon encontre… je ne sais pas quand, je n’ai pas la chronologie de cette procédure, mais je vous fiche mon billet que ça matche pas mal avec l’histoire de l’ANSES. Hasard du calendrier ?

Le comble…

Vu que je ne sais pas grand chose à ce jour, et qu’obtenir des informations est une tâche semble t-il assez compliquée puisque même le TGI ne sait pas me renseigner, il ne me reste que cet article 323-3-1 du code pénal, objet de cette nouvelle condamnation, qui résonne comme une cruelle ironie pour des faits qui remontent au moment même où nous divulguions les affaires Amesys et Qosmos sur Reflets.info, portant sur la cession d’armes électroniques à des régimes autoritaires, et qu’à ce jour, rien n’est formellement reproché à ces entreprises par la justice.

C’est le nouvel épisode d’un truc que les internautes ne vont pas du tout apprécier, il s’agit du lancement d’une initiative visant à transformer HADOPI en un outil vraiment répressif, probablement bien aidé par le lobbying des ayants droit qui trouvait l’HADOPI un peu trop molle : pas assez de procédure, collaboration quasi inexistante à la constitution d’une offre légale et des pressions continues pour une riposte graduée plus ferme.

L’HADOPI a été ces dernières années un laboratoire qui se positionnait aux premières loges pour mesurer l’effet de la catastrophique pression exercée sur les réseaux peer to peer, les seuls qui permettaient une saine économie du partage.
La haute autorité a bien constaté une baisse de l’utilisation du P2P (il s’agit des fameux 35% de Nicolas Sarkozy, c’est ce qui permet à la commission de la protection des droits et à la présidente sortante de défendre son « bilan »), mais dans le même temps une augmentation proportionnelle de l’usage d’autres moyens, comme le direct download qui permet à quelques petits malins de s’assurer des revenus confortables sur le dos des auteurs.

 

L’HADOPI a très bien compris qu’il fallait se poser la question de reconnaitre une économie du partage pour ne pas contribuer comme elle l’a fait ces dernières années à alimenter une économie parallèle de la distribution des biens culturels. Un état de fait que la présidente sortante élude soigneusement, comme la commission de protection des droits… le bilan de l’HADOPI, nous le connaissons, c’est beaucoup d’emails, une poignée de procédures, et surtout l’explosion de cette économie parallèle des sites de direct download.

Exit les promesses de François Hollande qui pendant sa campagne voulait en terminer avec l’HADOPI, exit le « courage » parlementaire du groupe socialiste qui s’était largement opposé aux amendes automatisées… car ce sont bien les amendes administratives automatisées qui sont maintenant en ligne de mire, c’est en ce sens que le Sénat a oeuvré dans son dernier rapport parlementaire.

Sur la base d’une adresse IP, facilement falsifiable, c’est donc vers un système d’amendes automatiques que nous nous orientons, une bien belle réforme de la haute autorité et surtout de rôle de prévention et d’aide à la constitution d’une offre légale.

L’HADOPI sera désormais tout sauf indépendante en perdra non seulement son secrétaire général qui au fil des ans était parvenu à ouvrir un dialogue avec toutes les parties, même les plus opposées à la loi Création et Internet, mais elle perdra ses missions les plus nobles et les moins absurdes. L’HADOPI va montrer le visage que nous craignions depuis le vote de cette loi :

• une subvention étatique déguisée, cadeau fait aux majors ;
• Un outil exclusivement répressif : une petite milice au service exclusif des ayants droit.

L’HADOPI n’aura plus le droit de s’auto-saisir d’études, son rôle se cantonnera donc à la distribution d’amendes administratives sur la base d’une adresse IP (!), collectée par une entreprise privée mandatée par les ayants droit qui surveillera le réseau. Terminé également ses travaux autour de l’offre légale, terminé son rôle préventif.

Le changement, c’est donc maintenant.