Frédéric Guy (TrendMicro) : «Il est extrêmement difficile d'atteindre le niveau de sécurité demandé par Hadopi»

Après son adoption définitive au Parlement, l’entrée en vigueur de la loi Hadopi n’est plus qu’une formalité (sauf si le Conseil constitutionnel la rejette).. Parmi les mesures qu’elles contient pour lutter contre la « piraterie » en ligne, Hadopi met en place la surveillance des échanges en se basant sur le contrôle des adresses IP des internautes. Adresse IP qui, si elle permet de remonter au titulaire d’un abonnement d’accès Internet, ne garantit pas l’identité de celui qui a effectué le téléchargement illégal : membre de la famille, invité ou… pirate. Frédéric Guy, expert en sécurité chez TrendMicro France, revient sur le fonctionnement des réseaux d’échanges, les méthodes de surveillance, les parades pour rester invisible et les risques encourus. Rappelez-nous quelles sont les techniques d’échange de fichiers principalement utilisées sur Internet?

Les principaux protocoles de peer-to-peer (P2P) principalement utilisés en France sont Emule et Bittorrent. C’est sur eux que devrait se concentrer la surveillance des échanges en ligne. Emule, repose sur un « hasch » du fichier, qui est indépendamment du nom du fichier et de son contenu.

Avec Bittorrent, c’est différent. Un fichier .Torrent est en quelque sorte un lien qui pointe vers l’endroit ou se trouve les serveurs qui contiennent les fichiers à partager. Un fichier Bittorrent permet ainsi de lier un ou plusieurs fichiers simultanément tandis que Emule partage tous les répertoires de partage vers un seul fichier.

Emule s’appuie sur des fichier particuliers. Le client crée une signature numérique du fichier en question indépendamment de son nom. Emule est à proprement dit un réseau dans le sens ou tous les fichiers sont partagés et mis a disposition, ainsi que ceux qui sont en cours de téléchargement. Les serveurs émule indexent les fichiers des utilisateurs connectés ce qui permet aux autres de faire une recherche « universelle » de n’importe quel fichier actuellement partagé. Il n’est pas nécessaires de réaliser une quelconque opération a priori pour mettre son contenu à disposition des autres. C’est pour cette raison qu’Emule cohabite parfaitement avec Bittorent, car Emule est un moyen de trouver des fichiers rares et uniques.

Bittorrent fonctionne sur la base d’indexes qui sont en fait un lien qui indiquent où et comment obtenir un fichier, ou plutôt un groupe de fichiers. Ainsi, un torrent est créé quand une personne souhaite mettre quelque chose de particulier (et ses dépendances éventuelles) a disposition de la communauté (le seed – la graine). Cette démarche est volontaire. Plus le torrent est téléchargé, plus il sera téléchargeable rapidement car ceux qui le téléchargent mettent eux aussi a disposition les torrents en question. Comment s’y prennent les prestataires chargés de surveiller ces échanges pour collecter les adresses IP?

Dans les deux cas, (torrent et Emule), une connexion s’établit entre ceux qui obtiennent le fichier et ceux qui le mettent à disposition. A partir de là, le plus simple consiste à télécharger un fichier, et puisque ce que je télécharge est aussi mis a disposition, je peux assez facilement savoir quelles adresses IP (les utilisateurs) sont en train de télécharger le même fichier que moi et qui par conséquent sont supposés mettre à disposition ledit fichier.

A noter que dans le cadre d’Emule, vu que l’indexation des fichiers est réalisé sur une base de hash numérique et non du nom, il se peut que tout les « téléchargeants » n’aient pas le sentiment de télécharger le même fichier. Les serveurs de connexion Emule recensent les nodes, c’est-à-dire les IP qui font partie du réseau. Les recherches sont ensuite relayées entre nodes.

Avec BitTorrent, l’organisation est un peu différente puisque les fichiers échangés sont indexés spécifiquement au niveau d’un serveur (ou plusieurs) qui mettra en relation les clients (trackers). Ces serveurs recensent les machines qui disposent du fichier et surtout ceux qui le mettent à disposition a l’origine. Cependant, les technologies évoluent déjà avec des approches open-torrent qui permettent de compliquer une éventuelle responsabilité pénale des propriétaires de ces serveurs, mais au final, les clients eux s’échangent toujours les fichiers sur des bases classiques et sont donc « visibles ».

Avec Emule, il est possible de voir qui se connecte à ma machine, quels types de fichiers y transitent et d’obtenir les adresses IP très facilement. Il suffit donc de mettre en ligne des fichiers aux noms accrocheurs pour voir qui vient les télécharger même si le contenu ne correspond pas à son nom. C’est la méthode employée par les prestataires, ce qui peut d’ailleurs être discutable d’un point de vue légal.

Pour Bittorrent, c’est un peu plus compliqué car le protocole indexe les serveurs de téléchargement et non les adresses IP des internautes. Il faut s’adresser aux serveurs pour connaître les logs de connexion, aussi bien de ceux qui mettent à dispo un contenu que ceux qui téléchargent. D’où, en aparté, le projet OpenBitTorrent de The Pirate Bay qui ne conservera pas les logs sous prétexte que c’est trop lourd à supporter.

Enfin, il existe d’autres méthodologies dites de «snifing» qui permettent de repérer le volume de données échangées en fonction des protocoles utilisés. On peut ainsi repérer les «gros» trafics vers des adresses IP résidentielles et donc supposer qu’il y a échange illégal sans pour autant qu’il soit aisé d’identifier le contenu de l’échange. Cette technique ne peut être mise en place qu’avec la coopération active de l’opérateur.

A noter aussi que certain protocoles P2P s’appuient aujourd’hui de plus en plus sur de l’encapsulation http pour se fondre comme du trafic web classique. La problématique est donc de voir ce qu’il y a dans les paquets qui transitent sur le réseau pour vérifier ce qui est téléchargé. A condition que la communication ne soit pas cryptée. Le chiffrement est-il un moyen efficace de rester invisible aux yeux des entreprises chargées de surveiller les internautes?

Les technologies de chiffrement permettent de mettre en place des VPN, des réseaux privés virtuels. Tout le trafic y est crypté et reste donc invisible du point de vue des passerelles et autres éléments du réseau. Mais à la différence des VPN d’entreprise qui sécurise une communication entre un point et un autre, les techniques de cryptage P2P permettent les connexions de «un vers plusieurs» et donnent accès à l’intégralité d’Internet car ces VPN agissent comme passerelles Internet. Ce sera donc l’IP de la passerelle qui sera visible et non celle de celui qui aura établi un VPN. Ceci étant, les clients P2P pour être efficaces s’appuient sur des connections entrantes (les ports qu’il faut ouvrir et rediriger sur sa machine : port-forwarding). Les technologies VPN, si elles permettent de rester particulièrement discret ne permettent pas de réaliser cette redirection de port en l’état actuel des offres. Les clients verront donc une chute significative de leur capacité de téléchargement (si toutefois ils s’étaient assurés de cette redirection avant ou s’ils avaient une adresse publique directement affectée sur leur machine plutôt que sur le modem routeur.)

D’autres méthodes de dissimulation existent aussi, qui sont propres aux logiciels P2P (moins fréquents en France) dont le fameux ANTs qui permet d’établir des connexions relais. C’est-à-dire que l’IP relevée n’est pas forcement une IP qui télécharge, mais une IP qui relaie vers une nouvelle destination sans que le PC ne sache qui au final met a disposition ou récupère le contenu au même titre que le routeur d’un opérateur). De plus le contenu est chiffré sur la base de clés asymétriques. Impossible donc de sniffer efficacement le contenu ou de remonter à la source sans s’appuyer sur la collaboration de tous les opérateurs qui auraient été sollicités. De nombreux autres client P2P proposent des méthodes de chiffrement mais ne se sont pas encore vraiment imposés en Europe. Les internautes vont-ils se tourner vers ces technologies pour autant?

Le côté pernicieux d’d’Hadopi est que gens vont effectivement se tourner vers des réseaux de plus en plus difficiles à surveiller. Aujourd’hui, tous les clients P2P récents intègrent des options de chiffrement ou de dissimilation d’adresse IP plus ou moins efficaces. Si elles ne sont pas activées par défaut, elles risquent de l’être dans les prochaines versions. Les utilisateurs continueront de se faire prendre car c’est le jeu du chat et de la souris et les techniques de surveillance vont s’étoffer. Mais l’effort nécessaire va devenir de plus en plus coûteux et les risques d’erreur vont augmenter considérablement.

Notons aussi que les acteurs du P2P ont promis d’inonder les divers protocoles de « téléchargement factices » qui seront émis sur le web avec des adresses sources et destination usurpées aléatoirement ce qui compliqueras grandement la capacité de trier le vrai du faux.

En page 2 : usurpation des adresses IP, risques encourus, protection des utilisateurs…