Depuis ses origines, la Hadopi est confrontée à un problème : le développement du « nattage », soit la mutualisation d'une adresse IP entre plusieurs abonnés. Un bug juridique l'empêche en effet d'adresser ses avertissements. Cette lacune, qui a profité à certains abonnés Free notamment, est en passe d'être corrigée.
Rapport annuel après rapport annuel, la Hadopi n’a eu de cesse de dénoncer la problématique dite des adresses IP nattées. Ses racines sont à rechercher dans les textes fondateurs.
Dans les délibérations révélées par Next INpact en 2010, lorsque la CNIL autorisa les sociétés de gestion collective à glaner les adresses IP sur les réseaux P2P, le numéro du port figurait bien parmi l’ensemble des données traitées par ces représentants des industries culturelles.
Cependant, à l’étape d’après, lorsque ces adresses sont envoyées à la Hadopi aux fins d’identification chez les FAI, le port source n’apparaît plus. Or, sans cette information, impossible pour la haute autorité d’individualiser l’avertissement auprès des FAI, puisque l'adresse est partagée entre plusieurs abonnés.
Le nattage face à la pénurie d’adresses IP
Ce bug conceptuel remonte précisément à un décret du 5 mars 2010 destiné à encadrer les traitements mis en œuvre par la Rue du Texel. Parmi les données passées à la moulinette, en effet, le texte cite bien la date et l’heure des faits, l’adresse IP des abonnés, le protocole P2P utilisé ou encore le nom des œuvres mis à disposition et le FAI mais non le port source, resté sur le bord de la route.
En d'autres termes, quand des adresses IP sont partagées entre plusieurs abonnés, un FAI comme Free ne sait pas identifier le titulaire du contrat. Et la Hadopi ne peut donc lui adresser son mail d’avertissement, première marche de la riposte graduée avant la lettre remise contre signature voire la transmission au parquet.
En 2015, la Hadopi expliquait dans son rapport annuel que « les fournisseurs d’accès à Internet, qui doivent faire face à une pénurie d’adresses IP, peuvent pratiquer le "nattage", c’est-à-dire partager une adresse IP entre plusieurs abonnés et ont alors besoin des références du "port source" pour identifier le titulaire de l’abonnement. »
Et puisque « les délibérations de la Commission Nationale Informatique et Libertés des 10 et 24 juin 2010 autorisent déjà les ayants droit à collecter et à transmettre à la Commission le numéro de port », elle préconisait chaudement « de modifier l’annexe du décret du 5 mars 2010 pour l’autoriser à traiter le numéro de port source utilisé ».
Selon elle, « cette modification serait d’autant plus utile qu’elle permettrait par ailleurs aux professionnels, qui mettent des accès à Internet à disposition de tiers, d’identifier l’utilisateur final à l’origine des faits de mise à disposition pour le sensibiliser sur l’enjeu et les impacts des faits de contrefaçon qu’il a commis. »
Les données traitées par les ayants droit (délibération SACEM)
Les données transmises par les ayants droit à la Hadopi (délibération SACEM)
Dans son rapport 2019, rebelote. Elle renouvelait ses appels du pied. La Commission de protection des droits, en charge de la riposte graduée, insistait en faveur d'une modification des textes pour « lui permettre de traiter les numéros des ports source et destination utilisés pour commettre les faits de contrefaçon constatés ».
Selon nos informations, 10 ans après ce vice de conception, le bug est en passe d’être corrigé : un projet de texte est enfin sur la rampe pour modifier ce fameux décret du 5 mars 2010, celui « relatif au traitement automatisé de données à caractère personnel » appelé par l’article L. 331-29 du code de la propriété intellectuelle.
Cette rustine consistera donc à rajouter la mention du port source parmi les données collectées par la Hadopi. Témoignage de cette imminence, la CNIL a déjà été saisie pour avis en décembre 2020.
30 % des dossiers partent à la poubelle chaque année
Comment donc expliquer qu’aucune rustine n’ait été appliquée depuis 2010 ? Les raisons sont à la fois historiques, politiques, stratégiques et juridiques.
Durant les premières années, les attentions se concentraient avant tout sur l’indemnisation des FAI, thème sclérosant toute autre réforme. De plus, la pratique des IP nattées n’était pas aussi populaire chez les FAI. Ensuite, durant la présidence Hollande, le sort de la Hadopi fut aussi incertain que ce président normal, même si l’institution a finalement survécu. Vint enfin un autre sujet, la grande réforme de l’audiovisuel avec à la clef la fusion Hadopi et CSA.
Avec ce décret désormais dans les starting block, outre le projet de fusion désormais acté, ces méandres seront bientôt conjugués au passé.
Reste une question : quelle est la part d’adresses IP victimes de cette problématique ? En 2013, près de 12 % des demandes d’identification adressées aux FAI tombaient à la poubelle. Soit des centaines de milliers de personnes qui n’ont pu avoir le plaisir de recevoir un avertissement.
Soulagement possible des uns, mais frustration mâtinée d’agacement pour l’autorité et en amont, les ayants droit. Ceux-là même qui font appel aux services commerciaux de l’entreprise Trident Media Guard pour collecter des IP, en partie… pour rien.
Cette proportion de 12 % était déjà énorme, mais la situation a empiré depuis. Contactée, la Hadopi nous révèle en effet que le taux de non-identification (IP fixes et mobiles) moyenné par FAI est aujourd’hui de… 30 % !
Celle-ci refuse de nous révéler les bons et mauvais élèves, pour des questions concurrentielles, mais quand l'autorité réceptionne 10 millions de saisines par an, on doit comprendre que 3 millions des dossiers envoyés par les ayants droit passent à la trappe. Avec une précision : ces trois millions de dossiers ne correspondent toujours pas à autant d’abonnés, puisqu’un même internaute peut être multi-signalé pour avoir partagé plusieurs œuvres.
Il n'en demeure pas moins que ce niveau dépasse le seuil du supportable pour l'institution chargée de remettre les brebis égarées sur la voie de l'offre légale. Guère étonnant que Pauline Blassel, secrétaire générale de la Hadopi juge aujourd’hui « très important pour nous que ce décret soit pris pour nous permettre d’identifier la quasi-totalité des adresses IP qu’on nous transmet ». Toujours selon la secrétaire générale de l'institution, c’en est même devenu « un sujet d’efficacité de l’action publique ».
Commentaires (51)
#1
Mais alors, la hadopi dit enfin un truc intelligent dans un domaine technique relevant de ses compétences ?
#1.1
Improbable.
Nous devons être face à un article du 1e avril malencontreusement publié avec deux semaines d’avance.
#1.2
Oui, mais après 11 longues années d’analyses détaillées du problème…
#2
NordVPN dit merci à Hadopi
#3
LOL, 10 ans pour rajouter 3 mots, l’immobilisme est bien en marche est rien ne l’arrêtera (dixit quelqu’un).
#4
Pour des détails techniques sur cette histoire de port source, on peut lire le RFC 6302 (qui a presque dix ans, en effet) et mon résumé sur ce RFC : https://www.bortzmeyer.org/6302.html
#5
En meme temps 30% de 0 ça fait toujours 0 condanation.
#5.1
J’allais dire, y a encore des gens qui se font choper par Hadopi ? oO
#5.2
Que des gens qui n’y connaissaient rien et ne savaient pas se défendre.
En gros, ceux sur qui il est facile de taper.
#6
La vache ! ils sont trop fort !
Je tremble … mais uniquement a cause du froid
#7
Pourtant, cette nécessité de logguer le port date pas d’hier:
https://tools.ietf.org/html/rfc6302
…. Ce qui me fait penser que dès que tu n’utilises pas UDP ou TCP ( donc qu’il n’u a pas de “N° de port” en tant que tel) , ben leur système est encore dans les choux…
C’est par exemple le cas de IPSec (ESP & AH) , IPIP, GRE, , RDP, …
https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
Tous ne “passent” pas les box opérateur ceci dit, mais quand même…
#7.1
Du coup, comment ça se passe pour ces protocoles dans le cas d’IP partagées ?
#8
Je ne sais pas trop, vu que je ne suis pas chez Free et que de ce que j’en sais seul eux utilisent A+P - j’pense que ça marche pas.
Je sais juste que certaines box NAT gèrent certain de ces protocoles, d’autres non. Chez bouygues je sais que j’ai pas de problèmes.
Un test que j’ai pas encore fait c’est en 4G : Là, c’est du CG-NAT , donc là on devrait voir ça.
Dans l’absolu ça montre surtout que le NAT reste un facteur de limitation d’usage d’internet auquel tout le monde s’adapte (par exemple en “construisant” les protocoles autour d’UDP plutôt que d’utiliser SCTP ou RDP par exemple.
Et aussi que l’IPv6 résous ça une bonne fois pour toute :-)
#9
Le principe de Schrödinger de l’Hadopi
L’état de culpabilité d’un utilisateur est inconnu tant qu’on ne l’a pas sanctionné
#10
Nuançons : le RFC 6302 dit qu’il faut noter le port SI on note l’adresse IP (ce que fait la Hadopi).
Leur système enregistre les communications sur UDP ? Je n’en suis pas sûr. Avec QUIC, où le port source et même l’adresse IP source peut changer pendant une même session, ça sera drôle.
#11
Justement, en général, ils ne passent pas à travers le CGNAT. D’où le « tout sur HTTPS » qui est la tendance moderne, due à cette ossification de l’Internet.
#12
Ou alors il faut pousser au déploiement d’ IPv6
#12.1
Pauvre fou, donner autant d’adresses à autant de monde m’enfin c’est pas raisonable
#12.2
J’allais faire la remarque, ils vont perdre du temps à faire corriger ce bug quand ce ne sera plus nécessaire puisque le temps que ce soit corrigé, on sera tous en IPv6
Moi ce qui me dérange c’est pas le fait que l’HADOPI soi totalement inefficace contre le piratage (car j’ai besoin de temps à autre de pirater parce que l’offre légal ne tient pas, donc je paye et dans certain cas je pirate ce que je paye
), c’est surtout le fait qu’elle ne fait pas ses autres tâches.
J’avais sollicité la HADOPI pour une œuvre qui n’était pas présente légalement (ni même illégalement, pour ça que j’ai sollicité l’HADOPI
) en passant par : https://www.hadopi.fr/outils-usages/signaler-une-oeuvre-introuvable
“On va faire une enquête auprès de l’ayant-droit pour savoir pourquoi cette œuvre n’est plus disponible”. Plus jamais eu de nouvelle.
(et je parle même pas de leur saloperie de site, comme les autres sites du ‘gouv, qui recharge la page toutes les 5 secondes si tu n’autorises pas les cookies).
#12.3
Sous Firefox tu peux bloquer le rafraichissement automatique des pages web, dans about:config, puis accessibility.blockautorefresh sur true. Sous Edge ou Chrome, je ne connais pas la méthode mais ça doit être possible.
#12.4
Merci pour l’astuce mais ça ne fonctionne malheureusement pas car les sites mal développés comme le site de l’HADOPI force le reload avec un script, donc je suis obligé de kill le javascript pour pas qu’il reload en boucle toutes les 5 secondes rendant le site inutilisable.
#12.5
Comment as tu configurer ton navigateur ? J’utilise Firefox et Edge en mode strict et le site de la Hadopi ne se rafraichit pas automatiquement chez moi, même lorsque je refuse les cookies.
#12.6
Le dépôt de l’ensemble des cookies est totalement bloqué par CookieMaster jusqu’à ce que j’autorise manuellement le site à déposer le cookie.
Une fois autorisé, le site de l’HADOPI ne reload plus en boucle toutes les 5 secondes (ou si je bloque totalement le javascript).
Ta navigateur permet peut-être le dépôt de cookie first party ou des cookies non identifié comme “dangereux” (ou identifié comme “nécessaire”). Du coup ton navigateur ne le bloque peut-être pas même en strict.
#12.7
C’est possible, normalement Firefox en mode strict protège contre les super cookies, j’utilisais privacy.firstparty.isolate dans about:config, mais j’ai lu sur ghacks que ça pouvait interférer avec la protection contre les super cookies, donc je l’ai désactivé, pour le test, je l’ai réactivé et la page de la Hadopi ne se rafraichit pas, ensuite je suis passé à network.cookie.cookieBehavior toujours dans about:config, sur 2 ça te bloque tout les cookies par défaut, là encore rien de différent, après, j’ai réinstallé uBlock Origin où j’ai activé le mode moyen, toujours pas de problèmes, et pour finir, j’ai ouvert le site de la Hadopi dans Tor où j’ai réglé la protection sur le niveau le plus élevé, encore une fois, le site ne se rafraichit jamais, sur Cowcotland par exemple, là oui la page se rafraichit automatiquement et j’ai un bandeau en haut de l’écran avec le message qui apparait, comme quoi Firefox a bloqué le chargement automatique de la page, mais chez Hadopi, je n’ai rien, donc je me dit que cela doit peut-être venir de ton extension, j’utilisais Cookies Autodelete avant, maintenant j’en utilise plus, je considère ça comme un peu redondant.
PS : Que le site de la Hadopi se recharge toutes les 5 secondes, bof, ce n’est pas comme si c’était un site où il est utile d’y aller
#12.9
Le problème c’est que ça me le fait sur l’ensemble des sites qui sont pas content que tu leur bloque entièrement les cookies, donc site du gouvernement mais aussi par exemple le site officiel de Minecraft
#12.8
Il ne se recharge pas chez moi non plus, avec les cookies bloqués (j’ai vérifié, aucun n’est créé) et le javascript autorisé…
#12.10
De mon côté il arrête le refresh dès que j’autorise le dépôt de cookie first-party (ou que je kill le javascript totalement, au choix
)
#13
Moi ce qui me dérange c’est que c’est fait avec mes impôts
#13.1
Oui mais c’est pour bien de l’exception culturelle et cela évite aux ayants droit de dépenser des fortunes en procédure judiciaire. Il faut penser culture, svp.
#14
moi aussi
#15
Alerte : je signale le piratage de mon compte, quelqu’un a posté le message précédent à ma place.
Fin d’alerte.
#15.1
Défaut de sécurisation ?
#15.2
Hadopi ?
#15.3
Haaaa il fallait installer le firewall OpenOffice ! Anéfé, défaut de sécurisation.
#16
J’ai une question bête sur les armoires apportant la fibre ouvertes à tout vent : est-ce que quelqu’un de mal intentionné pourrait utiliser ma connexion simplement en redirigeant ma connexion vers une autre (qui aurait une freebox comme moi par exemple) ?
#17
La détermination de l’IP se fait généralement à partir de l’adresse MAC du matériel connecté (et pas de la prise de connexion au NRO), il n’aurait donc certainement pas la même IP que toi.
#17.1
#18
A quand la fusion avec l’Arcom, que je repose les questions qui tue ?
Moi : Existe t il des moyens labellisées pour sécuriser sa connexion Internet ?
Hadopi : Pour sécuriser votre connexion à Internet, vous êtes libre d’utiliser tout moyen, aucun moyen de sécurisation n’ayant été labelisé à ce jour
Moi : Mais encore, quels sont les moyens de sécurisation que vous recommandez dans ce cas la ?
Hadopi : Vous êtes invité à paramétrer votre boitier de connexion, à vérifier vos modalités d’accès au Wifi et à contacter votre fournisseur d’accès Internet pour plus de précision.
Moi : Mais encore, quels sont les moyens de sécurisation que vous recommandez dans ce cas la ?
Hadopi : Si vous souhaitez davantage de précision concernant la procédure de réponse graduée, nous vous invitons à consulter le site de l’Hadopi
Moi : Mais encore, …
Bref, on tourne en boucle et toujours pas trouvé ce qu’était un moyen de sécurisation qui est un prérequis fondamentale pour constituer la contravention de négligence caractérisée.
#19
j’ai eu un courrier, j’ai demandé pour quelle oeuvre, j’ai jamais eu de réponse.
sinon les boîtes qui flashent pour hadopi, elles trient les IP hors France ou c’est dans le lot des non identifiées ?
#20
Je paye Amazon Prime, mais comme on ne trouve pas toujours la VO et/ou le sous-titre en VO, je me retrouve à devoir DL le film juste pour pouvoir mettre le sous-titre téléchargé depuis opensubtitles dans VLC. Un comble !
#20.1
Le pire que j’ai eu c’était avec Prime, le site liste les 9 épisodes mais impossible d’accéder au 9 (il charge les 8 premiers et t’as un bouton : charger les 9 épisodes, tu cliques dessus et tu as une roue de chargement à l’infini).
J’ai donc du pirater l’épisode
#21
#22
Free a crée 4rd qu’il utilise pour diviser les IPv4 entre 4 clients.
SFR a au moins essayé le NAT444 avec le range 100.64⁄10.
Bouygues travaille a implémenter MAP (T ou E) sur son réseau fixe pour là aussi, partager les IPv4. MAP à l’avantage de permettre du P2P entre 2 box de l’opérateur sans repasser par l’équipement de translation central.
Orange a encore un peu de stock IPv4.
Les mécanismes DS-Lite et Lightweight 4over6 (lw4o6) ne sont plus utilisés dans les déploiements actuels, car ils ne permettent pas de fédérer les routes par strate du backbone. Et on se retrouve avec x millions de routes en arrivant sur les terminaisons de tunnels.
Sur le mobiles, tous utilisaient du NAT44 centralisé (CGN), ils fournissent maintenant du NAT64+DNS64 (Free est à la traîne mais a démarré, obligation IPv6 ARCEP 5G).
Hormis orange fixe, personne ne fait de dual-stack WAN.
Ha et pour HADOPI, ils sont conscient du trafic IPv6, ils sont à la taskforce ARCEP sur le sujet.
#23
ou sinon, on peut aller vers des FAI alternatifs qui ne sont pas concernés par les demandes d’IP (OVH par exemple)
#23.1
Ce n’est pas basé sur le nombre d’abonnés ?? Car alors, si tout le monde y va, la HADOPI va envoyé des demandes à OVH.
#24
Merci pour ces info. Faut que je digère, mais c’est super intéressant.
Pour le coup , pour Hadopi c’est “plus facile” , vu que les préfixes sont fixe par client il n’y a plus obligation de s’occuper du port , et ils peuvent même ne garder que les 64 premiers bits de préfixe sans s’occuper du reste - à ce qu’il me semble.
#24.1
Le /64 suffit effectivement à identifier un abonné puisque par convention les réseaux d’hôtes ne devraient pas êtres plus fins.
Mais tout comme on trouve du n’importe quoi en IPv4 on trouvera probablement des réseaux en /118 sur un hotspot configuré par un allergique aux rfc, et légalement pas sûr de toute façon que le préfixe suffise là où les textes de lois mentionnent l’adresse. Ou alors il faut définir un nommage “l’adresse ipv6 du foyer” sous entendu len/48 ou /56 affecté.
Puisque je parlais de DS-Lite, il empêche aussi l’exposition de port en ipv4 puisqu’il fonctionne avec de l’ipv4 privé côté abonné. Bon l’opérateur peut toujours proposer du port forwarding en central ou le support le nat-pmp mais c’est rarement le cas…
#25
Pour avoir essayé de sous-découper le /64 c’est pas facile : La plupart des outils semblent avoir mis en dur cette limite réseau <> hôte.
#25.1
Feu WIn XP ne fonctionnait pas avec autre chose.
Certains outils ont des tellement belles regex qu’ils n’acceptent pas qu’on leur refile l’adresse 0 du réseau… par exemple ABBA:CAFE::/128
#26
As-tu vraiment besoin de cette extension ? Honnêtement, les extensions pour cookies sont des gadgets et les extensions exigent souvent l’accès à beaucoup de permissions pour fonctionner, moins on en utilise mieux c’est, si je prends uBlock Origin, je le recommande mais principalement parce que son devellopeur est réputé et digne de confiance. Si les cookies te posent problèmes, active le mode strict dans ton Firefox, désactive l’historique et coche la case pour que Firefox supprime tous tes cookies après chaque fermeture du navigateur, après tu fais comme tu veux
#27
Cà existe encore cette entité qui coute de l’argent et ne sert à rien du tout ???
Mais qui a peur du grand méchant Hadopi. Personne bien sur.