0Faute News  Enquête sur la protection des personnes

Beaucoup d'entre vous ont reçu un mail d'alerte concernant la possibilité pour les fournisseurs d'accès de communiquer vos coordonnées aux autorités pour contrôle de la légalité de vos logiciels. 0Faute étant favorable à la protection des personnes et ce genre de délation étant la porte ouverte à d'autres, par exemple l'exploration des fichiers de votre disque dur pour dépister vos convictions politiques ou religieuses , 0Faute a mené l 'enquête et vous livre un premier bilan. Si vous disposez d'informations à ce sujet, n'hésitez pas à me les communiquer. Elle feront bien sûr l'objet d'une vérification avant publication.
Mise en garde : Mon but n'est absolument pas de favoriser la copie pirate de logiciels mais bien d'éviter que des informations nous concernant parviennent à des personnes mal intentionnées.

Mail d'alerte :
"La CNIL autorise l'Agence de Protection Logiciel (association d'éditeurs, auteurs, distributeurs, etc...) a utiliser les fichiers des abonnés Internet afin de procéderà des contrôles de validité des applications utilisées sur les machines des abonnés.
Actuellement, seul AOL, Wanadoo et Compuserve ont communiqué les fichiers abonnés, aléatoirement, il va y avoir des contrôles chez les particuliers. Plus fort par ailleurs, l'APL attend l'autorisation de la CNIL afin de procéder directement à la consultation à distance via les providers Internet afin de toujours vérifier la validité des applications installées. Tout serveur peut "capter" les identificateurs des machines qui le consultent, et accéder aux versions des logiciels installés au travers de plug-in automatiquement chargés, le recoupement avec le fichier utilisateurs est alors immédiat. Pour finir, l'APL a déposé une demande auprès de la CNIL visant à obliger les providers à lui communiquer la liste des abonnés qui téléchargeraient des logiciels contrefaits sur des sites connus, le téléchargement n'étant pas répréhensible., il s'agit d'affiner la liste des personnes susceptible de contrôle."

Rappel : ce courriel reçu dans le courant du mois de Mars 2000 ressemble trait pour trait à celui diffusé en Février 1999.

Communiqué de presse de la CNIL (24 Février 2000) (http://www.cnil.fr/)
"Afin de couper court à une rumeur persistante, et comme elle l'avait déjà fait en mars 1999, la Commission Nationale de l'Informatique et des Libertés dément avec la plus grande fermeté avoir été saisie par une "Agence de protection du Logiciel" ou par l'Agence de protection des programmes ou Business Software Alliance (BSA) ou encore par quelque organisme que ce soit d'une demande d'autorisation visant à utiliser les fichiers des fournisseurs d'accès à Internet.
La CNIL ajoute qu'ayant pour mission de veiller à la protection de la vie privée et des données personnelles, elle s'assure qu'aucune cession de fichiers comportant des informations nominatives n'ait lieu à l'insu des personnes concernées, une telle cession dans ces conditions étant d'ailleurs passible de sanctions pénales, tant à l'égard de celui qui aurait cédé les informations qu'à l'égard de celui qui aurait irrégulièrement bénéficié de cette cession.
La CNIL rappelle qu'elle est tout particulièrement vigilante à l'égard des fichiers des fournisseurs d'accès, compte tenu de la nature des informations qu'ils comportent, comme en témoignent ses derniers rapports annuels d'activité et la démonstration "vos traces sur Internet" accessible depuis http://www.cnil.fr/
La CNIL espére que toutes les personnes et organismes qui se soucient d'une entrée de la France dans la société de l'information respectueuse des droits des internautes contribueront à mettre un terme définitif à une rumeur infondée."
Un précédent communiqué daté du 18 Mars 1999 est consultable sur le site de la CNIL.
Sur ce même site, il est rappelé : "Fraude informatique : la CNIL n'est pas compétente en matière de copie illicite de logiciel, de violation de licences, ou de contrefaçon de logiciel."
Plus d'information :
Commission Nationale de l'Informatique et des Libertés
21, rue Saint-Guillaume - 75340 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Télécopie : 01 53 73 22 00

Les éditeurs incriminés sont tous membres de l'AFA (http://www.afa-france.com) et l'on peut lire le communiqué suivant daté du 16 avril 1999 :
"Réponse à la rumeur de mise à disposition de données nominatives par des membres de l'AFA
L'AFA entend rappeler les règles qui sont respectées par ses membres, en réponse à la rumeur persistante et infondée faisant état de mise à disposition, par un ou plusieurs d'entre eux, de données nominatives de leurs abonnés à un organisme de lutte contre le piratage informatique.
Dans leurs Pratiques et Usages, publiées en janvier 1998, les membres de l'AFA se sont engagés collectivement à respecter les principes suivants :
Les membres de l'AFA s'interdisent de communiquer des informations nominatives concernant leurs utilisateurs, en dehors des cas autorisés par la loi. Sur demande des autorités policières ou judiciaires, en conformité avec les dispositions légales en vigueur, les membres de l'AFA peuvent être contraints de révéler l'identité d'un de leurs utilisateurs.
La mise à disposition de données nominatives à un organisme privé, dont fait état la rumeur, ne fait pas partie des cas autorisés par la loi. Par conséquent, la rumeur est non seulement sans fondement mais absolument contraire aux principes de protection des données nominatives appliqués par les membres de l'AFA.
Enfin, les membres de l'AFA n'ont jamais reçu de demande de mise à disposition de données nominatives de la part d'organismes de lutte contre le piratage.
Les membres de l'AFA sont AOL, BUSINESS-VILLAGE, CLUB-INTERNET, COMPUSERVE, EBI MULTIMEDIA, FRANCENET, IMAGINET, ISDNET, INFONIE, LYONNAISE CABLE, MAGIC ONLINE, UUNET, WANADOO, WORLD ONLINE."

Après avoir pris des contacts avec les éditeurs des différentes lettres auxquelles je suis abonné, j'ai obtenu les réponses suivantes :

Séverine Recoules (Concentré du Net) (http://groups.yahoo.com/group/concentredunet)
"Concernant ce sujet, je me suis renseignée auprès de mon avocat NTIC préféré et voici sa réponse :
"C'est effectivement un canular qui ressort régulièrement sur une liste ou sur une autre. L'APP n'existe pas, ce qui existe est l'APL ( qui est d'ailleurs une association de grande qualité et fort utile) et ce message est une invention qui est soit un gag (?!?) soit une volonté de nuire ??? En tout cas c'est sans importance, faux et il ne faut pas en encombrer les boites des uns et des autres."
Donc apparemment il ne faut pas en tenir compte !"

Mathilde Follonier du NewMediaGroup (Luxembourg)
"Suite à votre message, je vous joins le communiqué de presse de la CNIL en date du 24 février dernier, disponible sur http://www.cnil.fr/, et qui confirme que le message que vous avez reçu (comme de nombreuses personnes) est bien un canular. Quant à la fameuse APL, il doit s'agir d'une déformation de la dénomination de l'Agence pour la protection des programmes qui est une organisation européenne des auteurs de logiciels et concepteurs en technologies de l'information."

Service de veille VDL2 (http://www.vdl2.com/)
"Nous n'avons malheureusement aucune information sur cette association probablement "virtuelle" si ce n'est que ce genre de fausse nouvelle ressort régulièrement depuis que certaines associations de producteurs de logiciels américaines et européennes ont pris des initiatives assez malheureuses dans la lutte au piratage, notamment en envoyant aux entreprises des lettres très proches de la lettre de menace.
Une vérification auprès de la CNIL vous confirmera que cette nouvelle n'est pas fondée et que ses auteurs comptent sur un manque de professionnalisme d'éditeurs, qui contrairement, à vous la publieront sans faire les vérifications nécessaires.
Nous serait-il possible de recevoir votre lettre et d'ainsi l'ajouter à nos banque de sources ?"

Olivier ANDRIEU (Tout sur les moteurs de recherche : http://www.abondance.com/)
"A ma connaissance, c'était un poisson d'avril ;-)"

Michel LO (Une semaine sur le Net)
"C'est un canular, l'APP n'existe pas. J'en ai parlé à Daniel Duthil (Association de Protection du Logiciel : APL) qui envisageait même de créer une association nommée APP rien que pour pouvoir porter plainte et faire lancer des recherches."

Suite à cette remarque, je me suis mis en contact avec l'Agence pour la Protection des Programmes (http://app.legalis.net/) dont voici la réponse.
"Nous faisons suite à votre message du 23 mars dernier et vous remercions de vos attentions. Nous avons été prévenu de la circulation de ce message, qui, comme vous vous en doutez, est de la DÉSINFORMATION.
En effet, un message analogue avait déjà circulé en 1999.
Nous avons diffusé un communiqué de presse (intitulé APP : Halte à la rumeur sur Internet) à l'adresse suivante : http://app.legalis.net/paris/communiques/communi0499.htm."

COMMUNIQUE DE PRESSE - Paris, le 9 avril 1999 (APP)"Transfert de fichiers, fournisseurs d'accès et organisme de lutte contre la contrefaçon de logiciels
APP : Halte à la rumeur sur Internet
Tous les moyens ne sont pas bons pour lutter contre la contrefaçon.
La presse s'est émue d'une rumeur qui se propageait sur Internet dans les forums de discussion selon laquelle "la CNIL autorise l'Agence de Protection du Logiciel (sic) (association d'éditeurs, auteurs, distributeurs, etc.) à utiliser les fichiers des abonnés Internet afin de procéder à des contrôles de validité des applications utilisées sur les machines des abonnés. Actuellement seuls AOL, Wanadoo et Compuserve ont communiqué les fichiers de leurs abonnés, et ensuite, aléatoirement, il va y avoir des contrôles chez les particuliers."
L'Agence pour la Protection des Programmes a immédiatement réagi sur le Net en rappelant qu'il n'existe aucune Agence pour la Protection des Logiciels". Elle a ajouté que "l'Agence pour la Protection des Programmes respecte scrupuleusement la loi "Informatique et Libertés du 6 janvier 1978". Elle a enfin affirmé que "L'APP ne procède pas à des contrôles tels que décrits dans le message."
Cette fâcheuse rumeur est peut-être à rapprocher de la réponse de la Business Software Alliance (BSA) au Livre Vert de la Commission européenne sur la piraterie et la contrefaçon ; elle préconise "que les fournisseurs d'accès à Internet aient l'obligation de communiquer le nom et l'adresse des contrefacteurs, sans qu'il soit nécessaire pour cela de recourir à une action en justice."
Même si nous poursuivons le même objectif, à savoir la lutte contre la contrefaçon de logiciels, nous sommes fermement opposés à telles pratiques, la fin ne pouvant justifier n'importe quel moyen. Toute action doit être réalisée dans le cadre d'une réquisition judiciaire, et notamment respecter les droits de la défense et le principe du contradictoire. Depuis plusieurs années, l'APP mène une action efficace sur Internet grâce à ses agents assermentés par le ministère de la Culture qui établissent des constats de contrefaçons d'œuvres numériques destinés à permettre la mise en œuvre de procédures judiciaires. Plusieurs décisions de justice ont déjà été rendues sur la base de tels constats.
Par ailleurs, les informations qui pourraient être communiquées par les fournisseurs d'accès sont protégées par la loi "Informatique et libertés". Les éditeurs de logiciels ou les associations protégeant leurs intérêts ne sont pas les destinataires autorisés de ces informations, au sens de la loi, à moins que le contrat d'hébergement ne le mentionne expressément. Comme l'a rappelé la Commission Nationale de l'Informatique et des libertés, dans son communiqué de presse du 18 mars dernier, "elle s'assure qu'aucune cession de fichiers comportant des informations nominatives n'ait lieu à l'insu des personnes concernées, une telle cession dans ces conditions étant d'ailleurs passible de sanctions pénales, tant à l'égard de celui qui aurait cédé les informations qu'à l'égard de celui qui aurait irrégulièrement bénéficié de cette cession". Est également passible de sanctions pénales le fait de collecter des informations nominatives à l'insu des personnes concernées.
Dans sa réponse au Livre Vert, la BSA préconise également que "l'identité des témoins soit protégée au cours des procédures d'enquête". L'APP tient à rappeler que depuis sa création en 1982, elle s'est toujours refusée à recourir à la délation. C'est ainsi que, pour sa part, elle classe sans suite les dénonciations anonymes qui lui sont adressées."

Vous trouverez à ce sujet deux articles parus dans Libération :
Le 9 Avril 1999, "Halte à la rumeur sur Internet" , Daniel Duthil, président de l'APP (Agence pour la Protection des Programmes), réagit à la rumeur.
Le 15 avril 1999 Une histoire de rumeur par Stéphane Arteta. (Libération)

Après courrier, voici la réponse du BSA (Business Software Alliance).
"Nous avons bien reçu votre demande d'informations sur le sujet "La CNIL autorise l'Agence de protection Logiciel... a utiliser les fichiers des abonnés Internet afin de procéder a des contrôles de validité des application utilisées sur les machines des abonnés". Nous n'avons pas d'informations sur le sujet. Toutefois, je vous propose de me contacter pour vous présenter les activités de BSA - Business Software Alliance."

Pour obtenir de nouvelles informations, les groupes de discussions sont une source incontournable. On y retrouve le message à de nombreuses reprises. Mais prendre contact avec leurs auteurs réserve parfois des surprises. Ainsi, l'un deux m'a parlé de la théorie du complot et, ne comprenant manifestement pas ma démarche, a conclu par un cinglant "Vous pouvez continuer tranquillement à pirater vos CD". Désolé Monsieur, je n'ai même pas de graveur.
Heureusement, certains sont plus coopératifs.

"L'info ne semble pas stupide. Mais elle est à prendre avec des pincettes. D'après mes propres informations, (hackers pacifiques), il semblerait que la plupart des providers français ont déjà agit à ce niveau, en bloquant des téléchargements de logiciels pirates tout en laissant les sites de Hack en service. De plus, si la CNIL a été contactée, les personnes à l'origine de cela ne sont pas stupides et sont bien au fait de la loi, car seul la CNIL peut autoriser de telles actions. Mais le problème est mondial et au niveau juridique, le problème doit être plus complexe que ce post ne l'indique. A mon avis, cette info a été balancée par un type qui est dans le commerce de logiciels, et ce afin de faire peur aux pirates de logiciels en attendant que la loi autorise réellement une action. Je n'ai donc pas plus d'infos que cela, sauf qu'il y a effectivement une action menée en ce sens (depuis deux semaines environ, un peu moins : je vais me renseigner). En tout cas, ça ne concerne pas la protection des personnes, car la CNIL et la loi ne peuvent autoriser que la consultation des numéros de série des logiciels installés sur une machine. Techniquement cela me semble tout de même fastidieux dans le sens où les connexions peuvent être considérablement ralenties par un tel scan du disque dur client.

Patrick CAYLA le 31.03.2000.
"C'est un jeune ami qui m'a transmit l'information et j'ai demandé l'avis aux membres de fcsm (news:fr.comp.sys.mac). Par contre, une vieille connaissance très récemment, a reçu un courrier du BSA, l'invitant à régulariser au plus vite ces licences si cela n'était pas déjà fait ! En y regardant de plus près, ses coordonnées leur étaient connus grâce aux formulaires que l'on remplit parfois en ligne ou sur des salons professionnels, c'est dire..."

Reste à contacter les amis et parfois on tombe sur des informations qui font froid dans le dos.
"A propos de ton mot sur les demandes de l'APL à la CNIL : Je me suis procuré récemment des firewalls personnels car je me suis rendu compte qu'il se passait des choses pas très catholiques pendant les connexions. Mais j'ai été stupéfait de découvrir que ce qui est vendu "pour se défendre" comporte également des fonctions d'attaque...
Un nouveau marché du logiciel, celui de l'armement ? On pourrait appeler ça le fuckware..."
"Deux catégories de pépins en surfant :
1 - Tu viens d'installer un nouveau soft d'un grand éditeur muni d'un numéro pas trés clair. Heureusement, j'ai exprés un modem externe pour voir les loupiotes. Deux fois sur trois, je me rends compte qu'il y a un paquet de paquets :-) qui partent avant que je n'aie le temps de les arrêter. Et même si tu t'es pris la tête à zoner partout pour désactiver tout ce que tu trouves comme "enregistrement en ligne", "Windows update", "XXXX on Line" etc.
Bon, tu surveilles la première heure, mais après ?
2 - Tu vas tranquillement  faire tes courses  chez les warez et, tout d'un coup, c'est l'arbre de Noël :-) Bon, dans ce cas aussi, on peut dire aussi que tu l'as cherché...
Je n'ai pas ce genre d'angoisse sous Linux mais là, tous les softs sont gratos :-)
Devant l'adversité, j'ai cherché à m'équiper :
Black Ice, firewall personnel a priori sérieux mais il l'est tellement que les logiciels Crimosoft qui sont habitués à trouver toutes les portes ouvertes plantent régulièrement lors de leurs petits échanges privés.
Guardian, fort bien foutu, qui propose en plus des lockings les fonctions suivantes : ICQ flood, IRC Nuke, Port Flooder, OOB Nuker.
Bon, d'accord, ça reste gentillet et à toute petite échelle mais je trouve quand même irritant que tous les couillons qui zonent sur le net aient ce genre de gadgets à leur disposition."

Un courrier à rapprocher d'une information parue récemment :
Silhouette, un intrus dans l'antivirus de McAfee.com (article paru dans Internet Professionnel du 30/3/2000) (http://www.01net.com/)
"Avec ses logiciels antivirus, McAfee.com scrute en continu l'équipement informatique de ses utilisateurs. Le programme Silhouette entend mettre à profit cette mine d'informations. Des spécialistes de la publicité électronique comme Doubleclick pourraient être intéressés.
Spécialiste des antivirus, et filiale de Network Associates, McAfee.com propose en effet un service, dénommé Clinic, qui permet d'utiliser à distance ses logiciels d'optimisation, ses antivirus et autres utilitaires. Au sein de chacun de ces programmes se tapit dorénavant Silhouette, chargé de transmettre à des annonceurs partenaires les informations recueillies sur les machines utilisées.
Silhouette va détailler le contenu du PC (moniteur, modem, carte graphique, etc.) pour établir un profil de l'équipement de l'utilisateur. Et le comparer à une base, définie par McAfee.com, contenant les produits des annonceurs (parmi lesquels, notamment, Dell, Xircom, Lotus). Une requête publicitaire sera alors envoyée à un serveur. A sa prochaine visite sur le site de McAfee.com, l'internaute scruté par Silhouette verra s'afficher une bannière lui expliquant, par exemple, que le tout dernier modem de Xircom améliorerait nettement sa vitesse de connexion à Internet.
Mais, au-delà des bannières sur son propre site, McAfee souhaite surtout proposer sa technologie à des spécialistes de la publicité électronique comme Doubleclick. La main sur le cœur, McAfee jure toutefois que son système ne transmet aucune information personnelle aux annonceurs, mais uniquement une requête pour une bannière.
Reste que l'éditeur s'autorise à diffuser un programme scrutant une machine à l'insu de l'utilisateur et transmettant des informations à l'extérieur. Ne reconnaît-on pas là les caractéristiques d'un inopportun virus ?"

Vous le voyez, l'enquête est loin d'être close et vous aurez sans aucun doute de nouveaux développement dans les mois qui viennent.

That's all folks (pour le moment).

 Sommet de la page

 

• Les archives
• Les enquêtes