Partager cet article

Youhavedownloaded.com, le site qui sait ce que l'Elysée a téléchargé… ou pas

BitTorrent Download/nrkbeta via Flickr CC License By

BitTorrent Download/nrkbeta via Flickr CC License By

Comment un site russe a amené l'Elysée à désavouer implicitement l'arsenal juridique de l'Hadopi.

Un site fondé par des Russes, Youhavedownloaded.com, affirme avoir indexé les téléchargements publics sur BitTorrent, une technologie de partage de fichiers peer-to-peer. Ce site fait plus que les répertorier, il les publie: vous pouvez consulter votre propre historique de téléchargement, et via le moteur de recherche, celui de qui vous voulez, pour peu que vous connaissiez son adresse IP (ce qui n’est pas évident pour ce qui est des particuliers, sauf s’ils vous la donnent).

Petit rappel: l’adresse IP est un numéro attribué par le fournisseur d’accès internet quand on se connecte. Elle peut être statique: votre modem ADSL a le même numéro tant que vous avez votre contrat, comme chez Free par exemple, ou bien dynamique: votre modem n’a pas le même numéro d’une connexion à l’autre, comme chez Orange par exemple où votre box se déconnecte et reconnecte toute seule toutes les 24 heures, explique Michael Kandharsingh, expert en sécurité chez le cabinet de sécurité en informatique Lexsi.

Youhavedownloaded.com a intéressé (et/ou énervé) de nombreux internautes, et servi au passage à des révélations amusantes: le blog spécialisé TorrentFreak s’est ainsi aperçu que de grands studios comme Sony, Fox ou NBC avaient des «pirates» chez eux.

D’après TorrentFreak, chez Sony on a téléchargé entre autres le film Conan et ce qui semble être un épisode de Beavis & Butthead, à NBC la première saison de Game of Thrones, un épisode de 2 broke girls et un autre de How to make it in America, et chez Fox Super 8, une production d'un de ses concurrents, la Paramount.

Les Américains ne sont pas les seuls à s'intéresser aux arroseurs arrosés: un blog néerlandais a ainsi montré avec youhavedownloaded.com qu'une adresse IP correspondant à quelqu'un de Buma/Stemra –la Sacem locale– avait téléchargé un épisode d'Entourage et le jeu vidéo Battlefield...

En France, le blogueur Nicolas Perrier a relayé l’initiative d’un lecteur qui s’est amusé à regarder ce qui se passait du côté des adresses IP de l'Elysée, où des gens ont téléchargé des films et des livres depuis ces adresses. La présidence de la République a répondu avec un démenti qui ressemble à un désaveu de l'arsenal juridique de l'Hadopi

Pourquoi on ne peut pas vraiment se fier à Youhavedownloaded.com

Mais ces découvertes, comme celles sur vos téléchargements ou ceux de vos amis si vous avez leurs adresses IP, sont à prendre avec des pincettes:

1 On ne sait pas grand-chose de la méthodologie de Youhavedownloaded.com (le même reproche est d’ailleurs fait en France à TMG, chargé de collecter les adresses IP envoyées à l’Hadopi, note Numérama).

En gros, le site va interroger les traqueurs BitTorrent publics, des serveurs qui centralisent les adresses IP de tous les gens qui téléchargent un fichier donné à un moment donné (pour permettre à quelqu’un qui veut télécharger ce fichier de savoir où le récupérer).

En réponse à un commentaire sur Facebook, Suren Ter-Saakov, l’un des fondateurs, explique ne pas «s’embêter à séparer les IP dynamiques» des statiques, ce qui peut expliquer pourquoi des gens affirment avoir des faux-positifs (le site leur dit qu’ils ont téléchargé alors que c’est faux) et d’autres des faux-négatifs.

Suren Ter-Saakov a affirmé à un site spécialisé pouvoir pallier ces inexactitudes et améliorer la localisation et l’identification des différents utilisateurs, mais il a précisé:

«Si nous voulions le rendre plus sophistiqué, ça coûterait beaucoup plus cher, et on n’a pas de raison de le faire.»

En bas à gauche du site, on peut cliquer sur un onglet «Don’t take it seriously» («ne le prenez pas au sérieux»), où l’équipe qui a fondé le site affirme:

«L’onglet vie privée, celui sur la façon de nous contacter –tout ça c’est une blague. On a eu l’idée de construire un robot d’indexation comme celui-ci et de réussir à faire ça pour moins de 300$ par mois. Il n’y avait qu’une façon de prouver que notre théorie fonctionnait –l’implémenter, donc c’est ce qu’on a fait. Et maintenant on a un gros robot d’indexation. On savait ce qu’il pouvait faire mais on ne savait pas comment l’utiliser, alors on en a fait une blague.»

En même temps dans l’onglet «contact», l’équipe précise à l’attention des géants de l’industrie du divertissement que «ce site est une blague. Mais pas ses données».

2 En fait on ne sait pas grand-chose de l’idée derrière le site non plus.

Dans une interview par mail avec Slate.fr, Suren Ter-Saakov a expliqué que «certains mecs parlent de filles, d’autres de foot, nous on parlait d’algorithmes et de réseaux en peer-to-peer», et que lui et les cofondateurs du site se demandaient ce que les gens penseraient de voir à quel point ces données n’étaient pas privées, et quel serait l’effet de lancer un tel site («Et bien, j’ai gagné une bière. Deux bières, même :)»), ajoutant que si youhavedownloaded devient «quelque chose de bien, on inventera du blabla sympa sur pourquoi on l’a lancé :)».

Ter-Saakov, qui assure que les adresses IP des visiteurs du site ne sont pas ajoutées à sa base de données, a affirmé que le moteur d’indexation était uniquement utilisé pour youhavedownloaded.com. Un onglet du site précise que ses fondateurs sont «en train d’essayer d’appliquer cette base de données à la publicité. Environ 10% de tous les acheteurs en ligne, aux Etats-Unis, sont également des utilisateurs de torrents. Savoir ce qu’ils téléchargent pourrait être utile pour une étude de marché», mais dans son mail, Ter-Saakov a dit qu’il ne s’agissait que d’une «pensée abstraite»:

«Je ne vois pas de façons d’utiliser vraiment ces données dans la pub. Je sais comment procurer les données importantes sans révéler l’identité des utilisateurs. Mais puisque je ne vois personne qui semble être intéressé par celles-ci… :)»

Le site insiste sur le fait que ce que vous faites sur les réseaux peer-to-peer est tout sauf privé, («l’Internet n’est pas le bon endroit pour des secrets») et qu’il est là pour alerter les utilisateurs.

Quand on lui demande s’il ne s’inquiète pas d’un hacker qui récupèrerait toutes ses données, Ter-Saakov répond qu’une telle personne serait tout à fait capable de mettre au point une base de données comme celle de youhavedownloaded tout seul, et ajoute:

«Et d’ailleurs, qui vous dit que ça n’a pas déjà été fait? Si on publie quelque chose, ça ne veut pas dire que personne n’a fait pareil sans le dire.»

3 Youhavedownloaded.com ne traque que les échanges sur BitTorrent. Pas sur toutes les plateformes peer-to-peer, et pas sur les sites de «direct download» comme Megaupload ou Rapidshare, qui sont les géants du téléchargement depuis plusieurs années. Autrement dit, le fait que vous ou vos voisins n’apparaissiez pas sur Youhavedownloaded.com ne veut pas dire que vous ne téléchargez pas.

4 La base de données de Youhavedownloaded.com ne recouvre pas non plus tous les fichiers téléchargés sur BitTorrent: les fondateurs du site disent collecter «entre environ 4% et 6% de tous les téléchargements torrents dans le monde», et estiment voir «environ 20% de tous les téléchargements sur les traqueurs publics».

Donc, si le site vous dit que vous n’avez pas téléchargé alors que si (ce qui, vu les commentaires sur le site et ailleurs, est arrivé à plusieurs personnes), ça peut être tout simplement parce que votre IP n’est pas dans leur base de données, ou que vous utilisez des traqueurs privés par exemple.

5 Inversement, comme une adresse IP n’est pas une personne, qu’elle peut être partagée par plusieurs utilisateurs, et qu’on ne sait pas qui était derrière le clavier à tel moment, le site peut vous dire que vous avez téléchargé alors que oh-grand-jamais-c’était-votre-coloc. C’est d’ailleurs l’une des choses que les anti-Hadopi reprochent à la haute autorité, qui punit la grand-mère du Gers qui ne sait pas sécuriser sa connexion internet plus que son petit-fils accro au téléchargement illégal. 

6 En plus une adresse IP, ça se pirate. Aux Pays-Bas, Buma/Stemra a d’ailleurs affirmé dans un communiqué que ses adresses IP avaient été usurpées, la preuve étant que les adresses concernées ne pouvaient être employées par ses salariés pour aller sur Internet (bizarrement, le communiqué a depuis été retiré du site, mais il est toujours accessible en version cache).

Il est en effet possible d’injecter des fausses adresses IP dans un traqueur BitTorrent, détaille Michael Kandharsingh: les adresses IP existent, mais elles ne possèdent pas les fichiers téléchargés en question. C’est une façon d’augmenter les résultats disponibles sur un traqueur, puisqu’on injecte des adresses en plus, et de les fausser.

«Le fait que soit possible de truquer ces résultats fait qu’on devrait s’interroger sur cette méthodologie, et qu’on on peut se demander si les résultats du site youhavedownloaded.com sont valides», conclut-il, même si le site a eu raison sur les habitudes de téléchargement ou non téléchargement de lui-même et ses collègues.

Le démenti de l'Elysée qui désavoue la Hadopi

Il n’y a donc aucune raison de croire sur parole ce que Youhavedownloaded.com dit sur vous, vos voisins, ou la présidence de la République. C'est rigolo, c’est peut-être vrai, mais pas forcément.

L'Elysée se retrouvait en position difficile avec cette découverte: soit elle refusait de commenter en espérant que ça se tasse, soit elle admettait que des personnes avaient téléchargé illégalement alors même qu’Hadopi est un des grands thèmes défendus par Nicolas Sarkozy, soit elle sortait les mêmes types d’arguments que Buma/Stemra, se mettant du coup en porte-à-faux avec l’application de sa propre loi, et laissant la porte ouverte à des défenses de citoyens visés par la Hadopi du genre: «Si on ne peut pas prouver que c’est bien l’Elysée, je ne vois pas comment on pourrait prouver que c’est moi.»

La présidence de la République a opté pour cette dernière option, démentant «complètement» auprès de Slate.fr les affirmations du blogueur, et expliquant «après une petite enquête par [son] équipe technique» pouvoir dire qu'il n'y a «pas eu de téléchargement illégal via ces adresses IP».

Nous avons fait remarqué que cela revenait à dire que la connexion internet de la présidence n'est pas suffisamment sécurisée (1), ce qui lui vaudrait... un premier avertissement de la Hadopi pour «négligence caractérisée». Ce à quoi notre interlocuteur du service de communication a répondu ne pas avoir «plus de précisions», ajoutant: «De toute évidence, c'est ce que ça veut dire, mais je n'ai pas le background technique...»

Cécile Dehesdin

(1) Comme on nous le fait remarquer sur Twitter, les adresses IP pourraient également avoir été injectées dans un traqueur pour fausser les résultats. Ce qui n'empêcherait pas forcément la Hadopi d'envoyer à l'internaute concerné son premier avertissement.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte