Réseau privé virtuel (fr) : Différence entre versions
(→L'openVPN) |
(→Références) |
||
Ligne 61 : | Ligne 61 : | ||
= Références = | = Références = | ||
*[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id Décret d'application du 25 février 2011] | *[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id Décret d'application du 25 février 2011] | ||
+ | *[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000022788916&dateTexte=&categorieLien=id Décret rectificatif de la loi HADOPI du 5 mars 2010] |
Version du 4 juillet 2011 à 17:25
Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
|
France > Droit des médias > Droit de l'informatique et de l'internet
Depuis la création des lois HADOPI , et avec les censures faites sur certaines formes de téléchargement et notamment le recul croissant de l’utilisation des programmes de peer to peer, une nouvelle forme d’échange numérique a fait son apparition. Ce sont les Réseaux Privés Virtuels (RPV) ou Virtual Private Network (VPN), qui permettent aujourd’hui aux utilisateurs de ce système de procéder à des échanges de données dans un cadre totalement sécurisé et anonyme.
Sommaire
Définition
Les RPV sont des logiciels qui peuvent être gratuits ou payants et qui permettent à l’internaute de connecter plusieurs machines présentes sur un même réseau (comme par exemple Internet), entre elles, en acheminant les données par le biais d’un « tunnel » virtuel sécurisé encrypté. Ce système permet dans un premier temps d’obtenir un échange de données complètement crypté puis, dans un deuxième temps, il permet aux utilisateurs de sécuriser leurs données, préserver sa vie privée en garantissant son anonymat tout en s’assurant qu’aucune intrusion dans son système informatique puisse être faite, car l’adresse IP transitant sur le réseau est celle du service RPV. L’adresse IP finale, fournie par l’internaute lors de ses échanges de données sur le web n’est plus son adresse personnelle qui permettrait son identification mais celle empruntée au logiciel préalablement installé. Par conséquent la localisation de l’adresse IP variera en fonction du lieu où se situe le prestataire.
Le Cryptage et la protection des données
Une technique performante
Les RPV offrent, sur le plan technique, un excellent moyen de cryptage des données qui permet d’assurer la protection et la confidentialité des contenus partagés via le réseau. A la base, les données vont être cryptées et ne pourront être déchiffrées que grâce à l’utilisation d’une machine autorisée, identifiée par une clé ou par une double protection généralement utilisée, à savoir le nom d’utilisateur et le mot de passe.
L’utilisateur RPV pourra, à l’aide de ce logiciel, chiffrer les données qu’il désire transmettre selon un algorithme décidé entre le client et le serveur VPN, puis elles sont transmises par Internet – le plus souvent – mais à l’intérieur d’un tunnel parallèle, et sont reçues par le serveur RPV qui va ensuite les déchiffrer.
Le protocole de tunnel point à point
Ce procédé de cryptage connu aussi comme « protocole d’encapsulation » principalement utilisé par les logiciels RPV se matérialise de deux manières. D’abord avec le protocole de tunnel point à point (PTPP) ou point-to-point tunneling protocole (PPTP). Ce dernier est considéré comme un protocole car il est régi par des règles bien spécifiques permettant de satisfaire un type de communication particulier qui est la création de VPN en parallèle du réseau public tel qu’Internet. Ce protocole fut développé par Microsoft et installé initialement sur les ordinateurs équipés de Windows, après la version Windows 95, et offre une simplicité de configuration avec un cryptage des données de 128 bits².
L'openVPN
Il s'agit d'un logiciel open source qui propose un cryptage de niveau militaire allant jusqu’à 2048 bits. En offrant un niveau de cryptage bien plus élevé, il est nécessaire pour son fonctionnement d’installer un autre logiciel. C’est une application open source qui permet d’accéder à des ressources distantes de manière très sécurisée. Ce logiciel peut aussi permettre d’éviter les blocages et restrictions.
La protection des données
Il est des pays où ces RPV vont se voir imposer la mise en place de logs de connexions – aussi appelés journaux de connexion - dans le but qu’ils puissent coopérer avec la justice si on est en situation de poursuite contre un de leurs utilisateurs. Comme c’est le cas en France avec les VPN qui proposent leurs services car ils sont des prestataires techniques considérés comme fournisseurs d’accès à internet (FAI). Depuis le décret rectificatif du décret fondateur de la loi HADOPI du 5 mars 2010, publié le 3 septembre 2010, certaines informations relatives aux utilisateurs d’Internet (fichiers échangés, IP, routage…) devront être communiquées à la Haute Autorité pour la Diffusion des Œuvres et la Protection des droits sur Internet (HADOPI) en cas de soupçon sur eux de délit de contrefaçon d’œuvres protégées. Aux termes de ce décret le FAI est défini comme celui « auprès duquel l’accès a été souscrit ayant fourni la ressource technique IP ». Ainsi, vus sous l’angle de la réglementation française, les RPV sont qualifiables de Fournisseurs d’Accès Internet soumis à l’obligation de conservation des logs tel que le prévoit le décret d’application du 25 février 2011 portant sur les articles 6, 57 et 58 de la loi de confiance en l’économie numérique du 24 juin 2004 (LCEN). Cette conservation des logs correspond à l’ensemble des données entrantes et sortantes sur un serveur. Elles permettent notamment d’identifier des IP en cas de contenu manifestement illicite (pédophilie, crime de guerre, terrorisme etc…) ou d’atteinte aux droits d’auteur par exemple. Cette réglementation peut laisser entrevoir que les utilisateurs du réseau choisiront des RPV dans des zones privés des droits d’auteur dans l’objectif de s’assurer un complet anonymat de par l’absence de conservation des données. Outre l’aspect technique de ces réseaux privés virtuels, il est aussi des protections morales et matérielles qu’offrent ces réseaux.
Les protections apportées par les RPV
L'anonymat
La première garantie qu’offrent les RPV est que l’internaute conserve son anonymat tant dans l’envoi de courriel, la visite de sites internet ou les échanges de fichiers. Il faut rappeler que dans une situation standard d’échange de communication d’information via Internet, l’adresse IP – donnée personnelle – circule, est transmise sans aucune sécurité. Cela signifie que l’adresse a une totale visibilité sur la toile et qu’elle peut être collectée, analysée, exploitée pour des usages d’ordre marketing ou autre. Les données personnelles des utilisateurs d’internet ne sont pas des denrées rares et les sites ou même les moteurs de recherche ne se privent pas pour les collecter. Cet anonymat dans les réseaux ouverts est un des principes posés par la directive 8 juin 2000 qui, dans son considérant 14, affirme que « ne peut empêcher l’utilisation anonyme de réseaux ouverts tels qu’internet ».
La protection contre la collecte des données personnelles
De nos jours on trouve une activité que la plupart des sites internet font, qui est l’entretien d’un journal de connexion qui permet de recueillir l’adresse IP d’un ordinateur, les heures de connexion, les sites visités ou même carrément la géo localisation. Avec ces méthodes il est possible de faire un profilage de l’utilisateur et ainsi déterminer ses habitudes de consommation. Ces données prennent ainsi de la valeur pour satisfaire entre autre la publicité ciblée. Depuis le décret du 25 février 2011 les données de ces journaux de connexion ne doivent pas excéder un an. L’intérêt certain que portent les internautes aux RPV vient du fait qu’ils offrent un moyen de contourner ces collectes massives et pour toujours licites d’informations.
Le respect de la vie privée
L’emploi de ces réseaux permet aussi d’assurer la protection de la vie privée qui lui est un droit universel et consacré en France depuis bien des décennies, telle qu’en témoigne la Loi informatique et libertés du 6 janvier 1978 qui dans son article 1 prévoit que « l’informatique est au service du citoyen […] elle ne doit pas porter atteinte […] à la vie privée ». Cependant dans la pratique, face aux difficultés techniques que peuvent soulever la circulation des informations sur le web, la vie privée n’est pas toujours respectée et par conséquent la tendance à se tourner vers des protocoles privés se fait grandissante.
Les éditeurs de RPV
La responsabilité des éditeurs RPV
En tant qu’éditeur ces prestataires techniques ont une responsabilité. A l’inverse des logiciels de peer to peer, les logiciels de RPV n’ont pas la possibilité de faire l’objet d’une utilisation contraire aux règles de la propriété intellectuelle. En effet de par leur configuration il n’est pas possible d’utiliser ces réseaux pour permettre la reproduction ou la diffusion d’une œuvre protégée auprès du public. Il n’y a donc pas de situation de logiciel illicite selon les termes de l’article L336-1 du CPI : « Lorsqu'un logiciel est principalement utilisé pour la mise à disposition illicite d'œuvres ou d'objets protégés par un droit de propriété littéraire et artistique, le président du tribunal de grande instance, statuant en référé, peut ordonner sous astreinte toutes mesures nécessaires à la protection de ce droit et conformes à l'état de l'art ».
Les conditions générales d'utilisation
Dans la pratique on constate que ces éditeurs prévoient des clauses exonératoires de responsabilité dans les conditions générales d’utilisation de leurs logiciels, tout en précisant la mention « le téléchargement d’œuvre illégal est protégés ». Aujourd’hui il n’y a pas de jurisprudence concernant une utilisation frauduleuse ou illicite de ces logiciels, cependant au vu des différentes jurisprudences (décisions) sur la qualification des prestataires techniques et de leur responsabilité, il est permis de croire que la qualification de fournisseur d’accès internet est suffisante pour considérer que leur responsabilité ne va pas au-delà d’un simple prestataire technique.