P2P : la réponse du berger à la bergère
Alors que la discussion du projet de loi Création & Internet à l’Assemblée nationale fait une pause, temps gouvernemental oblige, la toile poursuit son travail de sape des intentions législatives. L’architecture logicielle du peer-to-peer, en particulier, s’adapte déjà au contournement des barrières que l’on s’apprête à dresser. En faisant la promotion de nouveaux modes d’échanges beaucoup plus privatifs, sur le modèle des réseaux sociaux, qui échapperont aux radars du net.
La nouvelle version 5.1.1. du logiciel P2P LimeWire, qui dispose d’une base installée de plusieurs millions d’internautes dans le monde, permet désormais de créer son propre réseau d’échange privé, en marge des réseaux P2P publics qui devraient bientôt faire l’objet d’une surveillance en France. Les utilisateurs de LimeWire peuvent choisir de ne partager leurs fichiers qu’avec certaines personnes de confiance, ce qui est censé les mettre à l’abri des sniffers d’adresses IP, lesquels ne pourront pas a priori s’immiscer dans leurs échanges.
Jusqu’à présent, les applications P2P se caractérisaient par un déficit chronique en terme de protection de la vie privée. Des services comme BitTorrent ou Gnutella, par exemple, permettent à n’importe qui d’accéder aux données d’échanges entre particuliers, et à des tierce-parties de mettre en oeuvre une surveillance systématique des comportements. C’est sur cette « faille » en terme de protection de la vie privée que s’appuient les systèmes de radars prévus par le projet de loi Création & Internet.
Les réseaux sociaux : nouvelle sphère "privative"
Mais voilà qu’arrive la réponse du berger à la bergère : aux réseaux P2P publics vont succéder des réseaux F2F (Friend to Friend) privés, du type de ceux que permet également de mettre en oeuvre un plug’in comme OneSwarm, à partir d’un simple navigateur Web. Grâce à OneSwarm, dont les dispositifs d’anonymat sont mieux documentés que ceux de LimeWire, chacun peut paramétrer les fichiers qu’il souhaite partager publiquement sur le Web, et ceux qu’il réserve à ses amis ou uniquement à sa famille. Différents groupes d’échange peuvent être créés, qui accèderont à différents réservoirs de fichiers, en privé.
Au lieu de centraliser l’information permettant de savoir quel node du réseau détient quel contenu, comme sur les serveurs de trackers BitTorrent accessibles à tout public, OneSwarm localise les sources à travers le nuage de son réseau social, en l’inondant de recherches d’objets, sans qu’aucune donnée d’identification ne soit échangée entre l’émetteur et le récepteur d’un message ou d’un fichier, dont les adresses sont réécrites à de multiples reprises. Le protocole met aussi en oeuvre une système de transferts redondants qui empruntent le chemin inverse de la recherche, à travers de nombreux sauts, plutôt qu’une liaison directe entre pairs.
Chaque utilisateur est identifié par une clé cryptographique publique de 1024 bits qui permet de sécuriser ses communications. Cette clé d’identification permanente est associée, dans les communications avec les membres d’un groupe donné, à des informations de connexion temporaires (dont l’adresse IP, le n° de port, etc.), signées avec la clé publique de l’émetteur et cryptées avec celle du destinataire. Seuls les membres du groupe sont ainsi à même de recevoir cette information et de la décrypter. Impossible, donc, d’identifier des milliers d’adresses IP à la volée.
Pour le transfert de fichiers, OneSwarm utilise le coeur de la technologie BitTorrent, mais au lieu d’établir une connexion directe entre pairs, il détourne le trafic BitTorrent sur son nuage social F2F et lui fait emprunter différents chemins de manière dynamique. Comme il identifie de nouvelles sources en permanence, en émettant des requêtes sur le contenu téléchargé, il n’a pas non plus à se connecter à un serveur centralisé pour obtenir une liste de pairs le mettant eux aussi à disposition.
Une riposte graduée déjà mise en échec
Une chose est sûre, cette technologie met en échec la plupart des modes courants d’attaque utilisés contre le P2P - comme la dissémination de fichiers leurres -, et elle limite considérablement les effets que peuvent avoir certaines autres - comme le fait d’inonder le réseau de requêtes, stratégie mise en échec par un gestion équitable des priorités entre amis dans les listes d’attente. « OneSwarm est capable de résister au monitoring systèmatique qui est devenu chose courante aujourd’hui sur les réseaux P2P publics, indiquent ses créateurs. Nous soulignons, cependant, que nous n’avons absolument pas pour objectif de fournir un système éprouvé d’anonymat renforcé ou d’éliminer la possibilité d’être surveillés par de puissants agents de monitoring comme ceux du gouvernement ou des forces de l’ordre ».
La faille de ce genre de système réside en général dans le mode d’échange des clés entre pairs adoubés. OnseSwarm, dont tout le protocole est inspiré par une étude préliminaire des interactions sociales entre utilisateurs de Last.fm, préfère tabler sur des outils de communication permettant de s’appuyer sur des réseaux sociaux déjà existants, à travers lesquels les internautes savent déjà gérer des rapports de confiance, comme le système de messagerie instantanée Google Talk : le seul moyen mis à disposition à l’heure qu’il est pour inviter des amis, et procéder à des échanges individuels de clé publique.
Dans ces conditions, le compte de la risposte graduée semble réglé d’avance, au moins en puissance. L’avénement d’une nouvelle génération de logiciels favorisant des échanges privatifs étendus au sein d’un réseau social constitué est déjà programmée. Dès lors, la tentation peut être grande, pour une autorité administrative investie des pouvoirs nécessaires, de filtrer tous les échanges privatifs sur Internet.
C’est un des enjeux du projet de loi Création & Internet, en terme de libertés publiques : il introduit le risque que les intrusions de la puissance publique dans la sphère privée se répètent sur Internet, et une logique de surenchère dans les méthodes de surveillance, que le jeu du chat et de la souris avec les nouveaux services F2F (Friend-to-Friend) et de P2P cryptés, anonymes ou off-shore promet de favoriser.
