Internet, commerce et politique - Olivier Ricou
Transcription
Internet, commerce et politique - Olivier Ricou
Olivier Ricou Internet, commerce & politique Version 1.4 du 8 avril 2005 Table des matières Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 I Ce média appelé Internet 19 1 Une petite histoire 21 2 La topologie de l’Internet 29 2.1 Le passage des paquets de réseau en réseau . . . . . . . . . . . . . . . . . . 29 2.2 Des domaines et des noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3 Le gouvernement de l’Internet 37 3.1 L’IETF et l’IESG, les protocoles et l’évolution technique . . . . . . . . . . . 38 3.2 L’IAB, les grands architectes de l’Internet . . . . . . . . . . . . . . . . . . . 40 3.3 L’ICANN, l’Internet Corporation for Assigned Names and Numbers . . . . 40 3.4 L’APNIC, l’ARIN, le LACNIC et le RIPE . . . . . . . . . . . . . . . . . . . 46 3.5 L’ISOC, l’Association des internautes 3.6 Le W3C, Web Web Web Consortium . . . . . . . . . . . . . . . . . . . . . . 47 3.7 Les autres, IEEE, UIT... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 3.8 Les organismes français . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 3.9 Qui a le pouvoir ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 . . . . . . . . . . . . . . . . . . . . . 47 3.10 L’avenir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 4 La sécurité sur Internet 53 3 II 4.1 Les faiblesses de l’Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.2 L’espionnage industriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 4.3 Introduction à la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . 57 4.4 L’authorité de certification . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 4.5 Utilisation de la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . 63 4.6 La sûreté de la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . 66 4.7 Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Le commerce sur Internet 5 Les chiffres d’Internet et du commerce électronique 71 73 5.1 Les internautes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 5.2 Les machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 5.3 Le commerce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 5.4 Les sociétés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 6 La rentabilité sur Internet 93 6.1 Les coûts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 6.2 Les revenus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 6.3 La rentabilité de la gratuité . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 6.4 Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 7 Les outils du commerce électronique 113 7.1 Pourquoi des outils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 7.2 Yahoo ! Store . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 7.3 Enfinity d’Intershop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 7.4 WebSphere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 7.5 Commerce Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 7.6 La post-installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 8 Le paiement électronique III 125 8.1 Les moyens de paiement usuels . . . . . . . . . . . . . . . . . . . . . . . . . 126 8.2 Les monnaies complémentaires . . . . . . . . . . . . . . . . . . . . . . . . . 127 8.3 Les micro-paiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 8.4 Les macro-paiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 8.5 Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 La loi de l’Internet 141 La portée du droit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 9 La liberté d’expression 149 9.1 La liberté des uns s’arrête... . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 9.2 La loi relative à la liberté de communication . . . . . . . . . . . . . . . . . . 150 9.3 Critiques et atteinte à l’image de marque . . . . . . . . . . . . . . . . . . . 152 10 Le copyright 155 10.1 Historique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 10.2 La copie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 10.3 Les noms de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 10.4 Les brevets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 11 La vie privée sur Internet 167 11.1 La collecte de données nominatives . . . . . . . . . . . . . . . . . . . . . . . 167 11.2 Le réseautage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 11.3 La concentration des moyens . . . . . . . . . . . . . . . . . . . . . . . . . . 172 11.4 L’usage de la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 11.5 La protection par l’anonymat . . . . . . . . . . . . . . . . . . . . . . . . . . 174 11.6 Une solution technique : P3P . . . . . . . . . . . . . . . . . . . . . . . . . . 174 12 Risques et devoirs de l’entreprise en ligne 179 12.1 La vente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 12.2 La signature électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 12.3 Le courrier électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 12.4 Le piratage et malveillances . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 13 Régulation, co-régulation et autorégulation 187 13.1 La régulation technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 13.2 RFC 1855 : la Netiquette . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 13.3 L’ICANN et l’UDRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 13.4 Relations de la France avec Internet . . . . . . . . . . . . . . . . . . . . . . 190 13.5 Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 IV La société de l’Internet 14 L’e-État 191 193 14.1 Internet Service Public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 14.2 L’administration électronique . . . . . . . . . . . . . . . . . . . . . . . . . . 197 14.3 Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 15 L’e-mafia 201 15.1 La pornographie infantile . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 15.2 Le jeu en ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 15.3 L’achat de drogues et de médicaments . . . . . . . . . . . . . . . . . . . . . 203 15.4 Les arnaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 16 Le monde virtuel 205 16.1 Le logiciel libre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 16.2 L’internet politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 Annexes 211 A - Adresses juridiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 B - Modèle de lettre de plainte pour spam . . . . . . . . . . . . . . . . . . . . . . 213 C - Code ISO 3166-1 des pays . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Bibliographie 216 Liste des tableaux 3.1 La vision de l’ICANN d’un ancien de l’Internet . . . . . . . . . . . . . . . . 44 3.2 Résultat du vote de l’election At Large de l’ICANN (automne 2000) . . . . 45 4.1 Niveau de sécurité des serveurs français (étude de ProjetWeb, mai 2001) . . 55 5.1 Nombre d’internautes par continents (en millions) 5.2 Prévisions du nombre d’internautes (en millions) . . . . . . . . . . . . . . . 75 5.4 Pays ayant le meilleur taux de connexion à l’Internet . . . . . . . . . . . . . 76 6.1 Prix mensuel d’une connexion et d’un hébergement en France en 2002 . . . 94 6.2 Coût de développement d’un site web entre 96 et 2001 . . . . . . . . . . . . 96 6.3 Variation du CPM suivant le type de site web . . . . . . . . . . . . . . . . . 106 6.4 Prix de la publicité sur Internet en septembre 99 . . . . . . . . . . . . . . . 107 7.1 Prix 2005 de Yahoo ! Store . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 7.2 La plateforme WebSphère et ses composants . . . . . . . . . . . . . . . . . . 121 7.3 Prix catalogue automne 2002 de WebSphere Commerce Suite . . . . . . . . 122 7.4 Prix du site Microsoft de la suite Commerce Server 2002 . . . . . . . . . . . 122 8.1 Statistique sur la pénétration de monnaie électronique en Europe et aux EU 129 8.2 Evolution de l’utilisation de la Geldkarte entre 1997 et 1999 . . . . . . . . . 131 . . . . . . . . . . . . . . 74 10.1 Michel Rocard ferraille contre le brevet logiciel, LE MONDE du 17.02.05 . . 162 11.1 Réglementation française en matière d’utilisation, de fourniture et d’importation de moyens de cryptologie en France . . . . . . . . . . . . . . . . . . . 173 9 Table des figures 1 Plan graphique des chapitres . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.1 1978 : Arrêt du réseau Cyclade en France . . . . . . . . . . . . . . . . . . . 22 1.3 Le rézo et ses protocoles en 1991 . . . . . . . . . . . . . . . . . . . . . . . . 24 1.2 Evolution des réseaux en nombre de machines jusqu’en 1998 . . . . . . . . . 25 1.4 Le rézo et ses protocoles en 1997 . . . . . . . . . . . . . . . . . . . . . . . . 26 1.5 Evolution statistique de Usenet entre 1995 et 2002 . . . . . . . . . . . . . . 27 2.1 Carte des FAI en 1999 vue par Burch et Cheswick . . . . . . . . . . . . . . 29 2.2 Renater en 2004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 2.3 Géant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 2.4 Les connexions internationnales d’Internet 2 (les dorsales sont à 10 Gbits) . 32 2.5 La carte météo d’Internet 2 (ce matin là, seul 10% des 10 Gbits du réseau étaient utilisés) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 2.6 Carte de la topologie d’Internet vue par CAIDA . . . . . . . . . . . . . . . 34 2.7 Exemple de zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 2.8 Délégation de zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 2.9 Fonctionnement récursif du DNS . . . . . . . . . . . . . . . . . . . . . . . . 36 3.1 Histoire des organismes techniques de l’Internet . . . . . . . . . . . . . . . . 38 3.2 La régulation d’Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 3.3 Organigramme 2002 de l’ICANN . . . . . . . . . . . . . . . . . . . . . . . . 42 3.4 Organigramme de l’ICANN . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 3.5 Répartition des adresses IPv4 fin juin 2003 (en équivalent classes A) . . . . 46 11 3.6 Distribution d’adresses IPv6 entre 1999 et juin 2003 par région . . . . . . . 47 4.1 Echelon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.2 Attaque de l’homme au milieu . . . . . . . . . . . . . . . . . . . . . . . . . . 60 4.3 Encodage d’un message à l’aide de PGP . . . . . . . . . . . . . . . . . . . . 64 4.4 Décodage d’un message à l’aide de PGP . . . . . . . . . . . . . . . . . . . . 64 4.5 GPA, l’interface graphique de GPG . . . . . . . . . . . . . . . . . . . . . . . 65 4.6 Netscape mail et PGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 4.7 Vitesse de test des clés RC5-64 depuis 1997 . . . . . . . . . . . . . . . . . . 68 5.1 Comparaison de sources de sondage faites par NUA 5.2 Foyers ayant accès à Internet dans l’Europe des 15 . . . . . . . . . . . . . . 77 5.3 Européens connectés à Internet (% de la population) . . . . . . . . . . . . . 78 5.4 Internautes européens, anciens et passant au haut débit chez eux . . . . . . 78 5.5 Lieu de connexion à Internet (% de la population) . . . . . . . . . . . . . . 79 5.6 Connexion à Internet en France des membres de l’AFA . . . . . . . . . . . . 80 5.7 % des français connecté au travail et à domicile . . . . . . . . . . . . . . . . 81 5.8 % des cadres français connectés au travail et à domicile . . . . . . . . . . . 81 5.9 Répartition par âge des internautes français . . . . . . . . . . . . . . . . . . 81 . . . . . . . . . . . . . 73 5.10 Profil des internautes US par rapport au profil de la population . . . . . . . 82 5.11 Croissance du nombre de machines connectées à Internet . . . . . . . . . . . 82 5.12 Nombre de domaines enregistrés dans les TDL nationaux . . . . . . . . . . 83 5.13 Répartition des domaines .com appartenant à des européens . . . . . . . . . 83 5.14 Répartition des adresses IP dans les domaines nationnaux . . . . . . . . . . 83 5.15 Comparaison de la connexion des pays par rapport aux données géopolitiques 84 5.16 Nombre de serveurs Web branchés et actifs . . . . . . . . . . . . . . . . . . 85 5.17 Revenus générés par Internet entre 1996 et 2002 . . . . . . . . . . . . . . . 86 5.18 Dépenses d’internautes sur des sites européens entre 1997 et 2002 . . . . . . 87 5.19 Dépenses d’internautes sur des sites allemands et anglais entre 1997 et 2002 87 5.20 Répartition B2B et B2C aux E-U entre 1998 et 2003 . . . . . . . . . . . . . 88 5.21 Evolution du B2C entre 1998 et 2003 . . . . . . . . . . . . . . . . . . . . . . 88 5.22 Le poids de la publicité sur Internet . . . . . . . . . . . . . . . . . . . . . . 88 5.23 Les 10 plus grosses capitalisations d’Internet en juin 1999 . . . . . . . . . . 89 5.24 Cours de CISCO entre 1995 et 2000 . . . . . . . . . . . . . . . . . . . . . . 89 5.25 Cours de CISCO jusqu’en mars 2005 . . . . . . . . . . . . . . . . . . . . . . 90 5.26 Cours de France Telecom entre 1998 et 2003 . . . . . . . . . . . . . . . . . . 90 5.27 Cours d’Umanis entre 1999 et 2002 . . . . . . . . . . . . . . . . . . . . . . . 90 5.28 Cours de Yahoo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 5.29 Comparatif Yahoo/Amazon . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 5.30 Cours de eBay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 5.31 Cours d’AOL (Time Warner Inc maintenant) . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 6.1 The garlic store, http ://www.thegarlicstore.com/ . . . . . . . . . . . . . . 93 6.2 Revenus du voyage en ligne entre 1998 et 2001 . . . . . . . . . . . . . . . . 98 6.3 Nombre d’utilisation des services bancaires en ligne aux E-U . . . . . . . . . 98 6.4 Achats induits par les sites en ligne . . . . . . . . . . . . . . . . . . . . . . . 99 6.5 Comparaison de la progression de la radio, de la TV et d’Internet . . . . . . 101 6.6 Consommation 2004 européenne des principaux médias (en heures par semaine) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 6.7 Croissance des revenus de la publicité sur Internet aux Etats-Unis . . . . . 102 6.8 En 2001 Internet représente 2.9% de la publicité inter entreprises aux E-U . 103 6.9 Croissance de la publicité en ligne aux E-U . . . . . . . . . . . . . . . . . . 103 6.10 Partage du marché de la publicité en ligne entre annonceurs aux E-U . . . . 104 6.11 Répartition des différents choix de pricing de la publicité . . . . . . . . . . . 104 6.12 Variation du CPM et du % de publicités vendues sur 2001 et 2002 . . . . . 105 6.13 Fonctionnement de la distribution de publicité . . . . . . . . . . . . . . . . 108 6.14 Nombre de publicités délivrées par Double Click . . . . . . . . . . . . . . . 109 6.15 Taille du réseau de Double Click . . . . . . . . . . . . . . . . . . . . . . . . 109 6.16 Type de support pour la publicité (aux Etats-Unis) . . . . . . . . . . . . . . 110 6.17 Les liens publicitaires des moteurs de recherche . . . . . . . . . . . . . . . . 110 6.18 Compte d’exploitation 1999 de Liberty Surf . . . . . . . . . . . . . . . . . . 112 7.1 Réalisation de l’achat sur un site marchand . . . . . . . . . . . . . . . . . . 113 7.2 Chaı̂ne d’édition d’un site commercial . . . . . . . . . . . . . . . . . . . . . 114 7.3 Elements internes d’un site marchand . . . . . . . . . . . . . . . . . . . . . 114 7.4 La vision d’Intershop du commerce électronique . . . . . . . . . . . . . . . . 115 7.5 Différents type de sites Web et leurs communications . . . . . . . . . . . . . 115 7.6 Interface du Publication Manager d’Intershop Enfinity . . . . . . . . . . . . 116 7.7 Construction assistée d’un site marchand chez Yahoo ! Store . . . . . . . . . 118 7.8 Historique d’Intershop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 7.9 Enfinity d’Intershop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 7.10 Outils graphiques de programmation d’Enfinity . . . . . . . . . . . . . . . . 120 7.11 Interconnexion entre Websphere et d’autres services . . . . . . . . . . . . . 121 7.12 Pourcentage de temps passé sur chaque étape lors de la demande d’une page123 7.13 Système de gestion de Base de Données (SGBD) sans fuite et avec fuites (oublis de fermeture de connexion) . . . . . . . . . . . . . . . . . . . . . . . 124 8.1 Paiement en liquide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 8.2 Paiement par carte bancaire . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 8.3 Versement interbancaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 8.4 Nombre de systèmes monétaires complémentaires dans 12 pays . . . . . . . 128 8.5 Créations “anonyme” de pièces eCash . . . . . . . . . . . . . . . . . . . . . 134 8.6 Bob vérifie les pièces d’Alice auprès de la banque d’Alice . . . . . . . . . . . 134 8.7 Fonctionnement de SET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 9.1 Des logos détournés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 10.1 Napster et les maisons de disque . . . . . . . . . . . . . . . . . . . . . . . . 157 15 10.2 Environnement juridique des mesures techniques de protection . . . . . . . 160 11.1 Le modèle P3P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 11.2 Choix des préférences du filtre Privacy Bird . . . . . . . . . . . . . . . . . . 175 11.3 Fin du résumé d’une charte compatible avec les choix du surfeur, le fond est vert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 11.4 Les Big Brother Awards Français . . . . . . . . . . . . . . . . . . . . . . . . 177 12.1 Organigramme de la Police avec la répartition Province/Paris . . . . . . . . 186 14.1 Le Réseau de Transport d’Électricité de très haute tension pourrait servir de squelette à un Internet service public . . . . . . . . . . . . . . . . . . . . 199 16.1 Utilisation d’Internet par les français . . . . . . . . . . . . . . . . . . . . . . 205 16.2 Intensité de l’utilisation du courrier électronique . . . . . . . . . . . . . . . 206 16.3 Nombre de contacts réguliers entretenus par les développeurs de logiciels libres entre eux en pourcentage . . . . . . . . . . . . . . . . . . . . . . . . . 207 16.4 RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 16 Introduction En 10 ans Internet est passé d’un outil d’universitaire à un mass média incontournable dans notre société. Ses spécificités ont déjà bouleversé nos habitudes à tel point que l’avènement d’Internet est souvent comparé à celui de l’imprimerie. Des secteurs entiers de notre société ont dû s’y adapter. Le monde des médias, des autres médias, a dû intégrer ce nouveau venu qui lui retire l’exclusivité de l’information et décuple le pouvoir du bouche à oreille. Les politiques, surpris par ce trublion qui supprime la notion de pouvoir pyramidal, ont dû et doivent encore adapter des lois nationales à ce support où la notion de frontière est virtuelle. La bourse, star de notre époque, a salué l’arrivée de ce nouvel élément en y voyant un eldorado puis un gouffre financier et finalement quelque chose de difficile à appréhender ce qui la rend pour le moins nerveuse. Les citoyens et le monde associatif y ont trouvé un espace d’expression leur permettant de communiquer entre eux pratiquement sans contrainte technique, administrative ou financière. Enfin les entreprises ont été séduites par cet outil tellement économique, doté d’un tel potentiel à une époque où tout se numérise. Leur rencontre avec Internet a donné le commerce électronique et la nouvelle économie qui, malgré le crack, devrait à terme représenter la plus importante des économies. Si la technique du réseau Internet est mature, la politique et l’économie sont en phase d’apprentissage sur ce média, que ce soit du point de vue des modèles ou des outils. Les modèles économiques de l’Internet ont du mal à s’affirmer, il est encore difficile de savoir si Amazon va gagner son pari et si les libraires traditionnels devront lui céder la place importante qu’elle vise. De même il est difficile de savoir quel est l’apport d’une vitrine Web pour une entreprise de l’«ancienne» économie. Ces incertitudes sont aussi liées à la dépendance de ces modèles vis à vis des outils du commerce électronique au premier plan desquels on trouve le paiement électronique. D’un point de vue politique, la loi sur la sécurité quotidienne, LSQ, et les réactions des internautes, les procès des sociétés contre les ONG pour atteinte à leur image, les aller-retours du gouvernement sur le contrôle, la régulation et finalement l’autorégulation d’Internet, la mise au grand jour de l’accord multilatéral sur l’investissement, l’AMI, sont des exemples de l’impact d’Internet sur la vie politique et civile. Le développement des logiciels libres basés sur le travail coopératif non marchand, leur intrusion dans les entreprises par la base, dans le monde politique à travers la volonté d’hommes politiques de les voir utilisés dans l’administration, à l’école poussés par des enseignants militants, est une autre facette de cet impact, facette directement en opposition avec notre schéma économique capitaliste. Ce cours reprend ces différents points à travers les chapitres présentés dans la figure 1. La première partie, qui comprend les 4 premiers chapitres, est un rappel de ce qu’est Internet 17 18 Informatique 1. Historique 2. Topologie 8. Paiement 13. Autorégulation 4. Sécurité 3. Gouvernance 14. L’e−Etat 5. Chiffres 12. Droit entreprise 11. Vie privée 15. L’e−Mafia 10. Copyright 6. Rentabilité 9. Liberté d’expression 16. Le monde virtuel 7. Outils Web Politique Commerce Fig. 1 – Plan graphique des chapitres tant au niveau réseau qu’au niveau de son organisation. On y présentera aussi les bases de la cryptographie, seule façon de garantir la sécurité des transmissions de données. La deuxième partie aborde les aspects commerciaux du réseau à travers les chiffres et l’expérience tirée de cette première décénnie de l’Internet grand public et marchand. On y abordera les outils du commerce électronique à travers les machines à tout faire que sont les outils comme InterShop ou WebSphere et le paiement électronique. La troisième partie, chapitres 9, 10 et 11, porte sur les aspects légaux d’Internet, que ce soit l’évolution de la législation, la jurisprudence mais aussi les problèmes liés à l’application ou la non application des lois nationales sur des sujets comme la protection de la vie privée ou les brevets logiciels. Enfin, nous terminerons avec la société de l’Internet, ses citoyens, ses associations, ses états et ses mafieux en analysant les usages, la vision et les perspectives que chacun de ces groupes a d’Internet. Première partie Ce média appelé Internet 19 Chapitre 1 Une petite histoire L’histoire d’Internet est peut-être encore un peu trop jeune pour mériter le nom d’histoire, on se contentera donc d’une série de dates brutes. Cette partie a été initialement rédigée par Pierre Beyssac qui s’est inspiré de The Internet Timeline de Robert Zakon et de l’historique de Philippe Dax. Les points hitoricomiques proviennent du site The Lemon. 1957 Lancement de Spoutnik par l’URSS. Mortellement vexés, les USA décident de créer l’ARPA (Advanced Research Projects Agency). 1961 Leonard Kleinrock (MIT) publie ses premiers travaux sur la commutation de paquets. 1964 Paul Barran (RAND) publie On Distributed Communications Networks sur les réseaux à commutation de paquets distribués. 1965 L’ARPA finance une étude sur un réseau d’ordinateurs en temps partagé. 1965 Lawrence Roberts et Thomas Merrill relient deux ordinateurs par le téléphone à 1200bps, l’un au MIT (Massachussets Institute of Technology), l’autre à Santa Monica (Californie). 1966 Premier projet d’Arpanet publié par Lawrence Roberts. 1968 Appel d’offres Arpanet. BBN (Bolt, Beranek & Newman) est choisi pour construire les équipements. 1969 Les premières RFC (Request for Comments), la RFC 1 et la RFC 4 décrivent l’interface d’Arpanet avec les ordinateurs, et sa mise en service. Elles sont écrites par des futurs utilisateurs dans les sites destinataires des premières connexions Arpanet. 1969 Mise en service d’Arpanet via des lignes ATT à 50 kbps, les quatre premiers nœuds sont – le 30/08, l’UCLA (University of California, Los Angeles) – le 01/10, le SRI (Stanford Research Institute) – le 01/11, l’UCSB (University of California, Santa Barbara) – en décembre, l’University of Utah L’architecture distingue les ordinateurs des équipements réseau et comprend des circuits virtuels. 1971 15 sites sur Arpanet, 23 ordinateurs. 21 22 Chapitre 1 1972 Steve Jobs and Steve Wozniack get stoned out of their minds and build a computer that costs a fortune and runs no software. ”Everyone will want one of these !”, says Jobs. 1972 Débuts du courrier électronique sur Arpanet. Le @ est utilisé pour les adresses. 1972 France : première démonstration du projet Cyclades/Cigale, dirigé par Louis Pouzin. Utilise et/ou introduit : – la notion de protocole de bout en bout, – l’adressage logique, – la fenêtre glissante, – l’interconnexion de réseaux. Idées essentielles reprises ensuite par TCP/IP et l’ARPA. 1973 Arpanet devient international en reliant : – University College (Londres) – Royal Radar Establishment (Norvège) 1973 Nombre d’utilisateurs Arpanet estimé à 2000. 75% du trafic est constitué par le courrier électronique. 1973 Bob Metcalfe (Xerox PARC) invente Ethernet : le réseau local. 1973 Premiers problèmes de sécurité sur Arpanet (RFC 602). 1974 France : Cyclades est opérationnel. En mai, Louis Pouzin publie ”A Proposal for interconnecting packet switching networks”. L’ARPA adopte l’idée pour sa prochaine génération d’Arpanet. 1974 Robert Kahn et Vinton Cerf publient leurs premiers travaux sur TCP/IP. 1975 Premières listes de discussion sur Arpanet. La plus populaire : SF-Lovers, non officielle. 1975 Nouvelle version de TCP/IP : séparation de TCP et IP, ajout de UDP (service de datagrammes). 1976 La reine d’Angleterre envoie son premier courrier électronique. 1978 Version 4 de TCP/IP : base technique de l’Internet moderne. Fig. 1.1 – 1978 : Arrêt du réseau Cyclade en France (dessin extrait de La Recherche, cf [La 00]) Une petite histoire 23 1978 France : faute d’appuis, arrêt de Cyclades qui relie à l’époque 20 ordinateurs à travers la France. 1978 France : ouverture opérationnelle de Transpac, fondé sur X25. 1979 France : création du ”nœud de transit international” de Transpac. 1981 Création de BITNET (protocoles IBM ; courrier électronique et transfert de fichiers). 1981 Bill Gates embarks on heroic and lifelong quest to piss off every person in America. 1981 France : Télétel et le Minitel font leur apparition, utilisant l’infrastructure Transpac. 1981 Le système Unix 4.2 BSD (Berkeley) inclut TCP/IP grâce à un financement par ARPA. 1981 Arpanet relie 200 sites. 1982 Création de CSNET pour fournir des services réseau (notamment courrier électronique) aux exclus d’Arpanet. 1982 ARPA commence à préparer la conversion d’Arpanet à TCP/IP. 1982 TCP/IP devient standard du DoD (Department of Defense). En conséquence, tous les équipements réseau achetés par le DoD doivent lui être conformes, ce qui contraint les fournisseurs à ajouter TCP/IP à leur matériel. 1982 Premiers systèmes TCP/IP commercialisés (Sun sous Unix BSD). 1982 Création d’EUnet (European Unix Network) : courrier électronique UUCP et forums de discussion Usenet (Pays-Bas, Danemark, Suède et Royaume-Uni). 1983 (1er janvier) Arpanet se convertit entièrement de NCP à TCP/IP en une nuit : début de ce que l’on appelle l’Internet. 1983 Mise en place d’une passerelle CSNET - Arpanet. 1983 Arpanet se sépare en Arpanet et MILNET. Ce dernier regroupe alors 68 sites sur les 113. 1983 Création de EARN (European Academic and Research Network), branche européenne de BITNET. 1984 Mise en service du DNS (Domain Name Service) : les noms sur Internet ne sont plus centralisés. 1986 La National Science Foundation, NSF, met en service NSFNET, fondé sur TCP/IP. Elle relie 5 centres de superordinateurs via une infrastructure à 56 kbps : – Princeton – Pittsburgh – UCSD (San Diego) – UIUC (University of Illinois at Urbana, Champaign) – Cornell 1987 Première TCP/IP Interoperability Conference. Elle deviendra INTEROP en 1988. 1987 Plus de 10.000 ordinateurs sur Internet. 1987 Les premiers routeurs dédiés apparaissent (Cisco, Proteon, Wellfleet...). Une caractéristique intéressante de l’Internet est que les routeurs dédiés ne sont pas nécessaires : la fonction de routage peut être assurée par des ordinateurs. 1988 (novembre) Le vers de l’Internet affecte 6000 machines sur les 60.000 du réseau. L’importance de la sécurité apparaı̂t. 1988 L’infrastructure NSFNET passe à 1,544 Mbps. 1988 Pays connectés à NSFNET : Canada, Danemark, Finlande, France, Islande, Norvège, Suède. 1989 Plus de 100.000 ordinateurs sur Internet. 1989 Nouveaux connectés à NSFNET : Australie, Allemagne, Israël, Italie, Japon, Mexico, 24 Chapitre 1 Hollande, Puerto Rico, Royaume Uni. 1989 Arrêt d’Arpanet. 1989 Apparition des premiers opérateurs Internet commerciaux aux USA. Fig. 1.3 – Le rézo et ses protocoles en 1991 1991 Arrêt de CSNET. 1991 Infrastructure NSFNET portée à 45 Mbps. 1991 Naissance du Web au CERN (Centre Européen pour la Recherche Nucléaire) à Genève. 1992 Création de l’ISOC (Internet Society). Association à but non lucratif d’utilisateurs d’Internet et de fournisseurs. 1992 Le nombre d’ordinateurs connectés à Internet dépasse 1.000.000. 1992 Premier multicast audio en mars, premier multicast vidéo en novembre. 1993 France : création du GIP Renater, réseau pour la recherche. 1993 France : premiers fournisseurs commerciaux d’Internet. 1993 Sortie du navigateur Mosaic : les graphismes apparaissent sur le Web. 1993 France : création de Usenet fr.* 1994 L’équipe de Mosaic fonde Netscape. 1994 France : premiers fournisseurs d’Internet par téléphone pour le grand public. 1994 First piece of spam appears in USENET newsgroups and is quickly removed. ”Well, that should be the last of that”, say users. 1994 (octobre) Création du W3C (World Wide Web Consortium). 1995 France : La Lyonnaise Câble annonce Internet sur le câble à Paris pour l’été. L’exploitant technique (France Télécom) n’est pas du même avis. 1995 La NSF arrête le financement de NSFNET. La plus grande partie de l’infrastructure appartient désormais à des opérateurs commerciaux. Plus de 50% des réseaux sont extérieurs aux USA. 1995 AOL, Compuserve, Prodigy, and other on-line services take off, making heaps of Une petite histoire Fig. 1.2 – Evolution des réseaux en nombre de machines jusqu’en 1998 25 26 Chapitre 1 cash. Microsoft execs begin thinking : ”Maybe we should look into this internet thing”. 1995 Release of Windows 95 and Internet Explorer bring sharp rise in memory sales, profanity use. 1995 Real Audio released, allowing users to listen to halting bursts of static in real time. 1996 France : Création de l’AUI (Association des Utilisateurs d’Internet). D’autres associations la suivront dont la branche française de l’ISOC. Fig. 1.4 – Le rézo et ses protocoles en 1997 1998 France : Internet sur le câble commercialisé à Paris (après plusieurs autres villes). 1998 3lit3 hax0rz, d00d : Teens become most prolific illiterate writers in history. 1998 Google arrive. Il va rapidement détroner les autres moteurs de recheche comme Altavista, Lycos ou Yahoo. 1998 L’ICANN (Internet Corporation for Assigned Names and Numbers) est créée pour superviser la gestion des noms de domaine et des adresses IP. Elle cassera le monopole de la NSI pour permettre à d’autres registrars d’enregistrer les noms de domaine en .com, .net et .org. 1999 Napster introduced. Rampant piracy drives Metallica to life of abject poverty as wandering minstrels. Other artists soon to follow. 1999 France : arrivée d’ADSL, concurrent supposé du câble. 2000 Première élection mondiale par Internet pour choisir 5 des 19 directeurs de l’ICANN. 2000 L’ICANN crée 7 nouvelles terminaisons d’adresse (Top Level Domain) à savoir .aero, .biz, .coop, .info, .museum, .name et .pro. 2000 Internet bubble bursts. Investors take back money and hide it under a mattress. Geeks go back to Burger King. 27 Une petite histoire 2001 Napster collapses. Music industry suddenly profitable again, and able to meet insatiable public demand for more boy bands. 2001 VeriSign (ex NSI) lance les noms de domaine en caractères non latin. L’OPA a réussi et raté : Verisign en a tiré un gros bénéfice, des dizaines de millions de dollars, mais son système n’a pas fait école et Verisign devrait rejoindre le protocole de l’IETF. 2002 With the fall of Napster, numerous other P2P networks rise to allow users to share movies as well as music. ”I guess we should have seen that coming”, says entertainment industry. 2002 L’ISOC récupère .org de VeriSign et demande à Afilias qui gère .info de le gérer pour elle. 2003 Les réseaux de contacts professionnel ou d’amis, Plaxo, Ortuk, LinkedIn, prennent leur essor et inquiètent les défenseurs de la vie privée. 2003 Verisign renvoie les erreurs web en .com et .net vers son site Site GFinder et perturbe ainsi le fonctionnement du DNS. L’ICANN ordonne Verisign d’arrêter son service. 2003 et 2005 Sommet Mondial sur la Société de l’Information (SMSI) organisé par l’UIT et l’UNESCO, deux agences des Nations Unis. Fig. 1.5 – Evolution statistique de Usenet entre 1995 et 2002 source : Felix Kugler, SWITCH Plus... Le livre de Christian Huitéma, [Hui95], «Et Dieu créa l’Internet» reprend les premiers pas de l’Internet. Il présente aussi d’une façon très abordable le fonctionnement d’Internet, ses premières structures, les problèmes et des solutions. La lettre d’information DNS News Pro est une bonne source pour suivre la suite de l’histoire. On pourra aussi consulter en anglais The Register. 28 Chapitre 1 Chapitre 2 La topologie de l’Internet On rappelle dans ce chapitre très brièvement le fonctionnement de l’Internet afin de comprendre par la suite les enjeux liés, que ce soit sur le contrôle des noms de domaines, des adresses IP ou liés à l’indépendance et à la coopération des réseaux formant Internet. 2.1 Le passage des paquets de réseau en réseau L’Internet est une union de réseaux, chaque réseau parlant à son voisin à travers des passerelles, les messages passant de réseau en réseau jusqu’à leur destinataire. Fig. 2.1 – Carte des FAI en 1999 vue par Burch et Cheswick 29 30 Chapitre 2 Par exemple, un message partant d’une université française, Jussieu, pour une université américaine, le MIT, suit le chemin suivant (en 2003) : (mendel)../home/ricou>traceroute www.mit.edu traceroute to DANDELION-PATCH.mit.edu (18.181.0.31), 30 hops max, 40 byte packets 1 134.157.204.126 (134.157.204.126) 1.106 ms 1.144 ms 1.116 ms 2 cr-jussieu.rap.prd.fr (195.221.126.49) 1.235 ms 1.35 ms 1.587 ms 3 gw-rap.rap.prd.fr (195.221.126.78) 1.682 ms 7.111 ms 3.405 ms 4 jussieu-a1-0-65.cssi.renater.fr (193.51.182.202) 1.743 ms 6.633 ms 2.008 ms 5 nri-b-a0-2-580.cssi.renater.fr (193.51.179.153) 1.725 ms 2.094 ms 1.828 ms 6 renater.fr1.fr.geant.net (62.40.103.53) 2.167 ms 2.276 ms 2.404 ms 7 fr.uk1.uk.geant.net (62.40.96.90) 9.054 ms 9.567 ms 9.098 ms 8 uk.ny1.ny.geant.net (62.40.96.169) 77.415 ms 76.76 ms 77.792 ms 9 198.32.11.61 (198.32.11.61) 77.327 ms 77.548 ms 77.342 ms 10 ATM10-420-OC12-GIGAPOPNE.NOX.ORG (192.5.89.9) 82.243 ms 82.226 ms 82.043 ms 11 192.5.89.90 (192.5.89.90) 82.22 ms 82.24 ms 82.274 ms 12 NW12-RTR-2-BACKBONE.MIT.EDU (18.168.0.21) 82.493 ms 82.842 ms 82.392 ms 13 DANDELION-PATCH.MIT.EDU (18.181.0.31) 87.726 ms * 85.039 ms Le premier intermédiaire que notre message va rencontrer est la passerelle de notre réseau local. Son adresse IP est 134.157.204.126 comme on le voit sur la ligne numéroté 1. De là on rejoint l’interconnexion entre Jussieu et le RAP, réseau académique parisien, (en 2) pour entrer sur le réseau universitaire français, Renater (en 4). Fig. 2.2 – Renater en 2004 source : Renater 31 La topologie de l’Internet Lighting the way to the European Research Area 1993 2003 www.geant.net www.dante.net GÉANT: The Multi-Gigabit pan-European Research Network GÉANT is operated by DANTE, The European Research Networking Organisation Backbone Topology November 2003 AT Austria CZ Czech Republic ES Spain HR Croatia IS Iceland * LV Latvia PL Poland SE Sweden * BE Belgium DE Germany FI Finland * HU Hungary IT Italy MT Malta PT Portugal SI Slovenia CH Switzerland DK Denmark * FR France IE Ireland LT Lithuania NL Netherlands RO Romania SK Slovakia CY Cyprus EE Estonia GR Greece IL Israel LU Luxembourg NO Norway * RU Russia TR Turkey UK United Kingdom * Connections between these countries are part of NORDUnet (the Nordic regional network) GÉANT is co-funded by The European Commission within its 5th R&D Framework programme Fig. 2.3 – Géant source : Dante, 2003 Contract No. IST-2000-26417 32 Chapitre 2 On passe de Renater à Géant, le réseau universitaire européen, (en 6) qui nous envoie en Angleterre d’où on va à New-York rejoindre Internet 2 (en 9). Fig. 2.4 – Les connexions internationnales d’Internet 2 (les dorsales sont à 10 Gbits) source : Internet 2, 2004 Enfin on entre dans le campus du MIT (en 12) pour atteindre le serveur web www.mit.edu (en 13). Bien sûr une connexion sur une autre machine distante fera intervenir d’autres réseaux. Sachant que le débit entre deux machines est celui du nœud le plus faible, si un réseau à un goulot d’étranglement en un point, cela se ressent directement. Aussi il est toujours bon de savoir quels seront vos partenaires principaux et de savoir par quels cablo-opérateurs vous devrez passer. En pratique il faut savoir quels accords1 a votre hébergeur, avec quels cablo-opérateurs et quelle est l’occupation moyenne du réseau. Les cablo-opérateur les plus sérieux 2 proposent d’ailleurs de pouvoir suivre en direct la «météo» de leur réseau : − − − − − Cables & Wires aux Etats-Unis, cf http ://sla.cw.net/ Internet 2, cf http ://loadrunner.uits.iu.edu/weathermaps/abilene/ Géant, cf http ://stats.geant.net/weathermap/access/kairos Free, cf http ://support.free.fr/reseau/ Le câble en France, cf http ://www.grenouille.com/ 1 2 en jargon Internet on appelle ça le peering. Oléane et Renater qui le faisaient semblent avoir arrêté. La topologie de l’Internet 33 Fig. 2.5 – La carte météo d’Internet 2 (ce matin là, seul 10% des 10 Gbits du réseau étaient utilisés) L’Internet Traffic Report et Mapnet permettent aussi de voir les débits de plusieurs réseaux. Pour finir sur ces réseaux, les artistes pourront admirer le travail des laboratoires Bell : l’Internet Mapping Project. 34 Chapitre 2 Exercice Retrouver le même chemin entre Jussieu et le MIT sur la carte ci-dessous ! Fig. 2.6 – Carte de la topologie d’Internet vue par CAIDA source : CAIDA 2.2 Des domaines et des noms Internet étant un ensemble de réseaux, il faut une méthode pour nommer ces sous-réseaux et y trouver une machine. Pour cela les réseaux et les machines ont des adresses classées dans un système d’arborescence. Cette méthode et la gestion qu’elle implique est à l’origine de nombreuses controverses touchant le contrôle des noms de domaine et leur vente. Elle a mobilisé et mobilise toujours l’Europe et les Etat-Unis, chacun cherchant à défendre ses intérêts sans pour autant casser Internet ce qui aurait lieu si plusieurs espaces de nommage se faisaient concurrence3 . Actuellement l’espace de nomage est géré au niveau mondial par l’ICANN et aux niveaux 3 en fait il existe des personnes/groupes ayant créé leurs propres espaces avec leurs propres terminaisons de nom de domaine, TLD, mais c’est totalement marginal. 35 La topologie de l’Internet nationaux par les pays concernés. Les noms de domaine www.departement.societe.com se lisent de droite à gauche avec au début la racine que l’on nomme “.”4 : "." fr org zone zone nic inria isoc eu zone zone zone isocws www fr whois t6 noc délégation / coupure zone Fig. 2.7 – Exemple de zones Afin que tout cela puisse fonctionner, la délégation de zones (sous-réseau) est vitale : org eu eu.org zone www whois gr fr eu.org domain linux dk uk bofh paris Fig. 2.8 – Délégation de zone 4 en fait .com c’est .com. avec le point final étant la racine. 36 Chapitre 2 Ainsi dans la figure ci-dessus, le domaine eu.org, comprend l’ensemble des adresse terminant par eu.org alors que la zone du même nom ne contient que les terminaisons gérée par la même entité, www.eu.org, fr.eu.org, whois.eu.org. Les zones comme dk.eu.org sont gérées par d’autres entités, elles sont déléguées. Pour trouver une machine sur Internet, il faut savoir dans quelle zone elle est, ce qui est indiqué dans son nom, puis demander son adresse IP en contactant un des serveurs de noms du Domain Name Service, DNS : Fig. 2.9 – Fonctionnement récursif du DNS (illustration extraite du livre DNS & Bind chez O’Reilly) Le serveur de nom contacté, A sur le dessin, demandant à d’autres serveurs l’information s’il ne l’a pas lui-même. On peut imaginer que le client star.mit.edu demande à son serveur de nom, ns.mit.edu, l’adresse de la machine www.ann.jussieu.fr. Pour cela ns.mit.edu, A, va demander à ns1.nic.fr, B, qui gère le domain .fr, lequel renverra sur shiva.jussieu.fr, C, qui gère Jussieu et qui donnera l’adresse recherchée 134.157.2.68. Une fois l’adresse de la machine connue, les paquets émis vers cette machine doivent être routés. Comme on l’a vu au chapitre précédent, pour cela chaque routeur, machine gérant le flux, dirige les adresses qu’elle connait vers le réseau correspondant et les autres vers un réseau plus «haut» dans l’arborescence. Plus – Architectural Principles of the Internet, RFC 1958 par B. Carpenter, IAB, Juin 1996. – the DNS Resources Directory Chapitre 3 Le gouvernement de l’Internet En tant qu’union de réseaux, il n’y a pas de gouvernement central de l’Internet. Chaque pays contrôle plus ou moins ce qui se passe chez lui à travers ses lois, des organismes en charge de la gestion des noms de domaines nationaux (.fr en France) ou des organismes de surveillance des cablo-opérateurs (l’ART en France). Mais dans la pratique, lorsque les états n’établissent pas une censure stricte, ils ne contrôlent pas grand chose en dehors de l’application de la loi usuelle. Ils semblent avoir compris ces dernières années qu’il est illusoire de vouloir être le maı̂tre de l’Internet. Même le gouvernement américain qui, pour des raisons historiques, pourrait revendiquer un certain contrôle se contente au mieux de pousser à la création d’associations d’internautes quitte à les guider «discrètement» ensuite1 . En France, le Conseil Constitutionnel suggérait aussi dans son rapport «Internet et les réseaux numériques» de 1998, de ne pas chercher à contrôler directement l’Internet français mais plutôt de mettre en place un organisme d’autorégulation. Cependant même la mise en place d’un tel organisme est difficile puisque l’autorégulation de l’Internet ne peut se faire que par elle-même, sans une entité pour la réguler. Le député Paul a affiné cette idée en proposant en juin 2000 de mettre en place un organisme de corégulation qui servirait d’espace de rencontre pour la régulation publique et les différentes formes d’autorégulation de l’Internet. Il ne s’agissait plus de contrôler ou d’avoir des représentants à punir. Cet proposition a été suivie d’effet et le forum Internet a été créé en 2001. Il semble que ce forum marque la fin des errances gouvernementales initiées par la loi Fillon de 1996 qui instaurait un contrôle administratif sur l’Internet français mais qui a été déclarée anticonstitutionnelle par le Conseil Constitutionnel. Du point de vue légal, Internet n’est pas une zone de non droit. En France, la justice y applique la loi usuelle2 lorsque des français sont impliqués ou lorsque les serveurs sont sur le territoire français. Elle s’adapte comme elle peut aux nouveaux cas d’où l’importance des jurisprudences et la nécessité pour les députés de mettre au point des lois mieux adaptées ou plus précises. Les internautes et leurs associations ont joué et jouent encore un rôle 1 Il ne faut pas être totalement naı̈f, si le gouvernement américain délègue à l’ICANN la gestion de la racine du DNS, seul “point central” d’Internet, il semble clair qu’il n’en pert pas le contrôle pour autant. 2 Les affaires les plus souvent amenées devant la justice française concernent les différents sur les noms de domaine, la mise en ligne d’informations à caractère raciste ou diffamatoire. 37 38 Chapitre 3 important dans cette adaptation. Enfin au niveau mondial, le développement et l’organisation de l’Internet sont liés aux différents organismes qui se sont créées au fur et à mesure des besoins (cf fig. 3.1 pour l’historique et fig. 3 pour une vue global de l’interaction entre les organismes). Cela va des organismes techniques comme l’IETF ou le W3C au nouvel organisme de gestion de l’Internet qu’est l’ICANN en passant par les organismes nationaux comme l’AFNIC en France qui gère les noms de domaine .fr ou continentaux comme le RIPE qui gère les adresses IP au niveau européen. Fig. 3.1 – Histoire des organismes techniques de l’Internet source : ISOC 3.1 L’IETF et l’IESG, les protocoles et l’évolution technique L’Internet Engineering Task Force (IETF) regroupe les experts qui travaillent sur les nouveaux protocoles et les évolutions techniques de l’Internet. Elle est composée de groupes de travail spécialisés chargés de produire des documents de référence sur une thématique précise. Ces documents sont les RFC (Request For Comments) dont le nom indique bien que chacun a son mot à dire avant d’arriver à la version finale. Les principaux thèmes abordés concernent : – les applications (LDAP, caches Web, Fax sur Internet...) ; – les protocoles d’Internet (extension DNS, IP sur fibre, extensions de PPP...) ; – Operations and Management Area (méthode de tests, déploiement du MBONE, surveillance à distance d’un réseau...) ; 39 Le gouvernement de l’Internet État fédéral des États-Unis Délégation de gestion technique entreprise privée américaine assurant la gestion technique du réseau Internet Verisign melles Négociations infor- États Liens d’appartenance Liens { d’appartenance Liens d’appartenance association défendant le principe d’un réseau ouvert à tous Isoc (Internet Society) Nomination d’experts au sein de commissions techniques (comme l’IETF – Internet Engineering Task Force – pour l’Isoc) intervenant auprès du TLG Repré sentation Représentation Union européenne Représentation via des agences onusiennes Nations unies La régulation d’Internet : une nébuleuse d’acteurs Système judiciaire californien Délégation de pouvoir Consignes GAC (Governmental Advisory Committee), où siègent des représentants des États et d’organisations gouvernementales internationales : émet des avis sur la gestion des ccTLD. les protocoles utilisés sur les réseaux. TLG (Technical Liaison Group) définit SSAC (Security and Stability Advisory Committee) conseille en matière de sécurité. RSSAC (Root Server System Advisory W3C (World Wide Web Consortium) organisme de normalisation des langages multimédia d’Internet ETSI (European Telecommunications Standards Institute) institut européen regroupant États et entreprises et développant les normes de télécommunications ITU (International Telecommunications Union) agence onusienne regroupant États et opérateurs télécom Liens d’appartenance Source : Éric Brousseau ; conception : Laurent Testot/Sciences Humaines RELATIONS ENTRE ACTEURS Relation limitée à un acteur Influence par Né en 1967, dans le giron de l’appareil de recherche militaire américain, Internet s’est internationalisé et ouvert aux utilisateurs privés au début des années 90. Investissements privés et rythme soutenu d’innovation ont provoqué la croissance fulgurante du réseau, devenu le siège de nombreuses activités informationnelles. Pour les Etats, les entreprises et les particuliers, les enjeux de sa régulation sont économiques, politiques, culturels, sécuritaires… Ce qui explique cette grande diversité d’acteurs. Au cœur de cette « toile d’araignée », l’Icann coordonne la conception des normes de fonctionnement du réseau et gère le système d’adressage qui permet à Internet de fonctionner de manière décentralisée. Ce dernier est composé du système d’adresses IP (Internet Protocol), qui organise les communications entre machines, et du système des noms de domaines (adresses du type http://www.scienceshumaines.com), qui facilite l’utilisation du réseau par les utilisateurs. L’Icann coordonne les organismes auxquels elle délègue la création et l’attribution des adresses et, de manière plus informelle, ceux qui assurent la normalisation. Organisme américain auquel le gouvernement fédéral a délégué la gestion du système d’adressage (dont il est propriétaire) à partir de 1998, l’Icann relève de la juridiction californienne ; c’est pourquoi le système judiciaire californien intervient en dernière instance en matière d’attribution des adresses. Aux côtés de l’Icann, deux entités jouent un rôle clé. Verisign, entreprise privée en charge de la gestion technique du réseau, met en œuvre les décisions de l’Icann. L’Iana, de son côté, chapeaute en principe la gestion de l’ensemble du système d’adressage. En pratique, l’Iana assure une coordination entre l’Icann et le gouvernement fédéral qui continue de gérer l’Internet public américain : la recherche (.edu), l’armée (.mil), l’administration (.gov)… Responsable du reste, l’Icann doit composer avec de nombreux intérêts. Elle articule de multiples comités consultatifs ou techniques dans lesquels siègent des représentants, élus ou désignés, d’instances gouvernementales, d’entreprises, d’ONG, de la société civile… qui désignent les membres du bureau directeur de l’Icann au fil de procédures complexes. Au sein de ce dispositif, des commissions d’experts peuvent jouer des rôles plus cruciaux que ne le suggère ce schéma (très simplifié par ailleurs). Ainsi, l’IETF, une des commissions techniques de l’Isoc siégeant au TLG, nomme-t-elle directement un des 20 membres du bureau directeur de l’Icann. Au final, les intérêts commerciaux et techniques exercent une influence supérieure à celle des Etats. Quant aux utilisateurs non-commerciaux, ils sont peu représentés. ■ E.B. Fig. 3.2 – La régulation d’Internet Délégation de pouvoir Résolution des conflits en dernière instance BUREAU DIRECTEUR DE L’ICANN Négociations Nominating Committee nomination de membres du bureau directeur de l’Icann via des représentants Committee) émet des recommandations sur la gestion des serveurs de base du Net. ALAC (At-Large Advisory Council) élu par des individus « citoyens d’Internet » enregistrés auprès de l’Icann. Liens d’appartenance Utilisateurs entreprises Opérateurs télécom ; fournisseurs d’accès Internet ; Liens d’apparten ance Utilisateurs particuliers Élection de représentants { constructeurs de matériel télécom ; Influence déterminante Influence officieuse élection ou délégation Influence interne à l’Icann source : communication personnelle d’Eric Brousseau Iana (Internet Assigned Numbers Authority) organisme coordonnant le système d’adressage d’Internet ; contrôle l’attribution des noms de domaine d’intérêt national pour les États-Unis (.edu, .mil…) (International Corporation for Assigned Names and Numbers), organisation de droit américain, basée en Californie, supervise la distribution et l’utilisation des adresses Internet Élection directe de membres au bureau directeur de l’Icann gNSO (Generic Name Supporting Organization) Registres gTLD bureaux d’enregistrement des extensions génériques comme .com Registrars vendeurs de noms de domaine génériques fournisseurs de contenus Internet En saumon tout organisme gérant une délégation technique de l’Icann Liens d’appartenance et représentation En orange pâle les comités consultatifs de l’Icann d’e xp er ts Dé lég at ion indirecte Élection de représentants ccNSO (Country Code Name Supporting Organization) Registres ccTLD bureaux d’enregistrement des extensions nationales, comme .fr, soit tout organisme attribuant des noms de domaine dans son pays, comme l’Afnic en France ; peut être une organisation sans but lucratif, une administration ou une entreprise privée WIPO (World International Property Organization) Autre acteur ACTEURS agence onusienne en charge de la propriété intellectuelle Organisme à but non lucratif Élection organisme technique de l’Icann, gère l’attribution des noms de domaine globaux (.com, .net…) Représentation organisme technique de l’Icann, gère l’attribution des noms de domaine nationaux (.fr., .be…) Entreprise(s) privée(s) Représentation ASO (Address Supporting Organization) Organisme(s) étatique(s) LACNIC (Latin American and Caribbean Information Centre) gère les adresses IP pour l’Asie… APNIC (Asia Pacific Network Information Centre) gère les adresses IP pour l’Europe… RIPE NCC (Réseaux IP européens Network Coordination Centre) gère les adresses IP pour l’Amérique du Nord. ARIN (American Registry for Internet Numbers) organisme technique de l’Icann, gère les questions relatives à l’attribution des adresses IP (Internet Protocol) permettant les connexions ; travaille avec des organismes à but non lucratif (les RIR, pour Regional Internet Registries), cidessous : Désignation de délégués au sein de comités régionaux 40 Chapitre 3 – le routage (routage IP sans fil, recherche du chemin ouvert le plus court -OSPF-...) ; – la sécurité (courrier codé S/MIME, signature digitale XML, spécifications ouvertes de PGP...) ; – la couche transport (initiation de session, téléphonie sur IP, transport de l’audio et de la vidéo...) ; L’IETF est ouverte à tous et chacun peut s’inscrire aux groupes de travail de son choix. Une fois terminées, les RFC deviennent quasiment des normes, aussi une entreprise ou un spécialiste en relation directe avec un des thèmes suivi par l’IETF a tout intérêt à suivre les discussions sur son sujet afin de faire valoir son point du vue. Pour plus d’information sur comment participer aux travaux de l’IETF, lire le Tao. L’Internet Engineering Steering Group est le comité directeur de l’IETF. Il est composé de représentants de chaque groupe de travail et permet de coordonner le travail de ces groupes. L’IRTF, la recherche : L’Internet Research Task Force (IRTF) travaille sur le long terme. Ses thèmes de recherche actuels sont proches de ceux de l’IETF à laquelle elle est liée. 3.2 L’IAB, les grands architectes de l’Internet L’Internet Architecture Board – – – – – – supervise le travail des IETF et IRTF ; nomme les membres de l’IESG sur proposition des groupes de travail ; règle les litiges au sein de l’IETF et de l’IRTF ; publie les RFC ; résoud les problèmes en dehors des compétences de l’IETF et de l’IRTF ; sert d’intermédiaire entre les internautes représentés par l’ISOC et l’IETF. L’IAB est actuellement présidé par Leslie Daigle. Ses membres sont proposés par un comité choisi par le président de l’ISOC et approuvés par le bureau de confiance de l’ISOC. 3.3 L’ICANN, l’Internet Corporation for Assigned Names and Numbers Cet organisme est le petit dernier, il a été proposé en 1998 par les Etats-Unis pour succéder à l’IANA et retirer à NSI son monopole de la gestion les TLD non nationaux tout en gardant un contrôle américain sur cet aspect central d’Internet. L’ICANN est une association de droit Californien lié par un accord renouvelé annuellement avec le département du commerce des États-Unis (DoC). Le gouvernement de l’Internet 41 Il est difficile de dire que l’ICANN a donné satisfaction. Son manque de transparence et son fonctionnement ont sussité bien des problèmes. Si initialement l’ICANN se voulait le représentant à part égal des acteurs et des utilisateurs d’Internet, sa représentation des utilisateurs, via la communauté et les élus At Large, a échoué. Aussi l’ICANN a profondément revu son fonctionnement en 2002 en éloignant les contestataires et en révisant ses buts en essayant de se rapprocher des états pour bénéficier de leur légitimité. Aujourd’hui l’ICANN se veut représenter les états, via le GAC, les utilisateurs, via At Large, et les acteurs via les représentants des différents domaines. 3.3.1 Missions et actions de l’ICANN En tant que successeur de l’IANA et de NSI, l’ICANN a pour mission la gestion des noms de domaines, TLD, des adresses IP et des serveurs de nom racines, DNS root servers. Cette mission lui est confiée par le département du commerce américain qui lui a renouvelé sa délégation en 2003. Le gouvernement “IANA” qui lui concède la gestion de la racine du DNS et des classes d’adresses IP, la clé de l’Internet3 . Sa première action a été de casser le monopole de la NSI en créant les registrars, les sociétés habilitées à enregistrer des noms de domaine dans les TLD non nationaux. Elle a ensuite mis au point avec l’OMPI une charte de résolution des disputes liées aux noms de domaine, l’UDPR. En 2000, l’ICANN a lancé un appel pour la création de nouveaux TLD, elle a retenue 7 nouveaux TLD .aero, .biz, .coop, .info, .museum, .name et .pro. Aujourd’hui sa plus grande mission devrait consister à gagner une véritable crédibilité. 3.3.2 Fonctionnement de l’ICANN En 2000 la grande nouveauté a été de créer un corps électoral ouvert à tous les internautes pour élire des représentants directs : la communauté At Large. Malheureusement ce qui aurait du être un exemple de fonctionnement coopératif et transparent dans la plus pure tradition d’Internet est devenu une machine opaque qui semble surtout penser à elle et à servir certains intérets. La refonte des statuts de l’association voulue par Stuart Lynn en 2002 confirme cette vision en retirant les représentants de utilisateur du CA et en voulant impliquer d’avantage les États dans le fonctionnement de l’association. Le choix du nouveau président de l’ICANN, Paul Twomey, ancien président du GAC (Government Advisory Comittee), la commission de l’ICANN regroupant les représentant des États, est un élément de plus allant dans cette direction. En 2003, le budget de l’ICANN est passé de 6 M$ à 8 M$. L’organisation interne de l’ICANN intègre des représentants de tous les organismes en relation avec les missions de l’ICANN. On y retrouve les sociétés lucratives impliquées dans Internet et la gestion des 3 Clé qu’utilise le gouvernement américain en réatribuant des ccTLD comme il l’a fait dernièrement avec .af et .iq 42 Chapitre 3 Fig. 3.3 – Organigramme 2002 de l’ICANN Le gouvernement de l’Internet Fig. 3.4 – Organigramme de l’ICANN – – – – – – – – ALAC = At-Large Advisory Committee ASO = Address Supporting Organization CCNSO = Country-Code Names Supporting Organization GAC = Governmental Advisory Committee GNSO = Generic Names Supporting Organization RSSAC = Root-Server System Advisory Committee SSAC = Security and Stability Advisory Committee TLG = Technical Liaison Group 43 44 Chapitre 3 Date: Tue, 6 May 2003 16:23:57 +0200 (MEST) From: Louis Pouzin <[email protected]> To: <[email protected]> Subject: [forum isoc] Re: TLD non americains/ .eu et réforme ICANN Ces discussions sont les bienvenues. L’Icann gouverne, au sens américain, c.a.d. organise. Quoi en effet ? D’abord des réunions internationales. Tous les 3 mois environ, les habitués se retrouvent en des lieux sympathiques, à travers le monde. On sait très bien qu’il ne s’y décidera rien car l’araignée a construit une toile épaisse de comités pare-débat. Mais tout de m^ eme, Shangaı̈, Rio, Montréal (en été), c’est moins banal que Genève, Genève, Genève. Et ça entretient une fidélité à l’institution. En plus de ce r^ ole de tour opérateur, il y a aussi celui de créer des top domaines. Il faut faire piaffer les foules pendant quelques années pour qu’elles se précipitent sur les nouvelles particules. Il importe en effet de ne pas se faire coiffer au poteau par un g^ eneur accaparant le nom de votre société. Le fait de créer ce risque est très bénéfique, car on crée en m^ eme temps les compagnies d’assurance (registreurs) qui couvrent ce risque pour $30 l’an. Multiplions par 300000 assurés, cela fait un revenu de $9M. Il est bien naturel que l’Icann soit rétribué convenablement pour ce petit geste. Au delà de ce portefeuille d’assurances contre cha^ ınes de caractères nocifs, il ne reste plus grand chose. Les numéros IP ? En IPv4 l’Icann (sous couvert IANA) a déjà bien rempli sa mission. Selon la liste <www.iana.org/assignments/ipv4-address-space> 84% des adresses allouées ont été attribuées à des sociétés américaines. Difficile de faire beaucoup plus. Oh, on allait oublier quelque chose, la Racine (root), la mère des tables de correspondance entre noms et adresses. C’est pourtant impressionant: 250 noms (TLD + ccTLD), et la sauce associée, cela doit bien faire pas loin de 100K octets. C’est là qu’on vient chercher où trouver les autres tables des susdits domaines. Comme elles ne changent guère souvent, tous les serveurs de la planète pourraient s’en faire une copie, et pourquoi pas une dans chaque PC ? Avec de tels propos iconoclastes on pourrait finir par imaginer que la racine ne servirait à pas beaucoup plus que rien. Mais ce serait une erreur. Elle permet à l’organisation qui contr^ ole la racine de surveiller tout le trafic de l’internet, noter qui parle à qui, placer des bretelles sur les échanges, détourner les messages ou en fabriquer, et m^ eme rayer des noms (ou ccTLD) de la liste. Mais ce ne serait sans doute pas convenable de s’attarder sur ce sujet. Tab. 3.1 – La vision de l’ICANN d’un ancien de l’Internet 45 Le gouvernement de l’Internet noms de domaine, les «distributeurs» mondiaux d’adresse IP et les organismes techniques de l’Internet (cf organigramme). L’expérience At Large En 2000, l’ICANN s’est ouverte au grand public en lui permettant de participer directement à l’élection de 5 membres du CA via l’élection At Large. Ce fut la première élection mondiale au suffrage direct. Elle a rassemblé 76 000 internautes qui ont pris la peine de s’inscrire4 auprès de l’ICANN pour être électeur «At Large». Les 5 représentants représentaient kes 5 «région» du monde5 . Ainsi les premières personnes élues à un scrutin mondial sont : Personne élue Nii Quaynor Masanobu Katoh Andy Mueller-Maguhn Ivan Moura Campos Karl Auerbacha) Région Afrique Asie / Australie / Pacifique Europe Amérique Latine / Caraı̈bes Amérique du nord nb voix 67 13913 5948 946 1738 nb votants 130 17745 11309 1402 3449 Tab. 3.2 – Résultat du vote de l’election At Large de l’ICANN (automne 2000) a) élu au sixième tour Parmi ces élus, Andy Mueller-Maguhn et Karl Auerbach se distinguent par leur profil en opposition avec le courant établi de l’ICANN. Le premier est un jeune hacker libertaire, porte-parole du Chaos Computer Club connu pour son combat pour la transparence, la liberté d’information et pour ses intrusions dans des systèmes comme celui de la Nasa ou du gouvernement allemand. Il a critiqué le mode de fonctionnement de l’ICANN, sa dépendance vis à vis des Etats-Unis ainsi que sa vision occidentale. Il désire une plus grande place pour l’intérêt public sur Internet, menacé d’après lui par la prédominance des entreprises et du droit des marques. Le second, Karl Auerbach est plus âgé, chercheur chez Cisco, ancien responsable de projets à l’IETF, il est tout aussi critique sur la création et le fonctionnement opaque de l’ICANN. Comme Andy Mueller-Maguhn, il demande une plus grande transparence et une ouverture des TLD qu’il désire créer par millions et non à l’unité ce qui ne fait que favoriser une pénurie artificielle des noms de domaine. En pratique, Andy Mueller-Maguhn semble avoir été muselé et seul Karl Auerbach a pu lutter pour essayer d’obtenir de l’ICANN une plus grande transparence. Son procès contre 4 ce n’était pas simple car l’ICANN avait sous-estimé la volonté des internautes de participer. Cela a aussi eu des conséquences financière puisque l’ICANN a envoyé un courrier papier à chaque électeur. 5 le monde vu par l’ICANN... 46 Chapitre 3 l’ICANN qui lui interdissait l’accès à certains documents de crainte qu’il les diffuse en est l’exemple le plus visible. Aujourd’hui l’ICANN est revenue sur ses pas en retirant à At Large, et donc aux utilisateurs, la possibilité d’avoir des membres du CA. At Large est maintenant une commission consultative. 3.4 L’APNIC, l’ARIN, le LACNIC et le RIPE Ces organismes, les Regional Internet Registries (RIR), sont en charge de distribuer “régionalement” les adresses IP, adresses que leur donne l’IANA. Les régions sont : – – – – l’Asie/Pacifique, gérée par l’APNIC, l’Amérique du nord, gérée par l’ARIN, l’Amérique du sud et Caraı̈bes, gérée par le LACNIC l’Europe, gérée par le RIPE L’AfriNIC, pour l’Afrique qui dépend actuellement du RIPE, devrait être le cinquième organisme et avoir sa place au sein de l’Address Supporting Organization (ASO) de l’ICANN. Chacun de ces organismes propose des statistiques sur la distribution des adresses IP et les réserves d’adresses existantes. On peut constater sur la figure suivante que si l’équivalent de 94 classes A a déjà été distribué, la pénurie d’adresses IPv46 n’est pas encore immédiate puisque l’IANA dispose d’une réserve équivalente à 91 classes A et qu’il n’a été distribué que 4,25 blocs (équivalents classes A) en 2002 et 5,5 en 2001. Cette faible consommation est essentiellement dû à des mesures d’économies misent en place avec des distributions de sous-classes et des mesures techniques comme le NAT par exemple. Fig. 3.5 – Répartition des adresses IPv4 fin juin 2003 (en équivalent classes A) (source RIPE) 6 version 4 du protocole IP, IPv6 est la version 6, elle remplacera IPv4. Le gouvernement de l’Internet 47 Cela étant IPv4 sera remplacé à terme par IPv6 qui ne devrait pas connaı̂tre de problème de pénurie et qui résoud d’autres problèmes liés au protocole IPv4. La distribution des adresses IPv6 et leur mise en fonctionnement est en cours depuis quelques années. On peut voir sur la figure 3.6 la distribution par région. On note que les américains qui possèdent plus de 80% des adresses IPv4 se sentent moins concernés par IPv6. Fig. 3.6 – Distribution d’adresses IPv6 entre 1999 et juin 2003 par région (source RIPE) 3.5 L’ISOC, l’Association des internautes Parmi les nombreuses associations d’internautes actuelles, l’Internet SOCiety se différencie par son histoire et son rôle intimement lié à Internet. Créée en 1991, elle a pour but de participer à la croissance de l’Internet tout en veillant à sa cohérence tant du point de vue réseau que des applications. Cela inclut aussi un rôle de liaison avec les gouvernements, les journaux et autres entités du monde «réel». Elle a mis en place l’IAB et intégré et financé l’IETF à hauteur de 250 000 $ par an. En 2002 l’ISOC à obtenu de l’ICANN la gestion du TLD .org. Sachant qu’il y a environ 2.5 millions de domaines en .org et que l’ISOC touche 2$ par domaine, cette délégation lui rapportera environ 5 millions de dollars par an. 3.6 Le W3C, Web Web Web Consortium Devant le succès du Web, HTML est devenu le premier langage dont la puissance économique aurait pu mettre à mal Internet. Lorsque l’équipe du navigateur Mosaic qui a rendu conviviale le Web est partie créer Netscape, elle a rapidement voulu «embellir» le langage HTML et a profité de sa situation dominante pour ajouter ses extensions sans prendre l’avis des comités en charge de ce langage. Puis Microsoft a fait de même avec son na- 48 Chapitre 3 vigateur Internet Explorer ce qui ne pouvait amener que très rapidement à des langages différents voire incompatibles. On risquait d’avoir le Web Netscape, le Web Microsoft et le Web HTML pur, chacun avec ses navigateurs incapables de comprendre les sites des autres. Aussi le World Wide Web Consorsium a été créé en 1994 par Tim Berners-Lee au sein du MIT avec l’INRIA et l’université de Keio pour éviter cette débâcle en poussant les acteurs du Web à travailler en bonne intelligence. Il a permis, avec le concours de l’IETF, de faire évoluer HTML rapidement afin de satisfaire les besoins de chacun. En ce sens le W3C se rapproche de l’IETF, mais contrairement à l’IETF, le W3C est un club fermé dont le prix du ticket d’entré est très élevé, 18 000 ¤ ou 180 000 ¤ suivant le type d’organisme qu’on est. Aujourd’hui le W3C travaille sur les nouveaux protocoles et techniques du Web avec une attention particulière à ce qui devrait succéder à HTML : XML. 3.7 Les autres, IEEE, UIT... Plusieurs organisations nationales, professionnelles ou internationales de normalisation contribuent au processus de standardisation d’éléments de l’infrastructure Internet. Ainsi l’IEEE (Institute of Electrical and Electronics Engineers) est le lieu privilégié de la normalisation des réseaux locaux (Ethernet à 10, 100 et 1000 Mbit/s, Hiperlan, Firewire ...). L’ETSI (European Telecommunications Standards Institute) mène une activité de standardisation dans des domaines avancés des télécommunications (téléphonie mobile de 3ième génération, terminaux, voix sur IP, sécurité, réseaux intelligents, ...). Les technologies traditionnelles des télécommunications, dont les technologies optiques et SDH, sont normalisées à l’UIT (Union Internationale des Télécommunications) qui reprend également dans sa nomenclature des normalisations issues, entre autres, de l’IEEE (réseaux locaux) et des Bell Labs (SONET). Forums et consortiums s’attachent à définir avec célérité des fonctionnalités spécifiques (ADSL Forum, ATM Forum, QoS Forum, par exemple).7 3.8 Les organismes français L’état français a mis en place différents organismes indépendants en charge d’aspects touchant directement Internet. 3.8.1 La CNIL La CNIL est l’organisme lié à l’informatique et à Internet probablement le plus connu du grand public. Sa mission a été définie par la loi Informatique et Liberté, elle doit protéger la vie privée et les libertés individuelles ou publiques. 7 paragraphe extrait du rapport «Développement technique de l’Internet» de Jean-François Ambramatic, 1999, disponible sur le site de l’INRIA à http ://mission-dti.inria.fr/Rapport/ Le gouvernement de l’Internet 49 Créée en 1978, il semble que la CNIL n’ait pas su s’adapter à Internet et prendre la mesure du phénomène Internet. 3.8.2 L’ART L’Autorité de Régulation des Télécommunications a été créée par la loi 96-659 de réglementation des télécommunications, loi définissant les conditions de mise en place et d’exploitation de réseaux de télécommunication. L’ART se définit comme Une autorité administrative indépendante Pour que la régulation soit équitable, il faut qu’elle soit assurée en toute indépendance à l’égard des différents opérateurs présents sur le marché. Comme l’ensemble des législations des États membres de l’Union européenne, la loi française a établi cette séparation en créant une instance de régulation indépendante : l’Autorité de régulation des télécommunications. L’ART est directement impliquée dans les problèmes de concurrence concernant l’ADSL et les autres technologies liées à Internet, cf http ://www.art-telecom.fr/. 3.8.3 L’AFNIC L’Association Française pour le Nommage Internet en Coopération est en charge de la zone .fr. Elle a été créée en 1997 pour soulager l’INRIA qui n’avait plus vocation à s’occuper de cette zone à partir du moment où Internet n’était plus un outil essentiellement universitaire. Chargée de définir une politique de classement au sein de .fr, l’AFNIC a fait preuve d’originalité en réservant la terminaison .fr aux sociétés et en ouvrant .com.fr à tous, ou en créant un espace .tm.fr pour les marques, trademark, tout en acceptant ensuite pagesjaunes.fr puis en indiquant que finalement .fr est aussi pour les marques. L’AFNIC a aussi mis en place des espaces sectoriels comme .experts-comptables.fr ou .geometre-expert.fr qui peuvent muter comme l’a fait .barreau.fr pour devenir .avocats.fr. Mais ce dont l’AFNIC semble la plus fière est la mise en place de règles assez contraignantes d’enregistrement et d’une tarification cachée pour freiner le cybersquatting. C’est l’espace de confiance8 aussi connu comme l’espace national le plus déserté (cf figure 5.12 page 83). 8 dixit l’AFNIC 50 3.9 Chapitre 3 Qui a le pouvoir ? S’il y a un point délicat dans la construction d’Internet, il s’agit du DNS. Sans le DNS le réseau est aveugle. Aussi il est normal que L’importance du DNS se répercute sur l’organisme qui en a la charge, à savoir l’ICANN. Le 15 septembre 2003, Vérisign, la société en charge de la gestion des TLDs .com et .net, a mis en place dans le DNS deux jokers *.com et *.net qui récupèrent toutes les adresses inexistantes finissant par .com ou .net pour renvoyer sur une de leur machine. Cette modification a été faite sans l’accord de l’ICANN et en dehors des règles de bon usage en cours. La porté de ces 2 petits jokers est très importantes car depuis ce jour, toute personne qui fait une faute de frappe dans son navigateur se voit renvoyer sur le site de Vérisign, lorsqu’il répond, au lieu d’avoir immédiatement un message d’erreur du navigateur indiquant que le site n’existe pas. Sachant que VeriSign annonce qu’il y a plus de 20 millions d’erreurs par jour, on peut imaginer le potentiel commercial qu’il y a à renvoyer toutes ces erreurs sur une page web9 . Mais le problème n’est pas là. Le DNS ne sert pas que pour surfer sur le Web, il sert pour toutes les sortes de communications sur Internet qui ont de fortes change de ne plus fontionnement correctement si le DNS ne donne plus de message d’erreur lorsqu’il devrait le faire. Par exemple il permet à un mail d’arriver à bon port et si l’adresse du mail est fausse, il l’indiquera immédiatement ce qui permettra au mail de ne pas partir et que l’emméteur soit averti. Avec le système de joker mis en place par VeriSign, tout mail envoyer à une adresse dans .com ou .net ira dans la boite au lettre de VeriSign s’il y a une erreur dans l’adresse. Que fera VeriSign de ces mails ? VeriSign assure bien sûr qu’il ne les regarde même pas, mais est-ce crédible sachant que les mails contiennent des informations intéressantes comme l’adresse de l’emméteur qui est une véritable adresse mail associée à un individu, donc une adresse qui a de la valeur pour des spameurs (cf ??). Les mails contiennent aussi un texte qu’on ne désire pas obligatoirement qu’une autre personne que le destinataire puisse lire. Cet ajout d’un joker pose d’autres problèmes10 mais il est intéressant au niveau de la gouvernance de l’Internet pour voir si une entreprise, puissante dans ce cas, peut se permettre de ne pas respecter les règles ou si les organismes en charge de l’Internet ont assez de poids pour la forcer à revenir sur ses pas voire lui retirer sa délégation. Le cadre étant mis en place, voyons les mouvements des protagonistes. 9 l’étude de Zittrain et Edelman, cf ci-dessous, a estimé que le site de VeriSign est passé de la 1559 place à la 19 place en terme de fréquentation avec la mise en place des jokers. Plus d’une page web sur 30 vues par les internautes étant alors la page de VeriSign. 10 cf la description un peu technique de l’IAB disponible sur http ://www.iab.org/documents/docs/200309-20-dns-wildcards.html Le gouvernement de l’Internet 3.9.1 51 Les communiqués Le 19 septembre l’ICANN annonce que suite à l’émotion succitée dans la communauté de l’Internet, elle étudie le problème et demande en attendant à VeriSign de retirer les jokers. Le même jour l’IAB annonce que l’utilisation des jokers, possible d’un point de vu technique, viole les règles de bon fonctionnement dans certains cas et en particulier dans le cas qui nous concerne. L’IAB ajoute que le fait que cette utilisation du joker soit une violation des règles d’usage est largement connu. Le 22 septembre VeriSign répond à l’ICANN que d’après ses études son ajout de joker est une bonne idée et que d’ailleurs d’autres l’ont déjà fait avant11 . VeriSign conclus en indiquant à l’ICANN qu’il serait prématuré de décider de retirer les jokers ce qui revient à rejeter la demande de l’ICANN. Le même jour, le commité de sécurité et de stabilité de l’ICANN indique que l’action de VeriSign a considérablement réduit la stabilité d’Internet et demande donc que VeriSign revienne à la situation antérieure. Le commité demande à l’IAB et à l’IETF de donner des règles précise sur l’usage des jokers dans le DNS. Le 3 octobre l’ICANN somme VeriSign d’obéir : Given the magnitude of the issues that have been raised, and their potential impact on the security and stability of the Internet, the DNS and the .com and .net top level domains, VeriSign must suspend the changes to the .com and .net top-level domains introduced on 15 September 2003 by 6 :00 PM PDT on 4 October 2003. Failure to comply with this demand by that time will leave ICANN with no choice but to seek promptly to enforce VeriSign’s contractual obligations. Le jour même, VeriSign se plaint mais annonce qu’elle va obéir. VeriSign considers ICANN’s action today a groundless interference with VeriSign’s business On a donc eu le droit a une bataille rangée où l’ICANN a du jouer son rôle poussée par l’IAB, l’ISOC et les gestionnaires du réseau. Si VeriSign a finalement retiré ses jokers, elle n’a pas pour autant abandonné la lutte qui se fait sur le terrain médiatique maintenant, VeriSign critiquant l’attitude sclérosée de ses adversaires qui refusent le progrès tout en soulignant qu’en l’empèchant de faire de l’argent, elle ne pourra pas garantir la sécurité des zones .com et .net. Pour plus d’information sur ce sujet, on pourra consulter la correspondance de l’ICANN ainsi que l’analyse de J. Zittrain et B. Edelman de l’école de droit d’Harvard Technical Responses to Unilateral Internet Authority : The Deployment of VeriSign ”Site Finder” and ISP Response. 11 ce qui est possible, mais pas dans de telles propotions. 52 Chapitre 3 3.10 L’avenir Le seul contrôle actuel d’Internet passe par celui du DNS et la distribution des adresses IP. L’affaire des jokers VeriSign a souligné l’importance du DNS et d’une régulation forte garantissant l’intéret général. Pour l’instant ce contrôle est états-unien via l’ICANN et la disposition géographique des serveurs racines su DNS, 10 des 13 étant aux Etats-Unis. Avec l’arrivée de plus en plus massive d’internautes non états-uniens12 , les autres états se sentent le droit et le devoir de surveiller de façon plus rapproché l’utilisation de ce contrôle. Certains ont d’ores et déjà indiqués leur désir de voir des organisations plus internationnales comme UIT ou les Nations Unis, avoir plus de poids dans la gestion d’Internet. Le Sommet Mondial sur la Société de l’Information (SMSI), sommet au niveau des chefs d’Etats, aura à se pencher sur cet aspect. Il est justement organisé par l’UIT et l’UNESCO. Ce sommet se tiendra en deux phases, en décembre 2003 à Genève et en novembre 2005 à Tunis. Pour plus d’information sur le SMSI, voir le site officiel et le site SMSI mis en place pour le gouvernement français. 12 qui représentent plus des 3/4 des internautes maintenant Chapitre 4 La sécurité sur Internet 4.1 Les faiblesses de l’Internet Le protocole de transport des données sur Internet, TCP/IP, ne prévoit pas de protéger les données transportées. Tous les paquets sont transmis en clair et donc toute personne qui contrôle un des ordinateurs par lequel passera les données peut les lire. Par exemple au niveau d’un réseau local, tous les paquets sortant vers Internet doivent passer par une seule machine, la passerelle. Le contrôle de cette machine permet la lecture de tout ce qui va et vient. Toujours sur un réseau local une personne qui est physiquement sur le même fil Ethernet qu’une autre1 peut y détecter le courant qui y passe et donc lire les données. 4.1.1 Les connexions à distance Lorsqu’un utilisateur désire se connecter à une machine distante il établit une connexion avec la machine en question qui lui demande de s’identifier. Si cette connexion est initiée avec un programme qui ne cache pas les données, comme le programme telnet qui reste très utilisé, le flux de données est lisible avec un détecteur de paquets IP comme le programme tcpdump. Voici ce que l’on peut voir passer : aldebaran.devinci.fr -> hermes.devinci.fr TELNET Telnet Data ... 0 10 20 30 00d0 002f a43c 2238 590b c4af 0017 222e 28c8 4000 0576 0000 0800 ff06 8200 6c6f 2085 eb4b 291f 6769 b5c6 c16b e4fd 6e3a 0800 4500 a4b9 c16b a7d4 5018 20 ..Y.(... .....E. ./[email protected] .<...v..).....P. "8"...login: hermes.devinci.fr -> aldebaran.devinci.fr TELNET Telnet Data ... 0 10 20 1 0800 2085 b5c6 00d0 590b 28c8 0800 4500 0029 0000 4000 4006 6f02 c16b a43c c16b a4b9 0576 0017 e4fd a7d4 8200 2926 5018 .. .....Y.(...E. .)..@[email protected].<.k ...v........)&P. Toutes les personnes branchées sur un même hub sont sur le même fil Ethernet. 53 54 30 Chapitre 4 7f9a b2dd 0000 74 ......t Avec le t final du second paquet qui correspond à la première lettre du login de l’utilisateur. Ce flux peut être interprété par le programme dsniff pour ne récupérer que les mots de passe : [root@diane dsniff-2.2]# ./dsniff -i eth0 dsniff: listening on eth0 ----------------09/25/00 18:34:25 tcp hermes.devinci.fr.1415 -> aldebaran.devinci.fr.23 (telnet) test pass_compte ----------------09/25/00 18:34:39 tcp hermes.devinci.fr.1416 -> aldebaran.devinci.fr.110 (pop) user test pass pass_pop Le premier couple login/mot de passe intercepté provient d’une connexion distante en clair, le second d’une connexion à un serveur de mail POP pour y récupérer son courrier. Il est donc important de cacher le sens de ses données avant qu’elles ne quittent votre machine en les chiffrant. Il existe pour cela des logiciels de cryptographie comme SSH pour les connexions à distance. 4.1.2 Le mail Sachant que tout n’est que connexion de machine en machine, le courrier électronique comme les autres services est ouvert à tous si l’on utilise pas de moyens de protection. Ce n’est malheureusement pas le cas par défaut. Ainsi le mail 1. peut être écouté lors de son transport – du client (MUA) au serveur (MTA) via SMTP – de MTA en MTA via SMTP – du dernier MTA chez votre hébergeur à votre MUA via POP ou IMAP 2. peut être intercepté par un MTA pirate (qui prend l’identité de votre serveur par exemple) 3. peut être lu par le responsable système de votre site Pour se protéger on peut appliquer diverses solutions qui fonctionneront à différents niveaux : 1. lors du transport du mail on peut – utiliser le protocole TLS entre les serveurs (existe avec Postfix ou Sendmail) – établir un tunnel crypté entre le MUA et son serveur : slogin -L2110:localhost:110 mon_serveur_pop -f sleep 999d et dire à son MUA de prendre par POP le mail sur localhost, port 2110 ici. 55 La sécurité sur Internet 2. pour se protéger contre un MTA pirate il faut utiliser un certificat (inclus dans TLS), 3. pour se protéger du responsable système de votre site et donc aussi de toutes les attaques possibles, il faut chiffrer son mail à la base, avant qu’il ne quitte votre machine. Cela peut être fait avec PGP ou GPG2 . 4.1.3 Le Web Le Web est un peu mieux protégé avec l’algorithme de chiffrage SSL qui est présent sur les navigateurs les plus courants. Par contre, comme pour tout algorithme de chiffrage, son efficacité est directement liée à la taille de la clé de codage utilisée. Ainsi. l’étude de mai 2001 faite par Projetweb, montre qu’une majorité de serveurs Web français continuait à utiliser des clés de 40 bits3 , clés bien trop faibles pour résister aux attaques brutales4 . Cela est d’autant plus regrettable que la loi autorise depuis 1999 l’utilisation de clé de 128 bits et que tous les navigateurs modernes comprennent SSL 128 bits. Voici les statistiques de cette étude sur la sécurité des serveurs Web, effectuée sur un échantillon de 319 sites de sociétés françaises : Banque - Bourse Biens de consommation Culture - Loisirs Maison - Électro-ménager Hifi Total Java 1,9% 0,0% 0,0% 1,9% 0,9% 0 1,9% 5,6% 5,5% 1,9% 3,8% 40 bits 65,4% 36,1% 34,1% 28,8% 43,9% 56 bits 4,8% 2,8% 3,3% 7,7% 4,4% 128 bits 26,0% 55,6% 57,1% 59,6% 47,0% total<128 74,0% 44,4% 42,9% 40,4% 53,0% Tab. 4.1 – Niveau de sécurité des serveurs français (étude de ProjetWeb, mai 2001) Aujourd’hui, en 2005, on peut considérer que la situation a changé, en particulier chez les plus mauvais, les banques, qui sont passés à SSL 128 bits. On peut considérer que les connexions sécurisées sur le Web sont sûres aujourd’hui dès lors qu’on est sûr d’être à bon port ce qui est une autre histoire5 . 4.2 L’espionnage industriel Outre les faiblesses intrinsèques d’Internet, le risque d’espionnage industriel est encore augmenté par Internet et ce pour 3 raisons : – un nombre de plus en plus important de données internes aux entreprises sont accessibles par le réseau, 2 Pretty Good Privacy et GNU Privacy Guard cela veut dire qu’il y a 240 clés différentes soit mille milliards. 4 type d’attaques qui essaye toutes les clés possibles. 5 celle des autorités de certification 3 56 Chapitre 4 – le risque est mal appréhendé par les employés ce qui se répercute directement sur la sécurité, – les services secrets les mieux équipés écoutent et enregistrent tout ce qui circule sur Internet (cf Échelon ci-dessous). Échelon Echelon est probablement le plus grand système d’écoute. Il permet l’interception des communications internationnales téléphoniques, par fax ou via Internet. Il est controlé par les Etats-Unis, l’Angleterre, le Canada, l’Australie et la Nouvelle Zélande. Son but initial est lié à la sécurité des états concernés mais il sert aussi leur intérêts économiques comme l’ont montré ces 2 affaires rendues publiques : 1994 l’interception de communications entre le groupe Thomson-CSF et certains membres du gouvernement brésilien a permis à la maison blanche d’être au courant de pot de vin ce qui lui a permis de retourner la situation à l’avantage d’une entreprise américaine, laquelle à décrocher le contrat de surveillance radar de l’Amazonie, contrat d’1,3 milliard de dollars. 1994-95 la même histoire c’est répétée avec Airbus qui a ainsi perdu un contrat avec la compagnie d’Arabie Saoudite, contrat que Boing a remporté. Fig. 4.1 – Echelon La sécurité sur Internet 4.3 4.3.1 57 Introduction à la cryptographie À quoi sert la cryptographie ? Qui en a besoin ? Elle permet de garantir la confidentialité d’une information. Ce besoin est partagé par les militaires, les industriels, les organisations et les citoyens car elle permet : – la confidentialité des transactions bancaires ; – la protection de secrets militaires, industriels, commerciaux ou médicaux ; – la protection des systèmes informatiques contre les intrusions ; – la confidentialité des communications ; – la protection de la vie privée et des associations. La cryptographie propose aussi – l’authentification des correspondants ; – la non-répudiation des transactions ; – l’intégrité des documents. Elle est enfin le seul moyen de protéger un transfert d’informations sur Internet. 4.3.2 Différentes méthodes de cryptographie DES Data Encryption Standard : Algorithme de chiffrement à clé symétrique développé par IBM. Adopté comme standard officiel par les États-Unis en 1977 et largement utilisé par la finance et l’industrie, DES utilise normalement une clé de 56 bits, mais 16 bits sont bloqués pour la version dédiée à l’exportation. DES est dépassé aujourd’hui. Triple DES Il s’agit de l’algorithme DES appliqué avec trois clés différentes. Appliquer un chiffrement avec deux clés à la suite n’améliore pas la sécurité, à cause d’une attaque appelée ”rencontre au milieu” (”meet-in-the-middle” attack). Avec 3 clés, la sécurité est bonne mais le coût de chiffrement est trop important. AES, le successeur de DES Le 2 octobre 2000 le gouvernement américain à annoncé que l’Advanced Encryption Standard est l’algorithme belge Rijndael. Il est simple, élégant, rapide sur les processeurs actuels. Il pourra être intégré dans les cartes à puce. IDEA International Data Encryption Algorithm. Système à clé symétrique. IDEA utilise une clé de 128 bits. Développé en Suisse. Les droits d’exploitation sont détenus par Ascom Systec AG. Le condensat MD5 Message Digest v.5. Fonction permettant de calculer un résumé à partir d’un message. Si un seul caractère du message change, le résumé est complètement 58 Chapitre 4 différent. Une signature électronique consiste en ce résumé, chiffré avec la clé privée du signataire. Les Rivest’s Codes de RSA Data Security La famille des RCn est assez bien conçue avec des chiffrements symétriques à la volée (“stream cipher” – RC4) et des chiffrements par bloc (“block cipher” – RC2 / RC5 / RC6). RC4 est le seul de la famille à être propriétaire (“trade secret”) mais son code a été largement diffusé. RC6 était un des 5 candidats retenus à AES, procédure mise en place par le NIST (Bureau des standards US) pour remplacer DES comme système de chiffrement officiel. RSA (Rivest, Shamir et Adleman) privée (ou asymétriques). L’algorithme le plus célèbre à clé publique/clé SSL, STT, SET, SSH Il s’agit de protocoles permettant de négocier interactivement des algorithmes de chiffrement. Ces algorithmes sont à clé symétrique, à usage unique. – SSL : Secure Socket Layer est proposé par Netscape (HTTPS). – STT : Secure Transaction Technology est proposé par Microsoft. – SET : Secure Electronic Transaction est proposé par Visa-Mastercard. – SSH : Secure Shell. L’empreinte d’une clé Une clé peut, comme un message, être résumée à l’aide d’un condensat comme MD-5, SHA-1 ou RIPEMD-160 pour ne citer que les plus connus. Ce résumé est suffisamment court pour tenir sur une carte de visite, ou pour être dicté par téléphone. Dans le cas de MD5, il fait 128 bits, soit 16 octets, qu’on exprime en hexadécimal. Par exemple : 43 65 F3 AD 32 34 66 12 2A 54 CD BB AA 87 43 FD La sécurité de ces condensat est actuellement mise à bas puisque SHA-1 a été cassé en 2004 et l’on a montré en 2005 qu’il est possible de créer des documents ayants le même condensat MD5. S’il devient possible de choisir son condensat alors la sécurité de ces 2 algorithmes sera nulle et par conséquent le principe des signatures électroniques qui utilisent majoritairement ces 2 clés. La protection des mots de passe sous Unix sera aussi à revoir. 4.3.3 Les clés symétriques ou secrètes Une clé symétrique permet d’encoder ainsi que de décoder un message. Entre 2 ou 3 personnes il suffit de se transmettre la clé de façon sûre pour pouvoir communiquer de façon protégée par la suite. La sécurité sur Internet 59 À plus grande échelle, un tiers de confiance (le TTP, Trusted Third Party) qui a les clés Ki de tous les utilisateurs Ai devient utile. Pour chaque communication, le TTP donne aux 2 utilisateurs une clé de session k pour chiffrer cette communication. Cette clé de session est transmise chiffrée avec la clé secrète de l’utilisateur. Avantages : – il est facile de modifier le réseau, – chaque entité ne stocke qu’une longue clé, – le chiffrement est rapide Inconvénients : – toute communication commence par appeler le TTP, – le TTP peut lire tous les messages, – si le TTP est cassé tout est cassé. 4.3.4 Les clés asymétriques ou publiques La principe d’utilisation des clés publiques et privées (ei /di ) est le suivant : la machine voulant envoyer un message récupère la clé publique du destinataire, e2, et s’en sert pour chiffrer son message. Le message ainsi chiffré ne peut être déchiffré qu’avec la clé privée correspondante à la publique, d2 dans notre cas. Avantages : – pas de TTP, – le fichier des clés publiques peut être stocké sur chaque machine, Inconvénients : – un pirate peut mettre une fausse clé publique (cf ci-dessous), – le chiffrement est plus lent qu’avec une clé secrète. L’attaque de l’homme au milieu L’attaque la plus simple contre ce système est de substituer la clé publique d’un utilisateur par celle du pirate et d’intercepter tous les messages. Une fois le message intercepté, le pirate, l’homme au milieu, le décode, le note, puis le recode avec la véritable clé publique du destinataire pour lui envoyer afin qu’il ne détecte pas l’interception. 60 Chapitre 4 Fig. 4.2 – Attaque de l’homme au milieu La parade, pour ne pas voir son message intercepté, réside dans la fiabilité de la clé publique de son destinataire. Une clé publique est sûre, soit parce que le destinataire vous a remis en main propre l’empreinte de sa clé, soit parce qu’une personne en qui vous avez entièrement confiance vous garantit cette clé publique. Cette personne de confiance peut être un tiers de confiance institutionnel ou une personne dont vous êtes sûre car elle est dans votre liste des personnes de confiance. Dans ce dernier cas on parle de votre réseau de confiance ou Web of trust. 4.3.5 Les mathématiques de RSA L’algorithme RSA est un algorithme de chiffrement à clé publique/clé privée. Il est asymétrique et ne nécessite pas la transmission de la clé permettant le décodage. L’idée d’un algorithme asymétrique à été proposée par Whitfield Diffie et Martin Hellman dans un article en 1975 et mise en pratique en 1977 par Ronald Rivest, Adi Shamir et Leonard Adleman. James Ellis et Clifford Cocks des services de communication de l’armée anglaise, avaient trouvé cet algorithme quelques années plus tôt mais ne purent le dévoiler pour cause de secret militaire (cf [Sin99] et http ://www.cesg.gov.uk/about/nsecret/). Son principe est relativement simple mais totalement révolutionnaire. On n’imaginait pas jusqu’à là qu’il puisse être possible de décoder un message sans avoir la clé ayant permis de l’encoder. Pour cela chaque utilisateur a – une clé publique (n||e) – une clé privée (n||d) avec les propriétés suivantes : 1. n, le module, est le produit de 2 nombres premiers grands p et q, 2. e < n est premier avec (p − 1)(q − 1), 3. d est tel que ed − 1 soit divisible par (p − 1)(q − 1). 61 La sécurité sur Internet Ces choix impliquent que ed mod J(n) = 1 où J(n) est la fonction d’Euler sachant que J(n) = (p − 1)(q − 1) lorsque p et q sont premiers. Chiffrer un message pour un destinataire précis En chiffrant un message M à l’aide de sa clé publique (n||e) on a : M 0 = M e mod n (4.1) ce qu’il peut déchiffrer avec sa clé privée (n||d) car M 0d mod n = (M e mod n)d mod n = M ed mod n = M ed mod J(n) = M Prouver son identité En envoyant un message chiffré avec sa clé privée (n||d) on a M 0 = M d mod n que le destinataire peut lire avec la clé publique (n||e) de l’émetteur en calculant M 0e mod n. Une application française Le 4 mars 2000, le texte suivant tombait dans le forum fr.misc.cryptologie : Petite feuille Maple > pub:=2^320+convert(‘90b8aaa8de358e7782e81c7723653be644f7d\ cc6f816daf46e532b91e84f‘,decimal,hex); pub := 213598703592091008239502270499962879705109534182641\ 7406442524165008583957746445088405009430865999 > facteur1:=convert(‘c31f7084b75c502caa4d19eb137482aa4cd57aab‘, \ decimal, hex); facteur1 := 1113954325148827987925490175477024844070922844843 > facteur2:=convert(‘14fdeda70ce801d9a43289fb8b2e3b447fa4e08ed‘, \ decimal, hex); facteur2 := 1917481702524504439375786268230862180696934189293 > produit:=facteur1*facteur2; produit := 2135987035920910082395022704999628797051095341826\ 417406442524165008583957746445088405009430865999 > exposant_public:=3; exposant_public := 3 62 Chapitre 4 > modulo_div_eucl:=(facteur1-1)*(facteur2-1); modulo_div_eucl := 21359870359209100823950227049996287970510953418\ 23385970414850832581282681302737201380241573831864 > essai_rate_exposant_prive:=expand((1+modulo_div_eucl)/3); essai_rate_exposant_prive := 2135987035920910082395022704999628797\ 051095341823385970414850832581282681302737201380241573831865/3 > exposant_prive:=expand((1+2*modulo_div_eucl)/3); exposant_prive := 142399135728060672159668180333308586470073022788\ 2257313609900555054188454201824800920161049221243 > testnb:=1234; testnb := 1234 > testsignnb:=testnb &^ exposant_prive mod produit; testsignnb := 2235938147775183775641042325450404557899532144626481\ 7152366942909748069192341215834242192574336 > testverifsignnb:=testsignnb &^exposant_public mod produit; testverifsignnb := 1234 On y trouve les nombres premiers p et q, ici facteur 1 et facteur 2 qui permettent de connaı̂tre le module n, ici produit. On voit que l’exposant publique, e, est 3 et après un premier test raté on trouve l’exposant privé d. Pour être sûr que tous ces chiffres sont bons, on chiffre 1234 et on le déchiffre. Ça marche. Ce jour là le grand public voyait en clair la clé RSA à 320 bits qui permet de vérifier l’authenticité d’une carte bleue (voir l’article de Louis Guillou) . Cela indique seulement qu’une carte est authentique et non que l’on connaı̂t le code secret de l’utilisateur, mais cela permet de faire des fausses cartes6 qui tromperont un lecteur non relié aux banques comme celui qu’on présente souvent dans les restaurants (cf le reportage de LCI). C’est cette faiblesse connue des milieux de la cryptographie qu’a utilisé Serge Humpich7 . La trouvaille n’est pas extraordinaire car casser une clé de 320 bits n’est plus un exploit depuis plus de 10 ans. L’exploit réside surtout dans la légèreté du groupement des cartes bleues qui n’a pas changé la longueur de la clé depuis la création des cartes en 1983. 6 7 faire une fausse carte bleue est assimilé à faire de la fausse monnaie. Le tarif est 30 ans de prison. cf http ://www.parodie.com/monetique/ La sécurité sur Internet 4.4 63 L’authorité de certification L’authorité de certification, AC, est le répertoire public dans le cas de clés asymétriques avec la sécurité en plus. Cette sécurité est basé sur le chiffrement des clés publiques gérée par l’AC par la clé privée de l’AC. Cela ne règle pas le problème de l’attaque de l’homme au milieu, mais le déplace. Le point sensible devient l’authenticité de la clé publique de l’AC. Il faut donc que l’AC transmettre de façon sûre sa clé publique pour que ce système d’authorité de certification soit efficace. En pratique l’AC doit être une entité en laquelle ont confiances l’ensemble des personnes y déposant leur clés publiques. Cela peut être le Département Informatique dans une entreprise, l’Etat ou niveau d’un pays... 4.5 Utilisation de la cryptographie 4.5.1 La combinaison de méthodes : PGP PGP est l’abréviation de ”Pretty Good Privacy”. C’est un logiciel libre développé par Phil Zimmerman. Il utilise – IDEA, CAST ou Triple-DES pour le chiffrement ; – RSA, DH (Diffie-Hellman), or DSA (Digital Signature Alg) pour la gestion des clés – et MD5, SHA-1, RIPEMD160 ou Tiger pour l’authentification. Les messages sont donc chiffrés à l’aide d’un système à clé unique (symétrique), mais cette clé, insérée dans le message, est chiffrée à l’aide d’un système à clé publique (RSA), plus commode à gérer, mais plus coûteux en CPU. Il existe des versions destinées à être intégrées dans des clients E-Mail et dans la téléphonie (PGPfone, PGPTalk). Depuis la version 2.6, il est possible de n’utiliser dans PGP que des algorithmes de chiffrement libres ce qui a donné OpenPGP, un standard de l’IETF. 64 Chapitre 4 Fig. 4.3 – Encodage d’un message à l’aide de PGP Fig. 4.4 – Décodage d’un message à l’aide de PGP En pratique on utilisera plutôt la version GNU de PGP : GPG8 . La façon la plus simple est d’utiliser son interface graphique GPA sur Unix, ou à l’aide de sa version Windows. 8 Gnu Privacy Guard est compatible avec OpenPGP et PGP version 5.x et 6.x. 65 La sécurité sur Internet Fig. 4.5 – GPA, l’interface graphique de GPG Lors du premier lancement, GPG vous proposera de créer votre clé ce qui ne doit être fait que si vous n’en avez pas. Si vous avez déjà une clé, sur une autre machine par exemple, recopiez là dans votre répertoire principal sous .gnupg. Vous devez avoir les fichiers suivants : (hermes)../home/ricou>ls .gnupg/ options pubring.gpg random_seed secring.gpg trustdb.gpg À l’usage on effectue les opérations suivantes : – – – – lecture de messages chiffrés, reçu le plus souvent par mail, envoi de messages que l’on chiffre, validation de clés d’amis, demande de validation de sa clé par un ami. L’intérêt des 2 premières opérations est immédiat et relativement simple une fois que l’on a configuré son lecteur de mail, voire installé le plugin nécessaire (cf par exemple Enigmail pour Netscape). Fig. 4.6 – Netscape mail et PGP La validation de clé est tout aussi importante pour utiliser sereinement la cryptographie. 66 Chapitre 4 On a vu le risque de l’interception de clé par la méthode dite de la personne au milieu, cf 4.3.4, aussi il est important de valider physiquement une clé publique, i.e. en se transmettant l’empreinte de sa clé main dans la main. On peut ainsi se créer son réseau de confiance. Il est ensuite possible de récupérer d’autres clés publique sur des serveurs de clé et accorder sa confiance en ces clés dès lors qu’une personne de notre réseau de confiance les a signées. Les serveurs de clé sont interconnectés, soumettre sa clé à l’un d’entre eux revient à la diffuser à l’ensemble des serveurs. Voici quelques serveurs consultable en ligne ou à l’aide de son logiciel PGP : – http ://math-www.uni-paderborn.de/pgp/ – http ://pgp.mit.edu/ – http ://www.keyserver.net/en/ 4.6 La sûreté de la cryptographie On considère qu’un algorithme sérieux de cryptographie doit être basé sur un algorithme publié. Une protection basée sur le secret de l’algorithme n’est pas fiable car – le secret peut être éventé (par exemple le code source de RC4 a été posté sur Usenet de manière anonyme), – l’algorithme n’a pas été testé (attaqué) par la communauté scientifique. Cependant même les algorithmes sérieux peuvent être cassés – soit par une découverte mathématique ou un bug d’implémentation, – soit par la force brute qui a eu raison du DES-56 bits en 22 heures, – soit par la combinaison des deux comme ce fut le cas pour RSA-155 (ou 512 bits) 4.6.1 Histoire d’une lutte sans fin Avec l’arrivée d’Internet, les limites de résistance des messages chiffrés ont été nettement repoussées. La méthode brutale, qui consiste à tester toutes les clés possibles pour déchiffrer un message, est devenue une méthode attractive avec la possibilité de faire travailler ensemble un très grand nombre d’ordinateurs, chacun testant une partie des clés possibles. Le DES et sa clé à 56 bits (256 ≈ 1017 ) a été l’une des premières victimes, cassé à plusieurs reprises par la méthode brutale : – DES I, juin 97 Rocke Verser de Loveland, Colorado, avec des machines d’autres internautes en 90 jours. – DES II-1, janv 98 distributed.net en 39 jours avec 10 000 ordinateurs et une moyenne de 28.1 milliard de clés testées par jour. – DES II-2, juillet 98 Electronic Frontier Foundation, EFF avec une machine ad La sécurité sur Internet 67 hoc à 250 000 $ en 3 jours, – DES III, janv 99 en 22 heures par la machine de l’EFF couplé aux 100 000 machines réunies par le distributed.net. Le DES n’est plus considéré comme sûr, il a été remplacé par Rijndael en 2000. Pour venir à bout de RSA, la méthode utilisée est celle du “crible algébrique” qui permet de ramener le problème à un calcul matriciel dont la résolution nécessite un super ordinateur. Une présentation sur la factorisation et donc sur la façon de casser RSA est présentée sur ce site : http ://pauillac.inria.fr/algo/banderier/Facto/ – RSA-140, fev 99 le crible a nécessité environ 125 stations SGI et Sun à 175 MHz et environ 60 PCs à 300 MHz pendant 1 mois. Le système matriciel à demandé 100 heures CPU et 810 MO de mémoire vive sur un Cray C916. – RSA-155 (512 bits), août 99 le crible a nécessité 160 stations SGI et Sun à 175-400 MHz, 8 SGI Origin 2000 processeurs à 250MHz, 120 Pentium II PCs à 300-450 MHz et 4 500 Digital 500 Mhz pendant 3.7 mois. La matrice à résoudre avait 6 699 191 lignes et 6 711 336 colonnes pleine à 62.27%. Il a fallu 224 heures CPU et 3.2 GO de mémoire vive sur le même Cray pour résoudre le système. Le défi que s’est lancé le distributed.net : – RC5-56, oct 97 Trouvé en 212 jours de travail. Le pourcentage de clés vérifiées est de 47,03%, vitesse moyenne : 5,3 G clés/s. Au rythme final, il aurait fallu 83 jours pour vérifier l’ensemble des clés restantes. – RC5-64, juillet 2002 trouvé en 1 757 jours de calcul, environ 4 ans et 10 mois 331 252 participants 15 769 938 165 961 326 592, 15 milliards de milliards, clés testées soit 81% des clés possibles vitesses maximale : 270 147 024 000 clés/seconde - soit 32 000 de Apple PowerBook G4 800MHz ou 46 000 PC AMD Athlon XP 2Ghz travaillant en parallèle - à cette vitesse il suffirait de 790 jours pour tester l’ensemble des clés 68 Chapitre 4 Fig. 4.7 – Vitesse de test des clés RC5-64 depuis 1997 Casser le Web L’algorithme de cryptographie le plus utilisé sur le Web est SSL. Il se conjugue principalement en 3 variantes de longueur de clés différentes : SSL 40 bits, SSL 56 bits et SSL 128 bits. Le mode SSL 40 bits, qui reste encore très utilisé en France, a été cassé dès l’été 1995 en 32 heures à l’INRIA et en 3h30 durant l’été 1997 à Berkeley. Aujourd’hui quelques minutes voire quelques secondes, suffisent aussi il est indispensable d’utiliser la méthode SSL 128 bits qui est à peu près 300 millions de milliards de milliards fois plus sûre. Cela devrait lui permettre de tenir quelques années. 4.7 Plus Pour ce qui touche la cryptographie, On pourra aussi consulter les ouvrages suivants : The Codebreakers de David Kahn, cf [Kah96], et l’Histoire des codes secrets de Simon Sing, cf [Sin99]. Certains manuels (livres) sont disponibles en ligne dont The Handbook of Applied Cryptography, cf [AM98], les Frequently Asked Questions About Today’s Cryptography des RSA Labs, cf [Lab00]. Enfin, les sites suivants contiennent des informations intéressantes : – Des centaines de transparents sur la cryptographie, – La page PKI, Public Key Infrastructure, on pourra aussi regarder la solution libre PKI proposée par IDEALX, – Le site de TBS, «Abandonnons les protocoles non-chiffrés» présent, différentes méthodes pour se protéger, cf https ://www.tbs-internet.com/ssl/ – Projetweb propose une étude sur le commerce électronique et la sécurité, cf http ://www.projetweb.com/labalise/securite/index.php. On y voit qu’en mai 2001 La sécurité sur Internet – – – – 69 les banques n’avaient toujours pas compris ce qu’est la sécurité. Le site de Parodie, http ://www.parodie.com/monetique/, présente l’affaire des cartes bleues. La FAQ Cryptographie de l’AUI, cf http ://www.aui.fr/Projets/Crypto/, How PGP works, the Basis of Cryptography, cf http ://www.pgpi.org/doc/pgpintro/, Déclarer l’usage de la cryptographie forte au SCSSI, cf http ://www.scssi.gouv.fr/ 70 Chapitre 4 Deuxième partie Le commerce sur Internet 71 Chapitre 5 Les chiffres d’Internet et du commerce électronique Internet est un nouvel espace marchand, qui comme tout nouveau marché demande à être connu avant de l’attaquer. Pour cela il est bon de pouvoir compter sur des batteries de chiffres, ce qu’ont bien compris des cabinets d’études, qui proposent des échantillons afin de montrer leur savoir faire. Malheureusement les sondages ne sont pas une science exacte, surtout sur Internet comme le montre la figure 5.1 avec un facteur 10 entre les estimations des différents instituts à une même question. Quand aux prévisions, n’en parlons pas ! Fig. 5.1 – Comparaison de sources de sondage faites par NUA Cela étant dit, voici des noms d’instituts et d’organismes sources de données et de prévisions 73 74 Chapitre 5 sur Internet : – L’AFA, Association des Fournisseurs d’Accès, http ://www.afa-france.com/ indique son nombre de clients en France, – CAIDA, http ://www.caida.org, analyse la structure et le fonctionnement d’Internet, – C-I-A, Computer Industry Almanac, http ://www.c-i-a.com/, – CyberAtlas, http ://cyberatlas.internet.com/, centralise les communiqués des autres instituts, – Datamonitor, http ://www.datamonitor.com, – Forrester Research, http ://www.forrester.com/, – IDC, http ://www.idcresearch.com/, – Jupiter Media Metrix devenu ComScore, http ://www.comscore.com, pour les données nord américaines, – Killen et associés, http ://www.killen.com/, – Médiamétrie, http ://www.mediametrie.fr/, pour des données françaises, – MIDS ou Matrix.net, http ://www.matrix.net/index.html, connu pour son étude sur le nombre de machines connectées, – NUA, http ://www.nua.ie/, connu pour son étude sur le nombre d’internautes. – ITU, Union Internationales des Télécommunications, http ://www.itu.int/, A titre d’exemple, le Computer Industry Almanac propose pour 1 500 $ une étude sur le nombre d’internautes à travers 50 pays. 5.1 Les internautes Il est difficile de savoir combien de personnes utilisent ou sont connectées à l’Internet. Les chiffres de l’étude Internet de NUA comptabilisent le nombre de personnes s’étant connectées durant les 3 derniers mois. Lorsque cette information n’existe pas dans une région, NUA estime ce nombre à 3 fois celui du nombre de personne ayant un compte Internet. Dans le monde Afrique Asie/Pacifique Europe Moyen Orient Canada et USA Amérique Latine juin 1999 179 1.1 27.0 42.7 0.9 102.0 5.3 juillet 2000 360 3.1 89.4 94.2 2.4 157.2 13.4 mai 2002 581 6.3 167.9 185.8 5.1 182.7 33.0 Tab. 5.1 – Nombre d’internautes par continents (en millions) source NUA Les chiffres d’Internet et du commerce électronique 75 Ces chiffres sont globalement1 recoupés par ceux du Computer Industry Almanac, C-I-A. Monde Asie/Pacifique Europe de l’O. USA fin 2001 533 115 126 149 fin 2004 945 357 208 193 fin 2007 1 460 612 290 236 Tab. 5.2 – Prévisions du nombre d’internautes (en millions) source : C-I-A, 2002 Cet organisme note aussi l’évolution de la part des américains des Etats-Unis sur Internet. Ainsi fin 1999 ils représentaient presque 40% des 280 millions d’internautes mais fin 2002 ce nombre est tombé à 24% des 665 millions d’internautes pour être à moins de 20% fin 2004. Si on ramène le nombre d’internautes par nombre d’habitants dans chaque pays on obtient le taux de pénétration d’Internet. Le tableau 5.4 présente ce taux à partir des chiffres de l’ITU. On peut déjà noter ce qu’on verra avec les données sur les pays européens, à savoir l’avance des pays nordiques. La forte progression de la Corée du Sud est due à l’utilisation du sans fil. En comparant les chiffres de l’ITU, tableau ??, à ceux du C-I-A qui présente ce même pourcentage d’internautes en 97 et 99, on note des différences usuelles entre les institus de mesure. Le nombre d’internautes évalué par l’ITU est supérieur à celui estimé par le C-I-A lequel surestime aussi par rapport au NUA. 5.1.1 En Europe L’Europe propose, via le projet SIBIS2 , une photo très complète sur la société de l’information dans l’Europe des 15 ainsi que dans celle des 10 nouveaux arrivants (New Associates States, NAS 10). On retrouve dans ces chiffres, figure 5.2, et ceux qui suivent, trois groupes de pays. Les pays nordiques sont à la pointes, les pays méditerraniens dont la France sont à la traine, les autres sont entre les deux. Le sondage de l’EIAA en octobre 2004 présente des chiffres similaires (cf fig. 5.1.1). 1 2 13% de différence Statistical Indicators Benchmarking the Information Society, www.sibis-eu.org 76 Chapitre 5 Pays janv. 2004 % Islande Norvège Suède Corée du sud Etat-Unis Singapour Hong-Kong Japon Danemark Canada Finlande Suisse Angleterre Australie Allemagne Taiwan Italie France 70 68 65 71 54 60 43 2001 rang 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 – – – % 67.94 59.62 59.62 51.06 49.95 ? 48.83 45.86 45.47 44.71 43.52 43.02 40.40 39.95 37.23 36.42 34.90 27.57 26.37 2000 rang % 1 59.78 2 49.05 3 45.58 6 40.25 4 45.06 12 29.86 7 38.64 13 29.31 9 36.58 5 41.30 8 37.22 14 29.62 11 30.11 10 34.45 15 29.17 – 28.10 – 23.03 – 14.43 1999 rang % 1 53.81 2 44.65 3 41.37 12 23.17 4 37.40 11 24.04 5 36.45 13 21.36 9 28.22 6 36.07 7 32.27 10 24.57 14 21.00 8 29.57 – 17.52 15 20.55 – 14.29 – 9.16 Tab. 5.4 – Pays ayant le meilleur taux de connexion à l’Internet source : ITU ? l’ITU indiquait un taux de pénétration de 60% pour Singapour, ce qui semble être une erreur d’après d’autres sources. sources 2004 : Ipsos-Insight Les chiffres d’Internet et du commerce électronique Fig. 5.2 – Foyers ayant accès à Internet dans l’Europe des 15 source : SIBIS, 2003 77 78 Chapitre 5 Fig. 5.3 – Européens connectés à Internet (% de la population) Entre parenthèses, le nombre de personnes interrogées. source : EIAA, octobre 2004 Et la situation ne va pas en s’améliorant. Ceux qui sont déjà les mieux équipés, le sont depuis puis longtemps et basculent le plus rapidement vers le haut débit à domicile. Fig. 5.4 – Internautes européens, anciens et passant au haut débit chez eux source : SIBIS, Pocket Book 2002/03 Les chiffres d’Internet et du commerce électronique 79 Le lieu de connexion des internautes permet d’avoir une idée du type et de la qualité d’utilisation d’Internet. Les pays les mieux équipés ont une population qui utilise Internet à la maison et au travail ou seulement à la maison dans la très grande majorité alors que les pays les moins équipés ont un pourcentage de connexions élevé en dehors du travail et de la maison (il peut s’agir des cybercafés, des espaces publics numériques ou d’amis). On peut raisonnablement penser que les cyber-consommateurs seront plutôt les premiers. Fig. 5.5 – Lieu de connexion à Internet (% de la population) source : SIBIS, Pocket Book 2002/03 5.1.2 En France Si la France a été le pays le mieux connecté avec le Minitel 3 , elle est toujours en retard pour ce qui concerne l’Internet. L’AFA4 présente une étude sur les connexions des internautes français qui permet d’avoir une image partielle de la situation actuelle (tous les fournisseurs d’accès ne font pas partie de l’AFA comme Free qui compte plus de 3,7 millions d’internautes 5 ). 3 au début des années 90 le réseau du Minitel était le plus gros réseau numérique du monde L’Association des Fournisseurs d’Accès et de Service Internet regroupe la plupart des fournisseurs d’accès en France. 5 en octobre 2004 4 80 Chapitre 5 Fig. 5.6 – Connexion à Internet en France des membres de l’AFA source : AFA, 2003 Du point de vue de l’équipement la situation progresse nettement. En 1999, seulement 22% des foyers avaient un ordinateur en France contre 67% des foyers suédois à la même époque. En 2002, ce chiffre est passé à 58% pour la France. Les connexions à «haut» débit permanentes comme l’ADSL ou le câble, qui permettent d’utiliser pleinement Internet, n’en sont qu’à leur tout début et ne représente que 10% des connexions à Internet en France en 2002. Ce type de connexion coûte aujourd’hui environ 30 euros par mois et permet d’être connecté en permanence avec un débit 10 fois supérieur à celui des modems classiques. Elles ne sont actuellement proposées dans les grandes villes et devraient couvrir 80% de la population en 2003. Le faible équipement ainsi qu’une absence de politique nationale de connexion à l’Internet voire des lois qui bloquent les initiatives locales, expliquent la position en retrait de la France face aux autres pays occidentaux. Fin 1999 la France était 4 fois moins bien connectée que les Etats-Unis ou que les pays scandinaves. Elle rattrape son retard mais reste encore en dessous de tous les pays d’Europe du nord ainsi que de l’Italie et du Portugal. Les chiffres d’Internet et du commerce électronique Fig. 5.7 – % des français connecté au travail et à domicile 81 Fig. 5.8 – % des cadres français connectés au travail et à domicile source : Ipsos, 2002 source : Baromètre FT, février 2002 5.1.3 Le profil des internautes Au siècle dernier, l’internaute était un jeune homme avec des revenus supérieurs à la moyenne. Au fur et à mesure que se démocratise l’usage d’Internet, le profil des internautes tend vers celui de l’ensemble de la population. Fig. 5.9 – Répartition par âge des internautes français A titre de comparaison, la population des internautes des Etat-Unis recoupe celle de la population pour ce qui est du genre et de l’ethnie. Mais il reste encore des différences pour ce qui est de l’âge, une sous-représentation des personnes âgées, du niveau d’étude et des revenus familiaux : 82 Chapitre 5 Fig. 5.10 – Profil des internautes US par rapport au profil de la population source : CyberAtlas, avril 2002 5.2 Les machines Le nombre de machines connectées, plus simple à mesurer, permet d’avoir une meilleure vision d’Internet. Bien sûr certains réseaux locaux cachés ne laissent voir qu’une passerelle. D’autres machines ne sont connectées que par intermittence, et si l’on peut justement considérer que ces machines ne font pas partie d’Internet, leurs propriétaires n’en sont pas moins des internautes lorsqu’ils se connectent. Aussi là encore les chiffres présentés doivent être analysés avec circonspection. Fig. 5.11 – Croissance du nombre de machines connectées à Internet Ainsi l’évolution des machines connectées aux réseaux depuis la création d’Arpanet présentée par le Matrix Information and Directory Services, Inc à partir de données des Network Wizards a demandé à être révisée à la hausse vers 95 (courbe Old) tout en étant encore en dessous de la réalité puisqu’elle ne prend en compte que les machines visibles avec une adresse IP fixe. De même les statistiques du RIPE (Réseaux IP Européen) sur les pays européens basées sur les TLDs (Top Level Domain) nationaux sont biaisées car de nombreuses sociétés et Les chiffres d’Internet et du commerce électronique 83 organisations ont leur adresse Internet en .com ou .org. Cela étant, l’évolution d’un même TLD national reste une information intéressante de même que la force d’un TLD national face à nombre de domaines enregistrés en .com dans le même pays. Fig. 5.12 – Nombre de domaines enregistrés dans les TDL nationaux source : RIPE, mars 2002 On note ainsi que la France est pauvre en .fr ce qui traduit le retard de la France mais aussi (et surtout ?) la politique très contraignante du NIC France en charge de ce domaine comme le montre sa richesse en .com. Fig. 5.13 – Répartition des domaines .com appartenant à des européens source : AFNIC, 1999 Fig. 5.14 – Répartition des adresses IP dans les domaines nationnaux source : RIPE, juin 2001 Les statistiques se basant sur les adresses IP sont plus précises. La figure suivante du CAIDA compare les données géopolitique des pays à leur connexion à Internet. Les ASes, les Autonomous Systèmes sont des portions logiques d’un réseau IP administrées par une autorité unique. 84 Chapitre 5 Fig. 5.15 – Comparaison de la connexion des pays par rapport aux données géopolitiques source : CAIDA, 2001 et 2003 Enfin le nombre de serveurs Web en activité est aussi un bon indicateur de la croissance de l’Internet. Il est très lié au nombre d’organismes présents sur la toile. Il ne doit pas être confondu avec le nombre de pages Web ni le nombre de sites, sachant que les hébergeurs ont de très nombreux sites Web gérés par un seul (ou une poignée) de serveurs Web. Ces statistiques sont relativement simples à mettre en place puisqu’il suffit d’interroger les ordinateurs de la toile et de leur demander s’ils font tourner un serveur Web. On peut même avoir le nom du logiciel qui fait tourner le serveur. Ainsi Netcraft propose régulièrement un état des lieux résumé dans la figure ci-dessous : Les chiffres d’Internet et du commerce électronique 85 Fig. 5.16 – Nombre de serveurs Web branchés et actifs 5.3 Le commerce Les chiffres concernant le commerce électronique sont encore plus difficiles à évaluer que ceux sur les internautes ou sur les machines connectées. Ils ne reposent pas sur des données centralisées, ils sont le plus souvent secrets et ne couvrent pas toujours le même domaine suivant les sondeurs. Ainsi il est difficile de savoir ce que recouvre exactement les revenus générés par Internet : 86 Chapitre 5 Fig. 5.17 – Revenus générés par Internet entre 1996 et 2002 source : ActivMedia Ces revenus sont extrêmement importants. À titre de comparaison, le commerce “traditionnel” mondial était de 6 186 milliards de dollars en 2000 à l’exportation d’après les statistiques 2001 de l’OMC. Ces exportations se répartissaient en 558 milliards de $ pour l’agriculture, 813 milliards pour les produits des industries extractives (minerais, pétrole...) et 4 630 milliards pour les produits manufacturés. En 2002, le journal Le Monde estimait qu’en 2006 «quasiment la moitié de la force de travail américaine sera employée dans les technologies de l’information». Par contre le Figaro du 31 janvier 2000 relativisait le poids du commerce électronique en indiquant qu’il a été de 1,3 milliard de francs en 1999 soit 1% de la vente par correspondance et 0,05% du commerce de détail. Les dépenses des internautes sont probablement encore plus difficiles à obtenir que les chiffres globaux des revenus du commerce électronique pour des raisons de confidentialité, tant de la part des sites marchands que des banques. Les chiffres d’Internet et du commerce électronique 87 Fig. 5.18 – Dépenses d’internautes sur des sites européens entre 1997 et 2002 source : Datamonitor Fig. 5.19 – Dépenses d’internautes sur des sites allemands et anglais entre 1997 et 2002 source : Datamonitor Cela étant, on peut penser que ces données sont cohérentes d’une année sur l’autre et s’intéresser à la forme des courbes. On observe ainsi une forme de courbe exponentielle classique dans le monde d’Internet pour les revenus générés. La seconde courbe semble s’infléchir comme celle du nombre de serveur web présentée précédemment. Il est difficile de savoir si cette inflexion est significative, si elle est un contre coup du crack boursier de la nouvelle économie, car la plupart des autres courbes gardent un aspect exponentiel. B2B, B2C Un des points important du commerce électronique concerne la répartition de ce commerce entre le commerce inter-entreprises et entre les particuliers et les sites marchands. Il s’agit du B2B, Business to Business, et du B2C, Business to Consumer. La figure ci-dessous montre bien l’écart écrasant entre le B2B et le B2C. Pour l’internaute lambda, la partie visible de commerce électronique n’est que la partie émergée de l’iceberg. 88 Chapitre 5 B2C eCommerce Worldwide, 1998−2003 (in billions) $ 187.6 $200 billions $120.8 $100 $77.7 $48.6 $20.1 $12.2 1998 1999 2000 2001 Source : eMarketer, 2000 2002 2003 www.eMarketer.com Fig. 5.21 – Evolution du B2C entre 1998 et 2003 Fig. 5.20 – Répartition B2B et B2C aux E-U entre 1998 et 2003 source : eMarketer, 2000 source : Forrester Research La publicité est aussi considérée comme une donnée majeure du commerce électronique. Son importance et les espoirs qu’elle a suscités seront abordés dans le chapitre sur “La rentabilité d’un site commercial”. En attendant, voici deux figures aux valeurs difficilement conciliables mais qui montrent la part marginale de la publicité dans le commerce électronique : Fig. 5.22 – Le poids de la publicité sur Internet source : Datamonitor à gauche, Forrester Research à droite 5.4 Les sociétés On ne peut pas parler des chiffres du commerce électronique sans penser à l’eldorado qu’ont représenté pour les boursiers les sociétés des nouvelles technologies. Quelques personnes sont devenues millionnaires en peu de mois à partir de pas grand chose, d’autres, Les chiffres d’Internet et du commerce électronique 89 probablement plus nombreuses, ont perdu beaucoup dans l’explosion de la bulle Internet. Avant ce qui s’est avéré être le vrai bug de l’an 2000 pour beaucoup, les e-sociétés pesaient lourd sur la bourse, leur capitalisation dépassait facilement celle de grandes sociétés traditionnelles : Fig. 5.23 – Les 10 plus grosses capitalisations d’Internet en juin 1999 La grande Cisco avait un cours à faire rêver (l’échelle est exponentielle) : Fig. 5.24 – Cours de CISCO entre 1995 et 2000 Aujourd’hui Cisco revient à son cours de 99. 90 Chapitre 5 Fig. 5.25 – Cours de CISCO jusqu’en mars 2005 La chute de France Telecom a été spectaculaire. Elle a payé cher son euphorie et ses achats d’autres sociétés au plus haut court. Pour les start-up, les variations ont été vertigineuses. Umanis, ex Eurostat, star du second marché, a vu son cours divisé par 100. Son cours en échelle linéaire reflète bien la montée de la bulle et son explosion. Fig. 5.26 – Cours de France Telecom entre 1998 et 2003 Les sociétés symbole de l’Internet disparu et y ont gagné en crédibilité. Fig. 5.28 – Cours de Yahoo Fig. 5.27 – Cours d’Umanis entre 1999 et 2002 comme Yahoo, Amazon, AOL ou eBay n’ont pas Fig. 5.29 – Comparatif Yahoo/Amazon Les chiffres d’Internet et du commerce électronique Fig. 5.30 – Cours de eBay Fig. 5.31 – Cours d’AOL (Time Warner Inc maintenant) 91 92 Chapitre 5 Chapitre 6 La rentabilité sur Internet Une présence sur Internet doit-elle être rentable ? Dans la majorité des cas non, voire même elle coûte de l’argent comme l’usage de tous les outils de communication. On peut déjà distinguer grossièrement les cas suivants : – la présence carte de visite, – la présence vitrine pour supporter une activité commerciale du monde “réel” à travers la description des produits et d’autres informations, – la présence pour vendre des produits déjà vendus par d’autres vecteurs, – la présence pour créer une activité commerciale “virtuelle”. Fig. 6.1 – The garlic store, http ://www.thegarlicstore.com/ Un site marchand Dans les 2 premiers cas il s’agit d’utiliser Internet comme un média pour transmettre de l’information. Les coûts seront naturellement supérieurs aux gains directs possibles, s’il y en a. Dans le cas de vente en ligne, la rentabilité d’Internet doit être mesurée selon les mêmes critères que ceux utilisés pour le téléphone ou la poste par une entreprise de vente par 93 94 Chapitre 6 correspondance. Dans le dernier cas, la rentabilité de la présence sur Internet est obligatoire puisqu’elle est la raison d’être de la société. 6.1 Les coûts Les coût sont de deux natures, les coûts sympathiques car prévisibles et les coûts plus complexes à évaluer, essentiellement le temps humain lié à l’impact de cette présence sur Internet. 6.1.1 La connexion Dans les coûts prévisible, le premier coût est celui de la connexion qui dépend directement de la qualité de service désirée. Cela peut aller de l’hébergement d’un site web et l’obtention d’une boite au lettre pour quelques dizaines d’euros par mois à la machine hébergée chez soit avec une LS à haut débit pour plusieurs milliers d’euros par mois. Site Web minimaliste presque rien ADSL particulier (1 machine) 30 ¤ Hébergement mutualisé 100 ¤ ADSL pro (10 machines) 100 ¤ Hébergement dédié 300 ¤ LS 10 Mbits (beaucoup) 1 000 ¤ Tab. 6.1 – Prix mensuel d’une connexion et d’un hébergement en France en 2002 À ces prix il faut ajouter, pour l’hébergement un surcoût en cas de trafic important, un serveur de secours chez un autre opérateur ou FAI, la sauvegarde, les alertes... Pour la connexion, il peut être bon d’avoir aussi une solution de secours en cas de panne de la connexion principale. 6.1.2 Le développement du site web La conception et le développement d’un site web peut se faire en payant quelques centaines d’euros un étudiant pour avoir un site statique avec deux trois pages de présentations, mais atteint des sommes nettement plus élevées pour un “vrai” site commercial. Pour avoir une idée de ces coûts, B2B Online présente trois cas fictifs de site Web, un petit, un moyen et un grand, à différentes Web agencies en leur demandant un devis pour chacun. Les sites sont les suivant : La rentabilité sur Internet 95 Le petit site : Alpha and Gamma law partners is a law firm looking to start from scratch with its Web site, which hasn’t been updated since 1998. It would like a Flash intro to the site with some animation and sound. Then your standard items like an executive bio section, contact page, press releases, etc. And they’d like this look and feel to carry over to a new Intranet site which will allow the lawyers in the firm to create a library of their case documentation, have links to the various online databases (Lexis, etc.) and search for and access all the relevant files in this new knowledge base. Services requested : – Hosting – Look and feel (design/site mapping) – Flash development – Intranet database development of case library Le site moyen : Cranial Bomb is a software developer. It’s looking to create a new site for one of its products which will feature secure (paid) downloads of its software, a bulletin board system for registered users to interact with each other and staff tech-support personnel. These will have to be multithreaded so that users can create their own threads in on of several ”folders” like ”software issues,” ”hardware issues,” etc. The Tech support staff will also maintain a library of documentation in word, acrobat and html, which users can search. They’ll need to be able to post text for the html, and upload the related files. Services requested : – Secure hosting – Look and feel (design/site mapping) – E-commerce engine – Bulletin board area – User registration system – Database development for the support documents Le grand site : Grubstuff.com is a mid-sized portal for the restaurant industry looking to roll-out the second phase of its site (it got its VC last year, thank you). Currently it has an ASP-based portal site running on Windows 2000 with an SQL database, and it would like to keep this architecture. It has 25,000 registered users. Besides links to sites it has several news feeds with industry-related content, weather, stock ticker, etc. Now it wants to build out the exchange portion of the site. It will need a full e-commerce solution whereby users can register as buyers or vendors, manage their accounts, securely store purchase information (credit cards or Purchase orders). Vendors will be able to update the items in the catalogs they are selling. Buyers will be able to view and search the items by vendor, price, part number, etc. and see specs and descriptions of the items. Finally, it would like to allow users to set certain preferences in their profiles and receive email or wireless updates when special offers on selected products come up, or when news or stock information of interest comes across the feeds. Services requested : – Secure hosting – Look and feel (design/site mapping) 96 – – – – – Chapitre 6 E-commerce engine/shopping cart Catalog area, with back-end updating tools for the vendors User registration/profile management system Email list management/delivery system WAP-based system for news and stock delivery to phones, pagers, etc. Tab. 6.2 – Coût de développement d’un site web entre 96 et 2001 source : B2B Online, 2002 Le prix ont constamment varié de façon importante, en particulier pour les grands sites qui ont chuté avec la maı̂trise de la technologie, remonté avec la pénurie liée à l’arrivée de nombreuses entreprises sur Internet et enfin rechuté en 2001 avec l’explosion de la bulle Internet. 6.1.3 La promotion Pour qu’un site soit connu on a recourt le plus souvent à la publicité, qu’elle soit sur Internet ou en dehors d’Internet. Ces campagnes de publicité pour des sites Web ont eu des fortunes diverses. En 1994, CDNOW a commencé une campagne de publicité omniprésente sur Internet qui lui permis de devenir rapidement le leader dans la vente en ligne de CD. CDNOW à mis en place en même temps un système d’affiliation permettant aux sites partenaires de renvoyer les internautes directement aux CD recherchés. 6.1.4 Le coût humain Le coût humain et les implications liées au sein de l’organisation de la société sont très variables d’un cas à l’autre, mais sont souvent la partie la plus importante des dépenses. Un site commercial implique – de lui fournir du contenu, La rentabilité sur Internet 97 – de l’adapter voire de le rénover régulièrement, – de répondre au courrier qu’il suscite. 6.2 Les revenus 6.2.1 Les économies Le journal québécois Le Devoir présentant le 5 mai 1997 les gains induits par Internet pour la société Federal Express : Premier succès d’envergure sur Internet, le système de suivi des livraisons sur Internet de Federal Express fait économiser 2 millions de $ par année à la compagnie. C’est sans compter la satisfaction des clients qui peuvent euxmêmes, au moment qui leur convient, vérifier où est le colis envoyé ou en attente. Implanté en 1994, le système s’est développé pour permettre aux clients de FedEx de réaliser leurs commandes eux-mêmes en ligne. Déjà 400 000 clients réalisent 60 % de leurs transactions de cette façon. Cela représente plus de 100 millions de transactions par jour ! Et ce n’est pas tout : la croissance des transactions réalisées par FedEx sur Internet serait de 10 à 12 % par mois.» 6.2.2 La notoriété et la communication Les sites web des entreprises sont une source importante d’information pour les journalistes. D’après le USA Today (16 juillet 1997) : Selon les résultats d’une enquête par Buck Consultants, les compagnies dépensent de fortes sommes pour la conception et la gestion de leurs sites Web, mais les coûts sont nettement supérieurs aux revenus générés. Une compagnie type dépensera de 200 000$ US à 300 000$ US par année en salaires, bonus et bénéfices pour un site Web alors que l’enquête démontre que seulement 15 entreprises sur les 104 étudiées utilisent leur site pour la génération de revenus. La majorité des entreprises utilisent leur site pour la diffusion d’informations financières et commerciales. Un des répondants cite que le ”gros mythe de l’Internet” est qu’il stimule les ventes alors qu’en fait, c’est surtout un moyen pour communiquer entre les clients, les vendeurs et les employés. En dépit du manque de rendement du capital investi, peu de compagnies comptent réduire les dépenses reliées à leur site Web. Selon un directeur de l’information, les dépenses inhérentes ne représentent pas une grosse somme lorsqu’on les compare aux coûts d’une campagne de publicité majeure. 98 Chapitre 6 6.2.3 La vente en ligne La vente en ligne se découpe en différentes catégories : – la vente de produits matériels dont la commande s’effectue par Internet (Amazon, Grosbill, eBay, Boucherie Sanzot...), – la vente de produits immatériels commandés et transférés par Internet (musique, logiciel, article ou livre numérique...), – la vente de services commandés par Internet, exécutés par ailleurs (billet d’avion, location...) – la vente de services commandés et effectués sur Internet (bourse, gestion de compte bancaire, calcul distribué,...) Certains serveurs comme ceux de la vente de billet de voyage et des services bancaires ont pleinement profité du potentiel d’Internet : Fig. 6.2 – Revenus du voyage en ligne entre 1998 et 2001 Fig. 6.3 – Nombre d’utilisation des services bancaires en ligne aux E-U La Vente de contenu ou de services L’analyse de l’étude IPSOS de mai 2002 indique que La tendance vers des informations ou des services payants sur le web rencontre une opposition de principe chez un internaute sur deux. Le lien entre prix et qualité n’est pas démontré et, pour bon nombre d’internautes, payer l’accès aux sites, c’est, payer deux fois puisqu’ils payent déjà leur connexion à Internet. Prés de la moitié des internautes comptent plutôt sur leur fournisseur d’accès pour leur procurer des contenus et services à valeur ajoutée. On peut distinguer 3 familles d’internautes vis à vis des contenus et services payants : 23% de souscripteurs actuels d’au moins un service, 22% d’internautes ” ouverts ”, non souscripteurs mais ouverts à cette idée, et 55% d’internautes réticents à l’idée de payer pour l’un quelconque de ces contenus ou services. La rentabilité sur Internet 99 Le moins que l’on puisse dire est que ce n’est pas gagné. L’un des freins à la vente de contenu est lié à l’absence de solution de micro-paiement, indispensables pour les nombreux sites qui aimeraient vendre peu cher des informations ciblées, un ancien article, une requête dans une base de données..., ainsi que des petits services. La solution actuelle passe par les abonnements mais reste très marginale auprès du grand public. Elle est par contre acceptée par les professionnels habitués à ce genre de service. Ainsi la plupart des bibliothèques universitaires sont abonnées aux sites d’archive des revues scientifiques. On peut aussi citer l’exemple des portails qui proposent des dépêches achetées à des agences. 6.2.4 La vente induite par le Web Si la vente en ligne est encore marginale par rapport à la vente au détail, la première ne représentant que quelques pourcentages de la seconde comme le montre la figure cidessous, elle induit des achats “hors ligne”. Ces achat “colatéraux” peuvent être liés à une recherche sur Internet ou une promenade sur le Web. On estime que pour 1 dollar dépensé en ligne, Internet gènère 6 dollars d’achat en magasin. Fig. 6.4 – Achats induits par les sites en ligne source : Technology Review, avril 2005 On note aussi qu’un achat en ligne génère souvent un achat en magasin lors du retrait du premier, de son échange ou de son retour. 100 Chapitre 6 6.2.5 La publicité Le dossier d’introduction au premier marché de Liberty Surf de mars 2000 indique à propos de la publicité sur Internet : Internet est devenu l’un des nouveaux supports les plus attractifs pour les annonceurs. La publicité sur Internet permet aux annonceurs de cibler leur public et de délivrer un message direct à une audience dont les caractéristiques démographiques et les intérêts ont pu être circonscrits. Internet permet aussi aux annonceurs d’inter-agir de façon plus efficace avec les consommateurs et d’obtenir des informations précieuses sur leurs habitudes d’achats, leurs préférences et leurs besoins. La publicité sur Internet permet également aux annonceurs de mesurer avec précision l’impact de leur publicité en ayant connaissance du nombre de pages vues ou du nombre d’apparitions de leurs publicités sur les pages téléchargées par les utilisateurs. Du fait du caractère interactif d’Internet, les annonceurs peuvent évaluer l’efficacité de leur publicité en mesurant les rapatriements d’utilisateurs que celle-ci génère par le biais de clics menant à leur site ou les demandes d’informations additionnelles que ces derniers peuvent faire en cliquant sur la publicité de l’annonceur apposée sur la page d’un site Internet. Les technologies permettant des services multimédia plus performants, telles que Java, et l’amélioration de la capacité des annonceurs à analyser les profils démographiques des utilisateurs d’Internet devraient permettre aux annonceurs de bénéficier d’annonces mieux ciblées, d’accroı̂tre l’impact de leurs annonces et de contribuer encore à faire d’Internet un des supports privilégiés pour la publicité. Bien que l’on s’attende à ce que le marché publicitaire sur Internet en Europe augmente rapidement dans les prochaines années, cette croissance ne devrait pas bénéficier de façon égale à tous les sites. Certaines recherches indiquant que les internautes ne visitent régulièrement qu’une quantité limitée de sites populaires, les sites les plus visités bénéficient d’une part prépondérante des recettes publicitaires globales. En 1998, aux Etats-Unis, environ 70 % des recettes publicitaires en ligne sont revenues aux dix premiers sites Internet. Une évolution similaire est attendue dans les pays européens. Obtenir une base large et active d’utilisateurs est donc l’un des critères clés d’évaluation des perspectives financières d’un site Internet. La publicité est bien implantée sur Internet même si des doutes sur son impact et sa rentabilité existent toujours. On trouve dans cette présentation l’ensemble des avantages de la publicité sur Internet, avantages que l’on peut résumer en : 1. sa capacité à cibler l’audience, 2. la possibilité d’une analyse précise de l’impact d’une annonce, 3. l’interaction liée aux liens hypertextes, permettant un complément d’information voire un achat immédiat, 4. sa progression dépasse celle de tous les autres média (cf Fig 6.5 et ?? ), La rentabilité sur Internet 101 5. les internautes ont en moyenne des revenus élevés 1 . Fig. 6.5 – Comparaison de la progression de la radio, de la TV et d’Internet Fig. 6.6 – Consommation 2004 européenne des principaux médias (en heures par semaine) source : EIAA European Interactive Advertising Association, octobre 2004 1 mais cela devient de moins en moins vrai avec la démocratisation d’Internet 102 Chapitre 6 De fait, la croissance du chiffre d’affaire de la publicité sur Internet a suivi une courbe exponentielle jusqu’à l’explosion de la bulle et présente un chiffre d’affaire intéressant : Fig. 6.7 – Croissance des revenus de la publicité sur Internet aux Etats-Unis source : IAB Internet Advertising Revenue Report, septembre 2004 Mais cela ne doit pas masquer le faible poids de la publicité sur Internet. Les 7.7 milliards de revenus en 2002 doivent être comparés aux 1 234 milliards de revenus générés par Internet. Dans le monde de la publicité, là encore Internet représente un pouième, 2.9% de la publicité visant les entreprises aux Etats-Unis. La rentabilité sur Internet 103 Fig. 6.8 – En 2001 Internet représente 2.9% de la publicité inter entreprises aux E-U En 2004, Internet a représenté 2.6% du marché de la pubilicité Européenne d’après Euromonitor. L’EIAA escompte un 7% fin 2008 en Europe. Sachant qu’Internet a une audience de 11% parmi les médias au E-U, certains espéraient la croissance indiquée ci-dessous : Fig. 6.9 – Croissance de la publicité en ligne aux E-U source : DoubleClick 2001 104 Chapitre 6 Si les chiffres 2004 de l’IAB, cf figure 6.7, montrent que cette croissance a été freinée par l’explosion de la bulle Internet, la tendance semble repartie à la hausse ce qui peut laisser espérer la progression indiquée ci-dessus avec un décalage dans le temps. Enfin il faut noter que la part du gateau publicitaire va aux grands. Environ 75 % des recettes publicitaires en ligne sont revenues aux dix premiers sites Internet. Fig. 6.10 – Partage du marché de la publicité en ligne entre annonceurs aux E-U source : IAB Internet Advertising Revenue Report, septembre 2004 6.2.6 Le prix de la pub L’unité de base de la publicité est le CPM, cost per mil, qui correspond au prix pour mille affichages d’une publicité. Il correspond au CPM des journaux. Il existe aussi des systèmes de rémunération basés sur la performance comme le CPC, cost per clic2 , et le CPA, cost per action (2$ si le logiciel de ma publicité est téléchargé par exemple). Fig. 6.11 – Répartition des différents choix de pricing de la publicité source : IAB Internet Advertising Revenue Report, septembre 2004 2 Il ne suffit pas de cliquer pour arriver, seulement 90% des clics arrivent à la page visée. La rentabilité sur Internet 105 Depuis le crack boursier sur les sociétés des nouvelles technologies, le CPM chute comme le montre la figure ci-dessous. Les variations de pourcentage de publicité vendue souligne l’importance d’autopublicité ou d’échange de publicité entre sites. Fig. 6.12 – Variation du CPM et du % de publicités vendues sur 2001 et 2002 source : NetRatings, 2002 Les CPM varient de façon très importante suivant le type de site web qui les héberge (cf le tableau 6.3) et suivant la qualité des sites. Ainsi aux Etats-Unis, ContentZone offre un CPM fixe de 0.2 $ pour les sites délivrant moins de 250 000 hits par mois. Pour ceux au dessus de ce chiffre le CPM monte à 0.4 $. Pour Kuro5hin, un site connu au sein du public très restreint des linuxiens et autre zelotes des logiciels libres, le CPM est estimé à 5 dollars. Slashdot, plus connus, doit rejoindre les prix cités dans les tableaux ci-dessus. En septembre 1999, donc avant le crack, france.internet.com présentait (cf tableau 6.4) des chiffres similaires si l’on excepte les sites financiers qui sont en chute libre. 106 Chapitre 6 Tab. 6.3 – Variation du CPM suivant le type de site web source : NetRatings, 2002 107 La rentabilité sur Internet Secteur Automobile Culture Actualité Sport Voyage CPM $30 $20 $25 $20 $25 Investissement <400 000 >400 000 >800 000 >1,2 millions >1,6 millions CPM $57 $55 $53 $51 $49 Sites Financiers Américains Tab. 6.4 – Prix de la publicité sur Internet en septembre 99 6.2.7 Les mécanismes de la publicité sur Internet Il existe différents niveaux d’accords publicitaires sur Internet liés à la grande variété de sites Web allant de la page personnelle aux portails. Pour les petits Des sites commerciaux proposent à tous les internautes de leur faire de la publicité. Ainsi le vendeur de matériel informatique GrosBill propose aux internautes de s’affilier. Qu’est ce que l’affiliation ? L’affiliation est une forme de promotion en ligne en plein essor, qui consiste à être rémunéré en tant que site partenaire en fonction du nombre d’acheteurs ou de visiteurs que vous envoyez sur le site d’un affilieur. Comment ça marche ? Il vous suffit de placer les bannières ou liens que nous vous proposons sur votre site et vous serez rémunéré soit au nombre de clics soit au pourcentage des ventes effectuées par les clients que vous nous envoyez par l’intermédiaire de votre site. Pour ce joli effort, GrosBill reverse au propriétaire du site 4 % du montant des ventes générées par le site. On a vu que ContentZone offre un CPM fixe allant de 0.2 à 0.4 $ suivant le poids du site. Mais attention, il est interdit de tricher : Il est donc plus généralement INTERDIT de tenter de multiplier les clics de façon artificielle par un système quel qu’il soit. GrosBill se réserve le droit de demander au membre hébergeur les statistiques de visites de ses pages, pour contrôler le respect des taux de clics uniques, tout taux de clics supérieur à 5% des affichages sur une période d’une journée entraı̂nerait l’élimination automatique du sponsor, ce taux étant irréalisable de façon légal sur une période 108 Chapitre 6 importante. Pour information, un site classique bien ciblé génère 1 à 2% de clics par rapport au nombre d’affichage de la bannière et la moyenne constatée sur le web et de 0,4%. On notera le rapport estimé du CPM au CPC. Pour les professionnels Les sites les plus importants utilisent les services d’agence de publicité pour leur bandeaux publicitaires. Ces sociétés, dont Double Click est le représentant le plus important, insèrent les publicités à la volée au moment où la page du site est envoyée à l’Internaute. Pour le responsable du site il s’agit d’une opération transparente, il ne sait même pas a priori quelle publicité sera envoyé. Fig. 6.13 – Fonctionnement de la distribution de publicité Ce système a permis à Double Click de se tailler la part du lion dans le marché de la distribution de publicité sur Internet. 109 La rentabilité sur Internet Nombre de publicités délivrées (en milliard) 185 181 168 162 161 172 171 168 149 125 77 44 30 5 7 9 13 Q1 Q2 Q3 Q4 1998 21 Q1 Q2 Q3 Q4 Q1 1999 Q2 Q3 Q4 2000 Q1 Q2 Q3 Q4 2001 Q1 Q2 2002 Chiffres trimestriels de Double Click Fig. 6.14 – Nombre de publicités délivrées par Double Click Aujourd’hui, en 2005, Double Click annonce distribuer plus de 60 milliards de publicités par mois (180 par trimestre pour comparer au graphique ci-dessus). Nombre de publicitaires utilisant Double Click Nombre de sites diffusant les publicitées 5461 1968 1783 1658 4463 4363 1589 1442 1208 4927 4719 1716 3657 1304 3100 982 913 2300 750 1989 1992 651 1567 1437 490 360 342 255 Q1 1999 Q2 Q3 Q4 Q1 2000 Q2 Q3 Q4 Q1 Q2 Q3 Q4 2001 Chiffres trimestriels de Double Click Q1 2002 Q2 Q1 1999 Q2 Q3 Q4 Q1 Q2 Q3 2000 Q4 Q1 Q2 Q3 2001 Q4 Q1 Q2 2002 Chiffres trimestriels de Double Click Fig. 6.15 – Taille du réseau de Double Click Pour les moteurs de recherche Les moteurs de recherche ont mis en place une forme ciblée de publicité non plus basée sur des bandeaux publicitaire mais sur des liens commerciaux inclus dans les réponses. Ce système de publicité, très bien ciblé puisque lié à une recherche de l’internaute, représente le support privilégié des annonceurs : 110 Chapitre 6 Fig. 6.16 – Type de support pour la publicité (aux Etats-Unis) source : IAB Internet Advertising Revenue Report, septembre 2004 Ainsi Google, le principal moteur de recherche, propose son service AdWords où toute personne désirant faire sa publicité peut indiquer combien elle est prête à payer, entre 15 cents et 50 dollars par clic, pour avoir son encart présenté (voir les détails sur la FAQ de AdWords). Fig. 6.17 – Les liens publicitaires des moteurs de recherche Sachant que Google revendique plus de 200 millions de requêtes par jour, on constate que ce marché est énorme, plus de 2 milliards de dollars par an d’après le Search Engine Watch. De son coté, Yahoo a mis en place début 2004, un moteur de recherche qui favorise les sites clients qui paieront. Les sites paieront entre 10 et 49$ pour chaque page web indexée La rentabilité sur Internet 111 et entre 15 cents et 1$ chaque fois qu’un utilisateur de Yahoo cliquera sur un site client présenté. Des analystes estiment que ce système génèrera des revenus de 100 millions de dollars par an pour Yahoo. On peut aussi noter que le moteur AltaVista de HP avait aussi décidé il y a longtemps de favoriser ses clients et que cela a fortement nuit à sa réputation. Ce moteur qui était le plus important est passé au second plan aujourd’hui. 6.3 La rentabilité de la gratuité La gratuité est un fait sur Internet. Il est possible d’avoir énormément d’information de très bonne qualité gratuitement. Les journaux proposent des sélections d’articles voire leur intégralité, les portails offrent souvent les annonces des agences de presse, la météo et des informations financières. Les universités mettent à disposition du grand public des cours de très bons niveaux, tant scientifique que pédagogique3 . Une multitude de particuliers ont des pages personnelles remarquables sur leur passion. Il existe aussi une longue tradition des services informatiques gratuits sur Internet. Ainsi il est possible d’avoir un nom de domaine gratuit4 pour aussi longtemps qu’on le désire sur www.eu.org, on peut avoir une connexion gratuite avec de nombreux fournisseurs dont Free par exemple, ainsi qu’un espace pour héberger ses pages web. Le courrier gratuit est devenu un classique ainsi que l’hébergement de listes de diffusion. Mais cette gratuité à un coût, celui des rédacteurs lorsqu’il s’agit d’information et celui des informaticiens lorsqu’il s’agit de services. Ces coûts peuvent être déjà intégrés dans une autre activité, un chercheur est déjà payé pour publier ses résultats, ou supportés par l’effet de bord généré par la notoriété du site offrant de l’information ou des services gratuits. Cet effet de bord est essentiellement la publicité vendue sur le site mais peut aussi être le gain lié à une image de marque positive ainsi obtenue. Ainsi Liberty Surf voyait un modèle économique dans la publicité (extrait de son dossier d’introduction au premier marché en mars 2000) : Solutions en matière de publicité. A ce jour, les recettes des portails du Groupe sont essentiellement de nature publicitaire. Sa large base d’utilisateurs actifs attire un large éventail d’annonceurs désireux de faire figurer leurs publicités sur ses sites. Les sites du Groupe présentent ainsi des bandeaux, des boutons et d’autres formes de publicité spécifiques à Internet qui, lorsqu’un utilisateur clique dessus, les met directement relation avec le site désigné par l’annonceur. Sur les six derniers mois de l’exercice pour lesquels les résultats d’Objectif Net ont été intégrés aux comptes consolidés Groupe, plus de 200 annonceurs ont fait figurer leurs publi3 4 Je ne résiste pas à l’envie de vous citer ce cours de génétique. c’était la norme pour tous les domaines lorsque j’étais jeune ! 112 Chapitre 6 cités sur ses sites Internet France et ont généré 2,3 millions d’euros de recettes publicitaires totales. Pour atteindre la masse critique qui permet d’être dans les sites les plus consultés, et donc parmi ceux qui attirent la majorité de la publicité, il faut séduire les internautes ce qui demande des moyens importants. Le groupe Liberty Surf comptait, fin 99, 254 employés dont 70 en marketing/vente, 52 en assistance téléphonique, 51 pour gérer les portails et 43 techniciens. Fig. 6.18 – Compte d’exploitation 1999 de Liberty Surf Les comptes d’exploitation montrent le déséquilibre entre les revenus publicitaires et les coût de fonctionnement. L’aventure n’a pas été concluante puisque Liberty Surf a été racheté par Tiscali. Mais la conjoncture a été on ne peut plus mauvaise et l’existence d’autres fournisseurs d’accès gratuits ainsi que la reprise de cette option par Tiscali semble indiquer que la gratuité a sa place dans l’e-commerce. 6.4 Plus L’eLAB, http ://ecommerce.vanderbilt.edu/, propose de nombreux articles sur la publicité sur Internet. L’IAB-France, http ://www.iabfrance.com/, regroupe les annonceurs, les agences de publicité et ceux qui tournent autour, afin de structurer, et de favoriser le développement de la publicité sur Internet. Chapitre 7 Les outils du commerce électronique 7.1 Pourquoi des outils La réponse qui vient immédiatement à l’esprit, ou qu’il est conseillé d’avoir avec le grand patron, est pour mieux vendre. Le taux de transformation surfeur / acheteur est en 2004 inférieur à 5% : Fig. 7.1 – Réalisation de l’achat sur un site marchand source : Double Click, rapport e-commerce 3e trimestre 2004 Une réponse plus approndie prend en compte la complexité d’un site web marchand, complexité d’auntant plus importante qu’il y a de personnes impliquées dans son élaboration et sa mise à jour. Une personne ne pouvant pas gérer seule un tel site de taille raisonnable, il faut des outils permettant de simplifier la tâche et de coordonner le travail des intervenants. Les différentes tâches liées à un site commercial vont de la présentation des produits 113 114 Chapitre 7 à leur livraison en passant par la publicité, la fidélisation, le suivi des commandes, la personnalisation, l’aide aux clients, l’internationalisation... Ces aspects impliquent du point de vue de l’internaute un site Web bien ordonnancé et du point de vue des administrateurs une sectorisation et des processus de mise en place du contenu bien définis. Fig. 7.2 – Chaı̂ne d’édition d’un site commercial source : Intershop Fig. 7.3 – Elements internes d’un site marchand D’un point de vue architectural, un serveur web commercial contrairement à une page personnelle, communique avec de nombreux autres serveurs pour générer de façon dynamique les pages qu’il présente. Ces autres serveurs peuvent être des serveurs de base de données Les outils du commerce électronique 115 liées aux produits vendus mais aussi des ERP, Enterprise Resource Planning, des CRM, Customer Relationship Management, des serveurs extérieurs de fournisseur, d’entreprise de livraison... Mais un site commercial peut être plus qu’un serveur web commercial. Il peut aussi servir de relais à d’autres serveurs web commerciaux que cela soit ceux de revendeurs ou de galeries marchandes par exemple. Dans ce cas les communications entre serveurs doivent se faire dans tous les sens comme le présentent les figures ci-dessous. Fig. 7.4 – La vision d’Intershop du commerce électronique Fig. 7.5 – Différents type de sites Web et leurs communications source : Intershop 116 Chapitre 7 Enfin, un serveur commercial doit pouvoir générer toute sorte de sorties suivant qu’il communique avec un client humain, une entreprise ou le serveur d’un revendeur. Cela implique – différents supports de sortie : le Web, le WAP, l’impression... – l’internationalisation, – les communications inter serveurs en XML, avec les fournisseurs, revendeurs... Fig. 7.6 – Interface du Publication Manager d’Intershop Enfinity Pour répondre à toutes ces contraintes, de nombreux logiciels de plus en plus perfectionnés ont vu le jour. Ces logiciels sont très différents les uns des autres puisque ne visant pas le même public. On peut les ranger en fonction de la taille du site commercial visé (ce qui n’est pas directement lié à la qualité ou au potentiel des logiciels cités) : – la solution de base consiste à coupler un serveur web avec un serveur de base de données. Cela peut se faire à l’aide des logiciels Apache + MySQL ou PostgreSQL + PHP ou Java via des Servlets, – avec des environnements utilisant ces outils via une interface web afin de permettre à des utilisateurs lambda de mettre à jour le site. Citons par exemple PHP-Nuke et Spip, – il existe aussi des solutions libres qui intègrent le serveur, la base de données et l’interface de création comme Zope, – parmi les solutions commerciales on a ColdFusion, Visual Studio .net – enfin il y a pour des serveurs vraiment importants ayant besoin de communiquer avec d’autres entités, des grands logiciels du commerce électronique comme Intershop, Commerce Server ou Websphere. 117 Les outils du commerce électronique Il est aussi possible d’intégrer une galerie marchande et d’y faire héberger son site avec toutes les facilités qu’elle peut offrir allant des outils permettant la création et la mise à jour de son site via une interface web à la prise en charge des paiements en passant par les sauvegardes etc. 7.2 Yahoo ! Store Yahoo ! Store est la galerie marchande la plus visible, offrant à ses utilisateurs une interface de création de sites commerciaux simple et riche. L’intérêt, outre de disposer des outils de Yahoo !, est l’hébergement et sa visibilité. Cette solution semble particulièrement bien adaptée pour une petite boutique ou un premier essai de site commercial. Il est ainsi possible de demander à Yahoo ! de s’occuper de la facturation des produits vendus. Si l’affaire commerciale prend de l’importance, se complexifie en nouant des relations avec d’autres serveurs, on aura alors probablement envie de rapatrier le site web chez soi et d’utiliser une solution offrant un meilleur contrôle. Le système de facturation semble aussi viser plus les petites boutiques : Mise en marche Herbergement Coût par transaction Tout contrat Starter Standard Professional Starter Standard Professional 50 $ 40 $ / mois 100 $ / mois 300 $ / mois 1.5% 1% 0.75% Tab. 7.1 – Prix 2005 de Yahoo ! Store À l’usage, Yahoo ! Store se veut pédagogique. Le débutant appréciera de construire son site à l’aide d’un assistant et de découvrir comment le modifier ensuite. Avec de l’expérience il est possible de s’affranchir du look par défaut pour faire tout ce qu’on veut. 118 Chapitre 7 Fig. 7.7 – Construction assistée d’un site marchand chez Yahoo ! Store 7.3 Enfinity d’Intershop L’histoire d’Intershop suit de près celle des sites web commerciaux et comme pour ces derniers, Intershop a mal vécu l’éclatement de la bulle à tel point qu’Intershop a fermé en 2003 sa filiale française. Elle comptait en 2004 plus de 300 clients. Fig. 7.8 – Historique d’Intershop Aujourd’hui, en 2005, Intershop revient en France et présente une politique plus douce sur les prix des licences comme l’indique le directeur associé de DataSolution, son nouveau 119 Les outils du commerce électronique distributeur : Enfinity Suite peut être désormais facturée à la transaction, avec un ticket d’entrée de 5 000 ¤ HT par trimestre et un pourcentage sur le chiffre d’affaires généré. D’autre part, la version Express de la suite est limitée à trois processeurs, mais elle permet de réduire les coûts de quatre à cinq fois. Intershop étant une solution modulaire, cf ci-dessous, la baisse de prix est plus notable lorsqu’on note que le module de “Procurement”, qui gère la gestion électronique des achats, passe de 100 000 à 30 000 ¤ HT, et les modules d’e-commerce de 75 000 à 30 000 ¤ HT. Le coût global d’Enfinity variera entre 50 000 et 300 000 ¤ suivant le nombre de CPU et les besoins, donc le nombre de modules nécessaires. A cela il faut ajouter les frais de maintenance et la formation. Techniquement, Enfinity se compose de modules répondant aux différents besoins des clients. Ces modules couvrent les les 6 “canaux” suivants : – le canal “achat”, – le canal “fournisseur”. – – – – le le le le canal canal canal canal “contenu”, “client” ou B2C, “B2B”, “partenaire”. Fig. 7.9 – Enfinity d’Intershop 120 Chapitre 7 Fig. 7.10 – Outils graphiques de programmation d’Enfinity I Suite à l’éclatement de la bulle, Intershop Les prix d’Intershop Enfinity sont à la mesure des possibilités du produit, élevés. Intershop Enfinity est porté sous Solaris et Windows 2000. Il s’appuie sur Oracle pour la base de données. 7.4 WebSphere La solution d’IBM WebSphere se compose de différents produits adaptés aux différents aspects du commerce électronique. Ces produits communiquent entre eux pour gérer le site commercial avec tous les à cotés évoqués au début du chapitre. Les outils du commerce électronique 121 4 Foundation and Tools – WebSphere Application Server – WebSphere Studio 4 Reach and User Experience – WebSphere Commerce – WebSphere Portal – WebSphere Everyplace – WebSphere Personalization 4 Business Integration – WebSphere MQ – WebSphere Business Integration – IBM CrossWorlds – Adapters and Connectors Tab. 7.2 – La plateforme WebSphère et ses composants source : IBM On retrouve les connexions avec les différents serveurs d’application : Fig. 7.11 – Interconnexion entre Websphere et d’autres services WebSphere Commerce Suite se conjugue sous 3 versions plus ou moins riches en composants. Elle est disponible sur les systèmes d’exploitation AIX, Solaris, Linux, Windows NT, Windows 2000. 122 Chapitre 7 WebSphere Commerce Business Edition (per processor) WebSphere Commerce Professional Edition (per processor) WebSphere Commerce Professional Entry Edition (per processor) 125 000 $ 80 000 $ 20 000 $ Tab. 7.3 – Prix catalogue automne 2002 de WebSphere Commerce Suite 7.5 Commerce Server Commerce Server 2002 est la solution de commerce électronique de Microsoft. Sa principale caractéristique est d’être et de n’être qu’adapté au monde Microsoft. Ses caractéristiques recoupent celles de Intershop et de Websphere. Commerce Server 2002 Enterprise Edition Commerce Server 2002 Standard Edition Windows 2000 Server $19 999 per processor $6 999 per processor $1 199 per server SQL Server $4 999 per processor Commerce Server requires Microsoft SQL Server 2000 to host the databases. Commerce Server requires Microsoft Windows 2000 Server with Service Pack 2 Commerce Server requires SQL Server 2000 with SP2. Tab. 7.4 – Prix du site Microsoft de la suite Commerce Server 2002 7.6 La post-installation Un site commercial est un objet vivant qui doit s’adapter à l’environnement et aux nouvelles sollicitations. L’évolution du site provient et se répercute sur l’ensemble des intervenants. Parmi les sources de changement citons : – les changements politiques ou de stratégie commerciale au sein de l’entreprise, – les contraintes extérieures comme l’arrivée de nouveaux partenaires, fournisseurs, revendeurs. Cela peut aussi être des anciens partenaires qui décident de changer de technologie et imposent d’utiliser leurs protocoles, – les nouveautés technologique dont la mise à jour de systèmes existants. En dehors de ces sources de perturbation, l’administrateur d’un site web se doit de surveiller son bébé. Cela comprend la surveillance du réseau et des performances du serveur ainsi que leur optimisation. Les outils du commerce électronique 123 Là encore, des nombreux outils ont été développés pour permettre à l’administrateur de mieux appréhender les problèmes. Il est aussi possible de demander à une société extérieure de juger les performances d’un site vues de différents points. On trouvera tout ce qu’il faut comme références concernant ces outils sur le Web. Le livre de Patrick Killelea, «Web Performance Tuning», cf [Kil02], en présente quelques uns dont un test rapide de performance utilisable à partir de son site http ://www.patrick.met/. Cet outil analyse les différentes étapes lors de la demande d’une page web et affiche le résultat : Fig. 7.12 – Pourcentage de temps passé sur chaque étape lors de la demande d’une page L’analyse d’une autre page souligne un problème lors de la requête DNS (il s’agit bien d’un problème de résolution du nom soumis dans ce cas) : DNS I spent a cumulative 5.3094 seconds resolving hostnames. It took too long to resolve your names to IPs. Either your DNS server took a long time to answer, or my DNS server is overloaded. L’analyse doit aussi être faite sur l’ensemble des éléments de la chaı̂ne. On analysera la performance de chaque logiciel (cf la fuite d’un SGBD ci-dessous) la charge des machines et de la passerelle, les sources de connexions... 124 Chapitre 7 Fig. 7.13 – Système de gestion de Base de Données (SGBD) sans fuite et avec fuites (oublis de fermeture de connexion) source : Web Performance Tuning Chapitre 8 Le paiement électronique Le paiement électronique existe depuis de nombreuses années dans le monde réel. Que ce soit par les cartes bancaires, plastic money, ou par les virements, l’argent virtuel est bien entré dans les mœurs. Et pourtant le monde virtuel de l’Internet est toujours à la recherche d’un moyen de paiement simple, sûr et efficace. Actuellement, le paiement sur Internet repose uniquement sur les cartes bancaires sans puce ce qui pose de nombreux problèmes liés au fait que rien ne permet de différencier le propriétaire d’une carte d’une personne qui a pu avoir connaissance du numéro et de la date d’expiration de sa carte. Et il existe de nombreuses façons d’avoir ces informations : – être un commerçant malhonnête ; – ramasser un coupon négligemment abandonné auprès d’un distributeur (ne marche plus normalement, les banques ayant modifiées les coupons) ; – récupérer la base d’un commerçant qui garde ces numéros sur son serveur web ou sur une autre machine connectée à l’Internet ; – écouter les transactions lors de l’achat d’un produit et décrypter le codage s’il n’est qu’en SSL 40 bits. De plus le fonctionnement de la carte bancaire implique une commission bancaire ce qui n’est pas fait pour plaire aux commerçants surtout lorsqu’il s’agit de petites sommes qui sont en temps normal payées en liquide. On peut ajouter à ces problèmes celui de l’anonymat violé lorsqu’on utilise sa carte ainsi que l’impossibilité d’effectuer des transferts entre particuliers. Pour toutes ces raisons des nouveaux moyens de paiements étaient à inventer1 et ont été inventés par les très nombreuses sociétés attirées par les gains potentiels de cet énorme marché même si aucun ne fait encore l’unanimité. 1 il ne semble pas souhaitable d’avoir un seul type de paiement ne serait-ce que pour préserver l’anonymat dans certains cas et officialiser les auteurs d’une transaction dans d’autres cas. 125 126 8.1 Chapitre 8 Les moyens de paiement usuels Les moyens de paiements usuels sont, par fréquence d’utilisation et en ordre inverse d’importance du montant moyen : 1. le liquide ; 2. les chèques ; 3. les cartes bancaires ; 4. les versements. Ils font tous intervenir un payeur, un bénéficiaire et leur banquiers respectifs mais de façons différentes comme le montre les schémas suivants. Le paiement en liquide permet de Banquier Banquier sauvegarder l’anonymat du payeur tout du payeur du bénéficiaire comme du bénéficiaire. Il permet les transactions entre particuliers. Endépôt retrait fin il est bien adapté à de petites sommes et permet aux parents d’enpaiement voyer leur enfant acheter le pain. Payeur Bénéficiaire (client) (vendeur) Son inconvénient principal est l’impossibilité d’annuler la validité du liFig. 8.1 – Paiement en liquide quide perdu ou volé pour pouvoir être remboursé. Cela le rend peu pratique pour le paiement de grosses sommes. On peut aussi lui reprocher sa difficile divisibilité, à savoir la difficulté pour faire la monnaie. Les chèques suivent le même schéma que le liquide avec l’avantage de laisser une trace et de pouvoir toujours payer la somme exacte. Ils permettent les transactions entre particuliers et peuvent être annulés lorsqu’on les perd. Le paiement par carte est celui Banquier qui progresse le plus dans notre société. du payeur En 2001, on a estimé à 1.5 milliard de cartes Visa et MasterCard en circulation. Sa simplicité d’usage qui permet d’avoir toujours l’appoint ainsi que sa sécurité lié à la puce2 qui empêche un autre de l’utiliser, en font une bonne alternative au chèque excepté pour les paiements entre particuliers. Payeur (client) en France demande d’autorisation paiement Bénéficiaire (vendeur) Fig. 8.2 – Paiement par carte bancaire Ses faiblesses ont été décrites en introduction. 2 règlement Banquier du bénéficiaire 127 Le paiement électronique Les versements sont normalement le type de paiement le plus sûr. Ils sont dédiés aux sommes importantes et surtout adapté au monde professionnel que ce soit pour payer les employés ou payer une autre société. Grâce au Minitel ou à Internet, ils peuvent aussi être utilisés par les particuliers ce qui les rend plus pratique mais augmente les risques. Ils ne sont bien sûr pas adaptés aux Banquier courses du dimanche matin au marché. du payeur On peut retirer des ces exemples une liste des avantages potentiels d’un moyen de paiement : règlement Banquier du bénéficiaire demande de versement – la simplicité d’utilisation ; Payeur Bénéficiaire (client) (vendeur) – l’anonymat ou à l’inverse l’enregistrement de la transaction ; Fig. 8.3 – Versement interbancaire – l’intégrité de ses économies si on perd le moyen de paiement ; – la transaction entre particuliers ; – la divisibilité ou la possibilité d’avoir toujours la somme exacte ; À cette liste on peut ajouter les qualités nécessaires pour un moyen de paiement sur Internet : – la garantie de l’intégrité de la transaction : soit le client est débité et le vendeur crédité, soit rien ne se passe, – la sauvegarde des transactions afin de pouvoir retrouver l’état des comptes en cas de panne du système, – la sécurité aux attaques de pirates, à la création de fausse monnaie, à la copie des billets électroniques..., – la portabilité qui permet à tous les systèmes (ordinateurs, assistant électronique, téléphone...) de communiquer, – la convertibilité qui permet d’être changé en un autre type de monnaie (vers de la monnaie papier, vers une autre monnaie électronique...). L’ensemble de ces différents modes de paiement peut être divisé en deux catégories : – les paiements anonymes, pour les petites sommes le plus souvent ; – les paiements nominatifs pour les sommes plus importantes. 8.2 Les monnaies complémentaires Si on appelle système de paiement tout système organisé permettant de rémunérer un service rendu ou l’“achat” d’un objet, il existe déjà de nombreux systèmes de paiement. On a vu différents systèmes de paiement officiels, mais il existe aussi des systèmes mis en place de façon autonome par des groupes de personnes. En France, les plus connus sont les Systèmes d’Echange Locaux, SEL. A Bali il existe un second système monétaire basé sur le temps que l’on consacre à différents services publiques (mise en place d’un festival, construction d’une école...). Ces 2 systèmes coexistent en harmonie et on considère que 128 Chapitre 8 30% du temps des habitants de Bali entre dans le cadre de ce second système de paiement. Aujourd’hui il existe plus de 4000 monnaies complémentaires dont un grand nombre sur Internet, cf fig 8.4. Fig. 8.4 – Nombre de systèmes monétaires complémentaires dans 12 pays source : Bernard Lietaer, The Future of Digital Money, 5e Digital Money Forum Bernard Lietaer, spécialiste du domaine, aborde ce sujet et ses conséquences, comme le problème de la taxation des services ou de la vente payé par de telle monnaies, dans cette interview sur les monnaies complémentaires. 8.3 Les micro-paiements Les micro-paiements électroniques, peuvent être des 2 types : officiel ou complémentaire. Si la norme est d’avoir des systèmes de paiement gérés par des banques ou des entreprises en accord avec les lois en vigueur, il est simple de mettre en place des des systèmes complémentaires. Dans le cas qui nous intéresse, il s’agit d’avoir un système de micro-paiement électronique pouvant remplacer la monnaie. On parlera de porte-monnaies électroniques. Pour l’instant les systèmes mis en place sont poussés par des entreprises à but lucratif donc respectueuses des lois. Ces entreprises désirant promouvoir leur solution de porte monnaie électronique, elles apportent toutes les garanties demandées par les États concernés, comme s’associer ou devenir une banque en France. Parmi les très nombreuses solutions de porte-monnaie électronique qui ont vu le jour, seules quelques-unes ont réussi à s’implanter dans le monde réel (cf table 8.1) et une seule peut considérer avoir percé sur Internet. La solution qui se développe en France est Monéo, héritière de la solution allemande Geldkarte. Elles reposent sur une carte à puce 129 Le paiement électronique et permettent de payer un trajet de bus, un café ou tout ce qui est normalement payé en liquide. Sur Internet la solution qui semble le mieux réussir est PayPal. Elle permet d’acheter des objets aux enchères mais aussi dans certains e-magasins et peut-être à terme un article d’un journal, un petit service, une chanson... Number of devices1) (millions) Belgium Germany France 4) Spain Ireland 5) Italy Luxembourg Netherlands Austria Portugal Finland Etats-Unis 7.0 2) 60.0 3) 0.02 8.1 n.a. 0.03 2) 0.3 20.0 4.8 3.4 7) 0.5 0.1 (% de la population) 69% 2) 73% 3) 0.0% 20% n.a. 0.1% 2) 60% 128% 60% 34% 7) 10% 0.0% Number of merchant terminals (thousands) Volume of daily transactions (thousands) 64 60 0 131 n.a. 4 6) 1 150 30 59 1 1 149 58 0.3 6 n.a. 1 1.6 n.a. 6 14 1 n.a. Value of daily transactions (EUR thousands) 563 197 0.3 16 n.a. 3 6 n.a. 32 17 2 n.a Average value per transaction (EUR) 3.8 3.4 1.1 2.2 n.a. 2.7 3.6 7.5 5.3 1.2 1.7 n.a. Tab. 8.1 – Statistique sur la pénétration de monnaie électronique en Europe et aux EU Sources : Committee on Payment and Settlement Systems, Survey of electronic money developments , published by the Bank for International Settlements, May 2000 ; national data ; Eurostat (population). 1) Unless indicated otherwise, this includes all devices, even those which had never been loaded as at the reporting date. 2) Includes only those devices which had been loaded at least once as at December 1999. 3) Includes chips available on debit cards. These chips are able to carry out electronic money functions which may not, however, be used in practice. 4) Schemes are in a pilot phase. 5) Only two small pilot schemes were in operation as at September 2000. 6) As at 31 December 1998. 7) Around 261,000 devices had been loaded as at September 1999. Dans les deux mondes la difficulté liée au porte-monnaie électronique réside dans la facilité avec laquelle on peut recopier une pièce de monnaie digitale puisqu’il ne s’agit que de 0 et de 1. Pour éviter les problèmes de fausse monnaie tout en gardant la facilité d’usage du liquide, deux approches se dégagent en attendant la possibilité que les porte-monnaies électroniques puissent être toujours connectés à leur banque lors d’un transfert : – le coffre fort3 comme la carte à puce ; 3 le coffre fort utilise aussi la cryptographie mais pour s’authentifier. Reporting period 12/1999 08/1999 11/1999 1999 1999 12/1999 4-11/1999 1999 1999 1999 1997-1998 130 Chapitre 8 – la cryptographie qui garde une trace du propriétaire de la pièce et qui révélera son nom en cas de fraude. 8.3.1 La carte à puce La carte à puce, brevetée en 1975 par Roland Moreno, a fait ses premiers pas en tant que carte téléphonique. Carte à mémoire, elle est devenue depuis une carte à microprocesseur. On la retrouve dans de nombreux domaines allant de la carte bancaire à la carte Vitale en passant par les cartes professionnelles jusqu’aux dernières nées comme les JavaCards permettant aux informaticiens lambda de les programmer. L’association de fabricants de carte estime que 1,7 milliard de carte à puce ont été créées en 2001. La sécurité de ces cartes est basée sur la difficulté à violer la puce avec un mécanisme de protection qui s’active en cas de tentative. Ainsi la puce d’une carte bleue se bloque si l’on ne donne pas le bon code trois fois de suite. Mais comme tout coffre fort, la sécurité n’est jamais totale comme cela a été démontrer dernièrement lorsque la clé privée d’authentification de la véracité d’une carte bleue a été diffusé sur Internet, rendant possible la création de fausses vraies cartes (cf l’affaire Humpich et le dossier de Parodie.com). D’un point de vue pratique, le point faible des cartes à puce est le besoin de lecteurs pour communiquer. Cet aspect interdit les transferts d’argent entre particuliers4 . Mais la carte à puce est le seul matériel si peu cher permettant d’avoir un porte-monnaie électronique physique. De plus elle est simple d’usage et est déjà adoptée par des millions de personnes. La Geldkarte a été introduite en Allemagne en 1997. Ses principaux succès semblent être comme mode de paiement pour les transport en commun et pour les parcmètres. Sa progression a été la suivante : 4 ce qui de toute façon n’est pas au goût de la Banque de France qui craint des fraudes et son utilisation pour le blanchiment de l’argent sale 131 Le paiement électronique Nombre de cartes actives (?) Nombre de terminaux actifs (?) Nombre de transactions Valeur moyenne d’une transaction 1997 200 000 22 000 350 000 11 ¤ 1998 410 000 52 000 1 100 000 6¤ 1999 490 000 42 000 1 700 000 4¤ 2003 200 000 40 000 000 2¤ Tab. 8.2 – Evolution de l’utilisation de la Geldkarte entre 1997 et 1999 source : Electronic Payment Systems Observatory newsletter No.3, nov.2000 (?) actif = au moins une transaction par mois Il est possible d’utiliser sa Geldkarte pour effectuer des paiements sur Internet mais cela semble tout à fait marginal. Monéo est l’application française de la Geldkarte. Elle a été crée par un consortium de banques françaises5 . Son déploiement, lancé à Tours en 1999, est arrivé à Paris et sa région fin 2002 et couvrira l’ensemble du territoire en 2003. Elle permet à l’utilisateur de payer des petites sommes, inférieures à 30 ¤, simplement et rapidement. Du point de vue financier, elle suit le modèle de la carte bleue. Elle coûte : – entre 5 et 12 ¤ par an pour les particuliers, – 0,6% des achats effectués pour les commerçants, à comparer aux 0,7% du carte bancaire classique et au 0% du liquide. À cela, on peut ajouter que l’argent liquide qu’on avait dans nos poches sera dans la carte et donc dans les poche de nos banquiers. Si on ajoute à ce gain financier très important, la réduction des coûts liés à la manipulation de la monnaie puisque la masse monétaire baissera et donc les économies faites par les banques (moins de personnel, entretien des distributeurs de billet réduit...), Monéo semble surtout être une bonne affaire pour les banques. Ces différents aspects ont générés la grogne des commerçants pas habitués à payer des commissions sur les petites sommes et celle des associations d’utilisateurs inquietées par le traçage des transactions et révolté par le coût d’utilisation de cette carte. L’UFC6 à d’ailleurs renouvelé sa défiance dans un communiqué de février 2005 : «Moneo demeure un produit sans grand intérêt pour les consommateurs, et cela tant qu’il ne sera pas gratuit et totalement indépendant des banques.» Fin 2004, le nombre de cartes Monéo a baissé de 1,3 en février à 1,2 million de cartes. En 5 le Crédit Agricole, la BNP (28,5 % chacun), les Banques Populaires, le Crédit Lyonnais, le Crédit Mutuel (10 %), le CCF (7 %) et le CIC (6 %) 6 L’Union fédérale des consommateurs (UFC-Que Choisir) 132 Chapitre 8 février, Monéo annonçait 44 millions de paiements et 120 000 commerçants affiliés. On est encore loin des 35 millions de cartes visés et de 45 millions de cartes bleues. Techniquement, Monéo utilise l’algorithme de chiffrage triple DES pour valider les cartes, probablement suivant le même principe de défi que les cartes bleues mais avec une clé plus longue. Le SCSSI a certifié les composants de Monéo. Pour des raisons de simplicité et de rapidité lors du paiement seule la vérification de l’authenticité de la carte est faite. Aucune vérification n’est faite pour vérifier que le porteur est bien le propriétaire de la carte. Il n’y a pas de code à taper. Monéo n’a pour l’instant aucune vocation à être porté sur Internet pour permettre d’effectuer des micro-paiements. 8.3.2 La carte radio L’un des inconvénients de la carte à puce est le besoin d’avoir un lecteur et d’y insérer la carte pour effectuer une transaction. Ces lecteurs coûtent chers et la transaction est plus lente que s’il suffisait de passer sa carte à proximité du lecteur. La carte radio7 répond à ces 2 problèmatiques : – un peu d’electronique suffit pour être un lecteur8 , assez peu pour pouvoir être intégré dans un téléphone mobile, un PDA et bien sûr un ordinateur, – la communication radio se fait sans contact, rapidement et simplement. L’application la plus connue de telles cartes en France concerne les cartes Navigo utilisées par la RATP dans le métro parisien. La technologie des cartes radio peut aussi être intégrée dans les téléphones mobiles, les PDA et pemettre ainsi la fusion de ces appareils et du porte monnaie en attendant le porte clé, la carte d’indentité... La norme NFC (Near Field Technology) Comme pour la communication filaire, il existe une infinité de façon de communiquer via les ondes. Comme pour la communication filaire, il n’y a pas d’interconnexion sans norme, aussi trois acteurs majeurs, Nokia, Philips et Sony ont développé une norme pour les cartes radio, la Near Field Technology qui permet : – une connexion seulement à courte distance sur 13.56 MHz (moins de 20 cm) qui garantie la connexion volontaire9 – le transfert de données à 106, 212 ou 424 kbit/s, – une communication active ou passive suivant qu’on désire utiliser sa propre énergie ou celle de l’autre appareil (au moins un des deux doit être actif), 7 la carte puise son énergie pour communiquer avec le lecteur dans le champ électromagnétique généré ce dernier. Ce système rend la carte plus chère qu’une carte à puce. 8 la puce NFC devrait coûter quelques dizaines de cents 9 enfin normalement... Le paiement électronique 133 – un système d’amorçage permettant de s’authentifier puis rediriger la communication radio vers le Bluetooth ou le Wifi (d’autres protocoles radio au débit plus important) Une extension de cette norme, la Secure NFC, ajoute par dessus la NFC un système d’authentification basé sur la cryptographie. Parmi les utilisations de cette technologie, citons : – la carte à tout faire FeliCa développée et commercialisée par NTT DoCoMo et Sony au Japon, – la carte de paiement PayPass de MasterCard et Motorola déjà utilisée dans plusieurs états des Etats-Unis, – la solution de Philips et Visa en cours de développement et qui devrait s’intégrer dans tous les téléphones portables d’après leurs auteurs. Plus : Pour la définition de la norme NFC, on se reportera aux documents de l’ECMA : – ECMA-340 Near Field Communication Interface and Protocol (NFCIP-1), – ECMA-352 Near Field Communication Interface and Protocol 2 (NFCIP-2) 8.3.3 Le téléphone mobile Dans le domaine des paiments, les solutions les plus simples peuvent être les bonnes10 , pour peu que le marketing suive. Bouygues Telecom propose ainsi un système très simple d’utilisation de son portable comme système de paiement 11 : 1. le client donne son numéro de portable au vendeur, 2. le vendeur l’entre dans son terminal relié à Bouygues ainsi que le montant de la transaction, 3. Bouygues envoie un SMS sur le portable du client et lui demande de confirmer l’achat en entrant son code secret, 4. le vendeur reçoit la confirmation de la vente et le terminal imprime le ticket. Pour l’instant12 le déploiement de ce système de paiement semble très réduit. 8.3.4 Les micro-paiements logiciels Les micro-paiements logiciels ne sont pas lié à leur support physique. Ils peuvent fonctionner sur tout appareil disposant de capacités de calculs comme un ordinateur, un ordinateur de poche ou encore un téléphone portable ce qui les rend de plus en plus attrayant avec la démocratisation de ces appareils. Ils permettent naturellement la portabilité de la monnaie. 10 On verra comment PayPal a gagné le marché des micro-paiements avec une solution toute simple pour plus d’information, cf http ://www.paiementsurmobile.com/ 12 fin 2004 11 134 Chapitre 8 Cela étant ils restent encore très marginaux même si la technologie a été mise au point dès 1993 par David Chaum créateur de la société DigiCash. En Europe, il n’existait toujours pas de cas concret de leur utilisation fin juin 2000, et il est trop tôt pour savoir si la tentative13 de la Deutsche Bank 24 avec le produit d’eCash Technologie basé sur la technologie de DigiCash sera la bonne. Seul PayPal, basé sur une autre technique et visant essentiellement le marché de la vente d’occasion, semble être un succès. Les pièces à la DigiCash La technique mise en œuvre repose principalement sur les algorithmes de cryptographie à clé asymétrique et de cryptographie aveugle pour éviter 1. la création de fausses pièces ; 2. l’espionnage des transactions d’un client par sa banque. Fig. 8.5 – Créations “anonyme” de pièces eCash L’étape cruciale est la création des pièces qui doit garantir qu’il s’agit de véritables pièces sans que la banque puisse savoir à qui elles appartiennent. Pour cela Alice crée une pièce vierge avec un numéro de pièce unique qu’elle cache dans une enveloppe avant de l’envoyer à sa banque en lui demandant de donner à cette pièce une valeur déterminée. Sa banque marque la pièce de la valeur désirée et garantit son authenticité avec un message basé sur la clé privée de la banque sans ouvrir l’enveloppe. Elle renvoie le tout à Alice qui extrait la pièce marquée et la range dans son ordinateur. Fig. 8.6 – Bob vérifie les pièces d’Alice auprès de la banque d’Alice Pour éviter la duplication de pièces, la personne qui recevra la pièce d’Alice, Bob, devra immédiatement l’envoyer à sa banque qui enregistrera le numéro de la pièce et donc verra 13 cf l’annonce du 11 septembre 2000, http ://www.digicash.com/pressroom/press/Release081100.asp. 135 Le paiement électronique immédiatement si une seconde pièce avec le même numéro est déposée. L’inconvénient de cette méthode est bien sûr l’obligation de devoir être connecté à sa banque pour recevoir de l’argent. Bien sûr, Bob peut demander à la banque d’Alice des pièces neuves de la même somme ou demander un virement sur son compte. Enfin pour garantir que la banque ne surveille pas ses clients, il est important qu’elle ne glisse pas un mouchard lorsqu’elle marque les pièces vierges qui lui sont envoyées. C’est techniquement possible mais la seule façon de pouvoir le vérifier est de connaı̂tre précisément l’algorithme utilisé par la banque afin de pouvoir écrire des programmes qui vérifient l’absence de tels mouchards. L’explication mathématique L’exemple suivant de monnaie électronique respectant le schéma indiqué ci-dessus est présenté par Lucre. La banque crée et rend public (g, p, g k mod p) avec : – p premier, – (p − 1)/2 premier, – g tel que g 2 mod p 6= 1 et g (p−1)/2 mod p = 1 (ces conditions sont nécessaires pour protéger la clé privée k de la banque), crée et conserve k, sa clé privée, avec k ∈ [0, (p − 1)/2[. Alice veut créer une pièce. Pour cela elle génère un nombre x qui correspond à sa pièce. Elle calcule avec une fonction pratiquement non inversible oneway, y = oneway(x) Cette fonction est telle que y (p−1)/2 mod p = 1. Il s’agit maintenant pour Alice de faire valider cette pièce sans que sa banque ne puisse savoir ultérieurement que cette pièce a été générée par Alice. Pour cela Alice cache la pièce à l’aide de b ∈ [0, (p − 1)/2[ en envoyant à la banque y g b . La banque certifie la pièce en la marquant de sa clé privée : m = (y g b )k mod p Il ne reste plus14 pour Alice qu’à décoder m pour avoir la signature de la pièce x : m (g k mod p)−b = 14 ((y k mod p) (g bk mod p)) mod p = y k mod p = z g bk mod p en se souvenant que (a b) mod p = ((a mod p)(b mod p)) mod p 136 Chapitre 8 La pièce validée est (x, z). Alice paie Bob avec sa pièce (x, z). Bob fait suivre la pièce à la banque d’Alice pour être sûr de l’authenticité de la pièce. La banque doit simplement vérifier à l’aide de sa clé privée que z = oneway(x)k mod p L’attaque par la Banque Avec le schéma proposé, la banque peut savoir lorsqu’elle reçoit la pièce de Bob qu’il s’agit de la pièce d’Alice. Il lui suffit pour cela de tricher et de chiffrer m avec k 0 . Dans ce cas, Alice aura pour valeur de z : 0 0 0 z = (y g b )k g −bk = y k g b(k −k) mod p Et lors de la vérification, la banque calcule : 0 0 oneway(x) (z oneway(x)−k )1/(k −k) = y g b mod p ce qui lui permet de savoir à qui était cette pièce en regardant dans ses archives qui lui a envoyé y g b . Une parade à cette attaque consiste à mieux cacher y lors de la demande de validation de la pièce créée auprès de la banque. Prenons des valeur by et bg et envoyons à la banque y by g bg . Si la banque signe avec k, on retrouve z = y k mod p à l’aide de la formule basée sur l’information publique g k : z = (m (g k )−bg )1/by Si la banque triche et renvoie m signé avec k 0 : 0 m = (y by g bg )k mod p Alors la signature z de la pièce d’Alice sera : z = (m (g k )−bg )1/by by bg k0 = ((y g ) g = (y k0 by k0 = y g g (8.1) −kbg 1/by ) (k0 −k)bg 1/by (k0 −k)bg /by (8.2) ) (8.3) mod p (8.4) Ce que la banque ne pourra jamais vérifier car elle ne connaı̂tra jamais bg /by . Elle devra refuser les pièces d’Alice ce qui va se voir... Le paiement électronique 137 La création de fausses pièces serait possible si Alice pouvait ne pas utiliser la fonction oneway et envoyer x g b car alors elle pourrait faire de fausses signatures. C’est la raison de la présence de cette fonction. La création de vrais pièces d’un faux montant est possible si la banque n’a pas de moyen de vérifier que la pièce qu’Alice fait signer est bien de 1 ¤ lorsqu’Alice annonce qu’elle est d’1 ¤. Une solution pour la banque est d’avoir autant de clé privée qu’elle offre de valeur de pièce. Ainsi lorsque Bob lui donnera (x, z) en indiquant que cela vaut 10 ¤, la banque utilisera sa clé privée 10 ¤ pour vérifier que z correspond à x. PayPal PayPal est une réponse simple au problème compliqué du micro-paiement sur Internet. On oublie la monnaie électronique et on fait des virements de compte vers compte. Pour simplifier encore le processus, PayPal propose à ses membres de payer un ami simplement en lui envoyant un mail indiquant à ce dernier que son argent l’attend chez PayPal. L’ami n’a plus qu’à ouvrir un compte chez PayPal quitte à demander un versement sur son compte bancaire. Il peut aussi décider de le garder pour effectuer des transactions sur Internet. Ce principe simple existe dans différentes banques qui proposent à leur clients d’effectuer des virements interbancaires gratuitement via Internet. Mais PayPal à introduit le système et surtout évite aux utilisateurs d’avoir à connaı̂tre les coordonnées bancaires de leur créditeur. Cela lui a permit d’occuper la place de leader et d’être ce que les investisseurs appelle un gorille dans son secteur. Le seconde arme commerciale de PayPal est de profiter de son statut de numéro 1 du petit paiement en ligne pour pousser les commerçants à utiliser le moyen de paiement PayPal. Les commerçants y gagnent un nombre potentiellement important de clients et PayPal de nouveaux clients désireux d’acheter chez ses commerçants. Aujourd’hui15 PayPal revendique plus de 63 millions d’utilisateurs à travers 45 pays et permet l’utilisation de 6 monnaies dont l’euro. Ce mode de paiement est devenu dès 2001 le principal mode de paiement sur le site de vente aux enchère E-Bay, lequel a acheté la société PayPal pour 1,5 milliard de dollars environ durant l’été 2002. Les revenus de PayPal qui prend une commission moyenne de 3.3%16 sur les transactions, sont en constante progression, de 8.8 millions de dollars au dernier trimestre 2000, à 40.4 millions pour le dernier trimestre 2001 et plus de 60 millions pour celui de 2002. Avant le rachat par E-Bay, les revenus su second trimestre 2002 de PayPal étaient d’environ 53 millions de dollars et ceux d’E-Bay de 266 millions de dollars. Mais ce moyen de paiement a aussi ses problèmes de fraude voire des trous de sécurité. Pour s’en protéger, outre un contrat qui les dédouane de tout et le fait qu’ils ne sont pas une banque et n’en n’ont donc pas les obligations liées, PayPal applique une politique agressive 15 16 mars 2005 cf la présentation de PayPal au forum sur la monnaie numérique 2002 à Londres 138 Chapitre 8 de blocage de compte. Pour s’en convaincre il suffit de taper le mot PayPal dans le moteur de recherche Google. La 2e, 3e et 5e réponses sont des sites qui se plaignent de la façon qu’à PayPal de geler les comptes de leur clients sans avertissement, sans raison valable et surtout de la difficulté de pouvoir faire entendre son point de vue voire simplement d’obtenir un interlocuteur. 8.4 Les macro-paiements Les macro-paiements, qui visent des sommes plus importantes que celles des micro-paiements, ont l’avantage de pouvoir imposer des contraintes qui seront plus facilement acceptées. Ainsi on peut accepter que ces paiements ne se fassent que connectés à un réseau informatique, Internet en l’occurrence. Actuellement ces paiements passent par l’usage de la carte bleue mais avec une sécurité relativement faible. En effet, outre la possibilité d’interception, le principe de la sécurité repose sur l’honnêteté du vendeur qui actuellement connaı̂t assez d’informations bancaires sur son clients, le numéro de la carte et sa date d’expiration, pour faire de faux achats. Pour limiter ces risques, un nouveau système doit être mis en place garantissant au client que le vendeur ni personne n’aura assez d’informations pour utiliser sa carte. 8.4.1 SET Si comme pour les micro-paiements plusieurs systèmes de télépaiement ont été développés, il ne reste aujourd’hui que SET, Secure Electronic Transaction, résultat de la fusion de divers projet et de l’union des grandes sociétés du domaine comme Visa, MasterCard, CyberCash, Netscape, IBM, Microsoft et DigiCash. Ce système est aussi soutenu par l’Europe et le fait qu’il soit un protocole ouvert garanti sa pérennité et sa possibilité d’universalité. Le fonctionnement de SET fait intervenir en plus du client, de sa banque et du vendeur, une autorité de certification pour valider l’identité des partenaires et une passerelle de paiement qui centralise les demandes de paiement SET de la part des vendeurs pour décrypter l’identité bancaire du client et faire la demande à sa banque. Ce dernier partenaire permet d’éviter que le vendeur puisse connaı̂tre les coordonnées bancaires du client. Pour le client SET garantit sa vie privée vis-à-vis de sa banque en cachant le contenu de la commande et vis-à-vis du marchand en cachant l’identité de sa banque (cf le schéma ci-dessous). 139 Le paiement électronique Banque du client 5 − vérification de la cohérence entre 6 − demande d’autorisation la demande & IP Centre de paiement (cp) 7 − réponse Tiers de confiance 4− demande autorisation + [IP]_cp 1 − demande d’authentification Client 8− réponse + bon de vente 10 − demande de paiement avec bon de vente 2 − prouve son identité Marchand 3 − envoi Commande + [InstructionPaiement]_cp 9 − réponse achat ok Fig. 8.7 – Fonctionnement de SET Les vérifications auprès du tiers de confiance sont faites lors de la réception de chaque message pour en vérifier l’auteur Les spécifications de SET précisent chaque étape de la procédure (les spécifications “Business” sont assez précises pour comprendre en détail les différentes procédures). En France l’application la plus important de SET a été menée par le GIE Carte Bleue qui à travers sa société Cyber-COMM a promu ce système de paiement, d’autant plus intéressant pour le GIE que 60% des plaintes des porteurs de Cartes Bleues sont liées à des achats faits sur Internet. Mais l’aventure de SET semble être finie, la sauce n’ayant pas prise comme l’indique Cyber-COMM sur son site : Au cours de l’année 2000, les grands émetteurs ont commencé à étudier des solutions alternatives à ce protocole qui n’avait pas rencontré le succès escompté aux USA. Enfin, dans le courant de l’année 2001, VISA et MasterCard ont décidé d’abandonner le déploiement de SET. Les lecteurs de cartes à puce conçus et développés par Cyber-COMM ne sont donc plus utilisables actuellement dans le cadre du paiement SET sur Internet. 140 8.5 Chapitre 8 Plus Il existe de nombreux portails et autres sites sur la monnaie électronique dont – le portail de Roy Davies, http ://www.ex.ac.uk/ RDavies/arian/emoney.html – epaynews.com, http ://www.epaynews.com – le ministère des finances présente une analyse de Moneo et des systèmes équivalent à travers le monde, cf http ://www.minefi.gouv.fr/minefi/ministere/documentation/revuesdeweb/moneo.htm Troisième partie La loi de l’Internet 141 143 Internet commence a être assez connu pour ne plus être perçu par les médias comme un repère de hackers17 pédophiles révisionnistes doublé d’une zone de non droit. Bien sûr son caractère sans frontière pose certains problèmes dès lors que les lois varient d’un pays à l’autre, mais cela est aussi vrai pour les radios longues ondes ou les télévisions par satellite. La voix de l’Amérique a arrosé de programmes subversifs bien des pays, les télévisions satellites diffusent des images que la loi iranienne interdit. La nouveauté réside dans la possibilité qu’a chaque citoyen de pouvoir s’exprimer et d’être entendu par l’ensemble de la planète. C’est la première fois depuis la déclaration des droits de l’homme en 1789 que son article 11, «la libre communication des pensées et des opinions est un des droits les plus précieux de l’homme...», peut être pleinement appliqué. Il ne s’agit plus d’un pouvoir réservé aux puissants ni même d’une possibilité technique restreinte aux journalistes ou à des élites pour des raisons politiques ou économiques. Pour une entreprise, le droit de l’Internet est surtout le droit de la publication relatif à la création de sites Web, le droit de la vente, mais aussi les moyens légaux de défense face aux attaques de pirates ou aux spams et autres virus. Il s’agit aussi, pour certaines d’entres elles, de la défense d’une image de marque attaquée par des associations18 . Mc Donalds, Total, Danone, Esso font partie des sociétés ayant eut l’honneur d’avoir des sites associatifs ou d’indépendants dédiées à leur politique. La portée du droit Internet étant transnational, il n’est pas toujours simple de savoir quelles lois de quels pays s’appliquent. Les premiers critères à prendre en compte sont : 1. la nationalité des 2 parties, 2. pour les Français, si une des parties est française, 3. l’existence d’une convention internationnale couvrant le sujet. Dans le cas où les deux parties sont de même nationalité, le droit à appliquer est le droit usuel du pays concerné. Le cas français Pour la justice française, une infraction commise sur son territoire relève de la loi pénale française. Art. 113-2 du code pénal 17 avec au passage une mécompréhension du mot hacker qui est bidouilleur génial et non pirate, lequel est cracker 18 qui ne font que souligner des actions, qu’elles jugent peu glorieuses, de certaines entreprises ! 144 La loi pénale française est applicable aux infractions commises sur le territoire de la République. L’infraction est réputée commise sur le territoire de la République dès lors qu’un de ces faits constitutifs a eu lieu sur ce territoire. La loi française s’applique aussi lorsque l’infraction19 est commise par un Français quelque soit le lieu de l’infraction ainsi qu’en application d’une loi du pays où le Français a commis une infration. Article 113-6 La loi pénale française est applicable à tout crime commis par un Français hors du territoire de la République. Elle est applicable aux délits commis par des Français hors du territoire de la République si les faits sont [aussi] punis par la législation du pays où ils ont été commis. Il est fait application du présent article lors même que le prévenu aurait acquis la nationalité française postérieurement au fait qui lui est imputé. Enfin, la loi française est encore applicable lorsque la victime est française. Article 113-7 La loi pénale française est applicable à tout crime, ainsi qu’à tout délit puni d’emprisonnement, commis par un Français ou par un étranger hors du territoire de la République lorsque la victime est de nationalité française au moment de l’infraction. En Europe La France faisant partie de la Communauté Européenne, les directives de cette dernière s’y applique. Une directive est un acte législatif européen dont les États membres sont destinataires. Une fois cette législation adopte au niveau européen, chaque État membre doit en assurer la transposition efficace dans son système juridique. La directive prescrit un résultat final. La forme et les méthodes d’application sont laisses à l’appréciation de chaque État membre. En principe, une directive prend effet moyennant des mesures nationales d’application (législation nationale). Toutefois, il est possible que, même lorsqu’un État membre n’a pas encore appliqué une directive, certaines des dispositions de celle-ci puissent avoir un effet direct. Cela signifie que, si une directive confère des droits directs aux personnes, des personnes peuvent arguer de la directive devant un juge sans avoir attendre la transposition de cette directive dans la législation nationale. De surcroı̂t, si les personnes estiment avoir subi un préjudice du fait que les autorités nationales n’ont pas transposé la directive correctement, elles peuvent 19 Article 111-1 du Code Pénal : Les infractions pénales sont classées, suivant leur gravité, en crimes, délits et contraventions. 145 être habilitées à engager des poursuites en dommages-intérêts. Ces dommages ne peuvent être obtenus qu’auprès des tribunaux nationaux.20 Les conventions internationnales Il existe un nombre très important de conventions internationnales pouvant s’appliquer à des affaires liées à Internet. Parmi celles-ci citons (cf [dldl98], p.80 entre autres) : – les conventions de Berne et de Genève en matière de droits d’auteur, – la convention internationale de l’Unesco relative aux droits de l’enfant applicable aux affaires de pédophilie, – la convention de Rome traitant de la loi applicable aux obligations contractuelles, – les conventions de Bruxelles et de Lugano sur le tribunal compétent, – la convention de Vienne concernant le contrat de vente de marchandises, – la convension de la Haye relative à la vente internationale d’objets mobiliers. Ces conventions s’appliquent bien sûr aux infractions commises sur Internet. Deux pays, deux lois et pas de convention internationale Lorsque deux lois de deux pays s’opposent, il n’est pas simple de trouver un terrain d’entente. Le cas de la liberté d’expression est probablement le différend le plus classique entre la France et les Etats-Unis sur Internet. La LICRA et l’UEJF contre Yahoo ! La LICRA et l’UEJF ont porté plainte contre Yahoo ! France et Yahoo ! Inc. en mai 2000 pour diffusion d’objets nazis via leur site de vente aux enchères. Concernant le site français, http ://www.yahoo.fr/, la loi française s’applique naturellement et Yahoo ! France a suivi les demandes du tribunal de retirer de son site la possibilité d’atteindre sur son site de tels pages. Par contre les liens entre le site français et le site américain continuaient d’exister, aussi dans le cas où la recherche de l’internaute risquait de l’amener sur une page américaine sera en contradiction avec la loi française, Yahoo ! France avait ajouté l’avertissement suivant : Poursuite de la recherche sur Yahoo ! US Avertissement : en poursuivant votre recherche sur Yahoo ! US, vous pouvez être amené à consulter des sites révisionnistes dont le contenu constitue une infraction à la loi française et dont la consultation, si vous la poursuivez, est passible de sanctions. 20 Extrait d’un guide de la Communauté Européenne. 146 Cet aspect franco-français étant réglé, le procès s’est consacré au problème de la consultation de pages web révisionistes situées sur le serveur américain de Yahoo ! Inc. mais consultables par des Français. Après consultation auprès d’experts, dont Vinton Cerf, qui ont indiqué une solution technique permettant de reconnaitre 70% des français, solution déjà utilisée par Yahoo ! Inc. pour diffuser des publicités en français, le juge Gomez a rejeté l’exception d’incompétence technique soulevée par Yahoo ! Inc. et l’a condamné à appliquer la loi française sur son serveur américain, cf l’ordonnance de référé du 20 novembre 2000. La société Yahoo ! Inc. s’appuyant sur le 1er amendement de la constitution américaine a fait appel auprès de la cour de San Jose en Californie pour retirer l’épée de Damocles qui pesait sur elle, la justice française s’étant donnée le droit de demander à la justice américaine d’appliquer sa peine de 100 000 F d’amende par jour de retard dans la mise en place des filtres demandés, avec effet rétroactif. La justice américaine, sans juger du fond de l’affaire et des différences de cultures et de loi concernant la notion de liberté d’expression, a donné raison à Yahoo ! Inc. en indiquant que la mise en place de tels filtres peu précis serait en effet en contradiction avec le 1er amendement, cf le jugement du tribunal de San Jose. En février 2001, Yahoo ! Inc. a indiqué que pour des raisons commerciales et de publicité, elle demande à ses utilisateurs de ne plus mettre aux enchères de tels objets : it [Yahoo !] does not want to profit from items that glorified or promote hatred. Aujourd’hui il est toujours possible de trouver les objets à la base du procès sur les enchères de Yahoo ! en entrant simplement le mot “nazi” dans le moteur de recherche. Par contre le site de vente aux enchère de Yahoo ! France est fermé et renvoit les internautes vers eBay France. Il est a noter que suite à ce procès, eBay France, comme sa maison mère ne donnaient aucune réponse avec le mot Nazi, alors que le mot était dans la base de donnée. De plus eBay bloquait l’accès lorsqu’on cherche par catégorie, par exemple les objets de la seconde guerre mondiale, et que cela semble en contradiction avec la loi du pays de l’internaute : Dear User : Unfortunately, access to this particular category or item has been blocked due to legal restrictions in your home country. Based on our discussions with concerned government agencies and eBay community members, we have taken these steps to reduce the chance of inappropriate items being displayed. Regrettably, in some cases this policy may prevent users from accessing items that do not violate the law. At this time, we are working on less restrictive alternatives. Please accept our apologies for any inconvenience this may cause you, and we hope you may find other items of interest on eBay. Aujourd’hui il ne semble plus avoir de restriction ! 147 Plus On trouve sur internet de nombreux sites liés au droit dont – le site officiel du journal officiel http ://www.legifrance.gouv.fr avec tous les textes depuis 1991, – le forum des droits sur l’internet http ://www.foruminternet.org, – Le Chêne et le Gland, Droit et Internet, http ://www.canevet.com/, pour des commentaires et des jurisprudences sur les lois relatives à l’Internet, – L’internet Juridique, http ://www.internet-juridique.net/, pour les même raisons. – Le code Celog, http ://www.celog.fr/cpi/ : Celog met à votre disposition un code annoté concernant le droit de l’internet et de l’informatique issu de la base de données Legalis.net. Ce code est enrichi de plus de 1000 décisions jurisprudentielles. Parmi les livres sur le sujet, citons celui de Valérie Sédallian, cf [Séd97], qui offre une photographie de la loi française en 1996, au début de l’Internet grand public. Les Éditions de droit Lefèbvre proposent un ouvrage régulièrement mis à jour : «Informatique Télécoms Internet», cf [Ben01], ainsi que les Editions Législatives qui proposent le «Guide Permanent Droit et Internet», cf [Lég02]. 148 Chapitre 8 Chapitre 9 La liberté d’expression Article 19 de la Déclaration universelle des droits de l´homme Tout individu a droit à la liberté d’opinion et d’expression, ce qui implique le droit de ne pas être inquiété pour ses opinions et celui de chercher, de recevoir et de répandre, sans considérations de frontières, les informations et les idées par quelque moyen d’expression que ce soit. 9.1 La liberté des uns s’arrête... La liberté d’expression varie d’un pays à l’autre. Elle est totale aux États-Unis, 1er amendement de la constitution, elle est limitée au France comme le précise la seconde partie de l’article 11 de la déclaration des droits de l’homme de 1789 : «tout citoyen peut donc parler, écrire, imprimer librement ; sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi.». D’autres pays limitant fortement la liberté d’expression filtrent l’accès à Internet en émission comme en réception pour appliquer leur loi. Les sujets interdits en France sont principalement : – – – – – l’apologie du racisme, le révisionnisme (nier la shoah), l’atteinte à la personnalité (outrage, propos choquants...) l’atteinte à la vie privées (données, photos -droit à l’image-...) l’atteinte aux entreprises (droit des marques, de la concurrence) La loi Gayssot, très contestée car permettant aux révisionnistes de se dire victimes d’un complot, et donc qu’“on nous cache quelque chose”, indique : Art 1 - Toute discrimination fondée sur l’appartenance ou la non appartenance à une ethnie, une nation, une race ou une religion est interdite. Modifications de la loi du 29 juillet 1881 sur la liberté de la presse Art. 24 bis. - Seront punis des peines prévues par le sixième alinéa de l’article 24 ceux qui auront contesté, par un des moyens énoncés à l’article 23, 149 150 Chapitre 9 l’existence d’un ou plusieurs crimes contre l’humanité tels qu’ils sont définis par l’article 6 du statut du tribunal militaire international annexé à l’accord de Londres du 8 août 1945 et qui ont été commis soit par les membres d’une organisation déclarée criminelle en application de l’article 9 du-dit statut, soit par une personne reconnue coupable de tels crimes par une juridiction française ou internationale. De fait, la liberté d’expression est totale sur Internet puisqu’autorisée aux États-Unis et donc possible via les États-Unis. Des livres interdits en France y sont téléchargeables. Cette liberté a ses conséquences1 : – les discours de haine sont largement présents ne serait-ce que dans les forums2 , – le sexe est au cœur d’Internet, il est le mot le plus recherché. Il y a tous les types de sexe sur Internet, dont la pédophilie, et visible par tous, dont les enfants, – les groupuscules extrémistes et les sectes y ont un terrain de propagande et de recrutement rêvé, – des informations dangereuses comme la construction de bombes, cf The big book of mischief - the terrorists’handbook, de drogues ou de poisons s’y trouvent, – la diffamation peut s’y répandre très facilement, même lorsqu’elle est condamnée, – les secrets d’États ou industriels sont devenus facilement divulgables. Chantres de la liberté d’expression absolue, même les Américains ont voté en 96 une loi, le Communications Decency Act, CDA, pour empêcher la diffusion d’images pornographique auprès des mineurs. Mais cette loi a été déclarée anticonstitutionnelle en 97 au motif que : Conformément à la tradition en matière constitutionnelle et en l’absence de preuve contraire, nous présumons que la réglementation par les pouvoirs publics du contenu de la liberté de parole est davantage de nature à interférer avec le libre échange d’idées qu’à l’encourager. L’intérêt qu’il y a à encourager la liberté d’expression dans une société démocratique l’emporte sur les avantages théoriques mais non avérés que peut présenter la censure. En 98, le congrès a écrit une autre loi, la ”Child Online Protection Act”, plus réduite dans sa portée puisqu’interdisant les sites commerciaux de mettre à disposition des mineurs du matériel dangereux pour les mineurs. Cette loi n’a pas été cassée par la Cours Suprème mais elle ne semble pas avoir été beaucoup appliquée. 9.2 La loi relative à la liberté de communication La loi 86-1067 du 30 septembre 1986 relative à la liberté de communication, révisée le 2 août 2000, puis en 2004 a été pour sa partie Internet au cœur de nombreux débats. L’article 1 indique : 1 2 cf le riche rapport de Paul Sturges sur La Liberté d’Expression et les Reseaux de Communication cf alt.revisionism La liberté d’expression 151 La communication au public par voie électronique est libre. L’exercice de cette liberté ne peut être limité que dans la mesure requise, d’une part, par le respect de la dignité de la personne humaine, de la liberté et de la propriété d’autrui, du caractère pluraliste de l’expression des courants de pensée et d’opinion et, d’autre part, par la protection de l’enfance et de l’adolescence, par la sauvegarde de l’ordre public, par les besoins de la défense nationale, par les exigences de service public, par les contraintes techniques inhérentes aux moyens de communication, ainsi que par la nécessité, pour les services audiovisuels, de développer la production audiovisuelle. Le chapitre VI du titre II, dispositions relatives aux services de communication en ligne autres que de correspondance privée, concerne la publication de sites web. Il s’agit essentiellement de savoir qui est responsable de quoi parmi les personnes ayant un contrôle sur le site. Si, l’ancienne législation obligeait de déclarer un responsable de la publication par site web, quelque soit le type de site, la révision d’août 2000 a allégé cette lourdeur administrative de l’ère “pré-internetienne” : L’article suivant spécifie les informations qui doivent être rendues publiques suivant le type de site web : Art. 43-10. I. - Les personnes dont l’activité est d’éditer un service de communication en ligne autre que de correspondance privée tiennent à la disposition du public : - s’il s’agit de personnes physiques, leurs nom, prénom et domicile ; - s’il s’agit de personnes morales, leur dénomination ou leur raison sociale et leur siège social ; - le nom du directeur ou du codirecteur de la publication et, le cas échéant, celui du responsable de la rédaction au sens de l’article 93-2 de la loi no 82-652 du 29 juillet 1982 sur la communication audiovisuelle ; - le nom, la dénomination ou la raison sociale et l’adresse du prestataire mentionné à l’article 43-8. II. - Les personnes éditant à titre non professionnel un service de communication en ligne autre que de correspondance privée peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l’adresse du prestataire mentionné à l’article 43-8, sous réserve de lui avoir communiqué les éléments d’identification personnelle prévus au I. Le fameux prestataire de l’article 43-8 est le fournisseur d’accès Internet, FAI. Sa responsabilité de censure est indiquée dans cet article 43-8 qui a connu de nombreuses versions : Art. 43-8. Les personnes physiques ou morales qui assurent, à titre gratuit ou onéreux, le stockage direct et permanent pour mise à disposition du public de signaux, d’écrits, d’images, de sons ou de messages de toute nature accessibles par ces services, ne sont pénalement ou civilement responsables du fait du contenu de ces services que : 152 Chapitre 9 - si, ayant été saisies par une autorité judiciaire, elles n’ont pas agi promptement pour empêcher l’accès à ce contenu ; La loi prévoyait aussi de faire porter la responsabilité de censure aux FAI : -ou si, ayant été saisies par un tiers estimant que le contenu qu’elles hébergent est illicite ou lui cause un préjudice, elles n’ont pas procédé aux diligences appropriées. mais cette disposition a été déclarée non conforme à la Constitution par décision du Conseil constitutionnel n◦ 2000-433 DC du 27 juillet 2000. Les évolutions de cette loi sont présentées sur le site d’IRIS. 9.2.1 La création d’un site Web La loi sur l’audiovisuel de 1986 indiquait que tout service de communication audiovisuelle est soumis à un régime de déclaration préalable. Un site Web entrait donc dans le cadre de cette loi et devait être déclaré au procureur de la République avec le nom de son directeur de la publication. On a vu que cela n’est plus le cas suite à la modification de 2000 qui a simplifié la procédure en reportant l’obligation d’enregistrement des coordonnées du responsable du site Web sur les fournisseurs d’accès. La loi de 1986 n’était de toute évidence pas respectée. La nouvelle loi dans le cas des personnes physiques ou morales qui louent une connexion permanente à Internet ou un hébergement leur évite toute démarche administrative. Par contre elle change radicalement la donne pour les hébergeurs gratuits de sites comme Altern.org3 qui ne pouvant ni ne voulant supporter cette charge a préféré fermer ses 48 000 sites. Elle sera probablement la fin de ce type de service en France. 9.3 Critiques et atteinte à l’image de marque De nombreuses entreprises se font écorner par des sites web de particuliers ou d’associations. Certaines se défendent en attaquant les auteurs des sites ou les intermédiaires techniques devant les tribunaux. Cette tactique peut être gagnante légalement et permettre la fermeture d’un site ou de certaines parties, mais il n’est pas sûr qu’elle soit rentable au niveau de la communication. Certaines personnes y voient une volonté d’arrêter toute critique en instaurant la crainte généralisée de procès, toujours nettement plus douloureux pour un individu que pour une société importante. 3 gratuit et sans publicité. 153 La liberté d’expression Les sociétés attaquent souvent sur ce qu’elles perçoivent comme une attaque contre leur logo ou contre un symbole les représentant. Ainsi La Poste a porté plainte pour atteinte à son image de marque suite à l’illustration de l’affaire du GIE Carte Bleue contre Mr Humpich par une image de carte bleue de la Poste brisée. L’attaque dans ce cas a porté contre l’hébergeur et non contre l’auteur du site, par ailleurs parfaitement connu (voir le site incriminé et la présentation de cette histoire dans le document sur la “corégulation” du député Christian Paul). Fig. 9.1 – Des logos détournés Danone a gagné en 2001 un procès contre le site web www.jeboyecottedanone.net en attaquant sur le détournement de son logo. L’ordonnance de référé rendue le 14 mai 2001 par le juge Gomez indique : ... Attendu, en revanche, que la reproduction sur le site du RÉSEAU, et à l’identique, des marques semi-figuratives DANONE n’est en aucun cas indispensable à la satisfaction de ses objectifs, qui sont de faire connaı̂tre au plus grand nombre les conséquences économiques et sociales des décisions du groupe et d’inciter à un débat et une prise de conscience collectifs ; Attendu que le recours à la reproduction des marques semi-figuratives DANONE excède donc les besoins de la liberté d’expression ; qu’il peut avoir au contraire un effet d’affaiblissement desdites marques pour le plus grand préjudice des salariés du groupe et sans gain avéré pour les salariés concernés par les mesures de fermeture ; Attendu donc que reproduction sans nécessité et sans autorisation constitue bien une contrefaçon ; Qu’il souvient, en conséquence, d’interdire au RÉSEAU VOLTAIRE de faire usage de ces marques semi-figuratives sous astreinte de 1.000 francs par infraction constatée passé un délai de six jours à compter de la notification de la décision, et de le condamner à une indemnité sur le fondement de l’article 700 du Nouveau Code de Procédure Civile ; ... En parallèle à sa demande d’interdiction d’utilisation de son logo détourné, la société Danone a demandé l’interdiction du nom de domaine jeboyecottedanone.net pour détournement de nom de marque et a poursuivi la société GANDI et son gérant à titre personnel pour ne pas avoir accepté de fermer le nom de domaine lorsqu’elle lui a demandé. Le jour du procès, Danone a retiré cette dernière plainte de toute évidence abusive, mais ni la société GANDI, ni son gérant, ne l’ont accepté et la société Danone a été condamnée : 154 Chapitre 9 Attendu que la Société GANDI et Monsieur Valentin LACAMBRE ayant refusé d’acquiescer au désistement de la demanderesse à leur encontre, il peut être constaté comme ces derniers en forment la demande que la procédure a été introduite sens précaution aucune à leur encontre pour obtenir une mesure à laquelle ils n’étaient pas en mesure de satisfaire puisque ni l’un ni l’autre n’étaient l’hébergeur du site jeboycotte.net, et étant observé au surplus, en ce qui concerne la Société GANDI, qu’il n’est pas démontré, ni même allégué sérieusement que cette société aurait outrepassé les termes de sa mission d’enregistrement de noms de domaines conformément au contrat d’accréditation passé avec l’ICANN ni qu’elle ait fourni les moyens permettant la réalisation du délit de contrefaçon ; Attendu qu’en conséquence il y a lieu de débouter la demanderesse de toutes ses demandes à leur encontre et de la condamner à payer à chacun d’eux la somme de 8.000 francs sur le fondement de l’article 700 du Nouveau Code de Procédure Civile ; En 2002, Esso a porté plainte contre Greenpeace pour sa campagne STOP E$$O et obtenu que son logo ne puisse pas être détourné ni que les 2 S de ESSO puissent être des dollars (cf http ://www.stopessofrance.org/ pour la copie du site tel qu’il a été condamné). Par contre, toujours en 2002, Greenpeace n’a pas été condamnée dans un cas fortement similaire de détournement de logo, comme ils l’indiquent dans leur communiqué de presse : Paris, le 2 août 2002 - Dans l’affaire qui opposait Areva à Greenpeace pour l’utilisation détournée du logo A de Areva, le Tribunal de Grande Instance de Paris, qui s’est réuni le vendredi 26 juillet, a rendu un jugement défavorable au lobby nucléaire en déboutant Areva de sa demande. Le juge a déclaré que le litige ne pouvait pas se situer sur le terrain commercial compte tenu des activités de Greenpeace, ”mais sur le terrain de la liberté d’expression, dans le cadre du droit à la critique et à la caricature”. Chapitre 10 Le copyright 10.1 Historique La présentation Free culture de Lawrence Lessig1 retrace, dans sa première partie, l’histoire du copyright. Elle est retranscrite sur http ://www.oreillynet.com/pub/a/policy/2002/08/15/lessig.html. 10.1.1 Aujourd’hui aux Etats-Unis Le site gouvernemental du copyright offre de nombreux documents dont la portée du copyright : Le propriétaire du copyright a le droit exclusif de faire et d’autoriser des tierces personnes de faire – – – – des copies, des créations d’œuvres dérivées, de distribuer l’œuvre en dehors de la sphère privée, de faire des représentations publiques. Et une FAQ avec des réponses à divers points : * What works are protected ? Copyright protects ”original works of authorship” that are fixed in a tangible form of expression. The fixation need not be directly perceptible so long as it may be communicated with the aid of a machine or device. Copyrightable works include the following categories : 1. literary works ; 2. musical works, including any accompanying words 3. dramatic works, including any accompanying music 1 Lawrence Lessig est professeur de droit à l’université de Stanford 155 156 Chapitre 10 4. pantomimes and choreographic works 5. pictorial, graphic, and sculptural works 6. motion pictures and other audiovisual works 7. sound recordings 8. architectural works These categories should be viewed broadly. For example, computer programs and most ”compilations” may be registered as ”literary works” ; maps and architectural plans may be registered as ”pictorial, graphic, and sculptural works.” * How long does copyright last ? The Sonny Bono Copyright Term Extension Act, signed into law on October 27, 1998, amends the provisions concerning duration of copyright protection. Effective immediately, the terms of copyright are generally extended for an additional 20 years. Specific provisions are as follows : * For works created after January 1, 1978, copyright protection will endure for the life of the author plus an additional 70 years. In the case of a joint work, the term lasts for 70 years after the last surviving author’s death. For anonymous and pseudonymous works and works made for hire, the term will be 95 years from the year of first publication or 120 years from the year of creation, whichever expires first ; * For works created but not published or registered before January 1, 1978, the term endures for life of the author plus 70 years, but in no case will expire earlier than December 31, 2002. If the work is published before December 31, 2002, the term will not expire before December 31, 2047 ; * For pre-1978 works still in their original or renewal term of copyright, the total term is extended to 95 years from the date that copyright was originally secured. L’amendement Mickey Mouse permet à Walt Disney d’éviter que la célèbre souris entre dans le domaine publique. 10.2 La copie La copie numérique est parfaite, sans perte d’information. Tant que les données protégées comme la musique ou la vidéo demandaient des supports de taille nettement supérieure aux outils informatiques existant comme pour le CD dans les années 80 ou les films dans les années 90, le problème de la copie numérique n’existait pas. Aujourd’hui les capacités de stockage et les algorithmes de compression permettent la copie des CD comme des DVD. Internet permet de transporter efficacement ces données, surtout pour ce qui concerne la musique, ainsi que d’en organiser la diffusion à l’aide d’un service comme Napster. Ce changement radical de situation et la nette augmentation de la copie qu’il a générée a provoqué la colère des maisons de disque qui sont montées au créneau. Elles ont réussi 157 Le copyright depuis à fermer Napster et à rendre le déchiffrage interdit via le DMCA2 . Toutefois, il n’est pas certains que Napster et les échanges de musique aient réellement pénalisé le marché de la musique. L’éditeur O’Reilly qui subit aussi le piratage des versions numériques de ses livres indique que cela n’influence en rien ses ventes3 : At O’Reilly, we publish many of our books in online form. There are people who take advantage of that fact to redistribute unpaid copies. (The biggest problem, incidentally, is not on file sharing networks, but from copies of our CD Bookshelf product line being put up on public Web servers, or copied wholesale and offered for sale on eBay.) While these pirated copies are annoying, they hardly destroy our business. We’ve found little or no abatement of sales of printed books that are also available for sale online. Il semble même que la copie et la diffusion qu’elle génère offre une véritable chance d’être connu pour la grande majorité des artistes. Elle permet à des musiques en dehors des hit parades d’exister, de faire leur trou doucement. Il n’est pas exclu que les musiciens arrivent un jour à mettre en place un autre système économique permettant la copie de leur musique et basé sur les revenus des concerts, des radiodiffusions, de la télévision... Fig. 10.1 – Napster et les maisons de disque source : User Friendly La réponse française au phénomène de la copie numérique de musique a été la même que pour celle des cassette audio, à savoir la mise en place d’une taxe sur les CD vierges, taxe devant être reversée aux auteurs. Des taquins, comme il en existe partout, font remarquer que cette taxe de 4 F sur les CD vierges est du même ordre de grandeur que ce que gagnent les musiciens peu connus par CD vendu. Cela légitime-t-il la copie des CD musicaux ? D’autres, ou les mêmes, font remarquer que l’on paye cette même taxe lorsqu’on utilise en CD en tant que support de sauvegarde. 2 cf ci-dessous cf son article Piracy is Progressive Taxation, and Other Thoughts on the Evolution of Online Distribution 3 158 Chapitre 10 Les CD n’étant pas le seul support numérique pouvant être utilisé pour copier de la musique, certaines personnes désireraient étendre la taxe à tous les supports numériques y compris aux ordinateurs. Depuis cet été 2002, cette taxe concerne aussi les disques durs inclus dans certains décodeurs TV numériques ou baladeurs, mais elle ne touche pas les disques durs des ordinateurs. Prudent, le président de la commission en charge de réglementer la portée de cette taxe indique à propos de la possibilité de taxer les disques durs que «la fixation d’une telle rémunération excède le rôle de la commission». Aux Etats-Unis, le Digital Millennium Copyright Act Sec. 1201. Circumvention of copyright protection systems (2) No person shall manufacture, import, offer to the public, provide, or otherwise traffic in any technology, product, service, device, component, or part thereof, that– (A) is primarily designed or produced for the purpose of circumventing a technological measure that effectively controls access to a work protected under this title ; ... Cet extrait est au cœur de protestations mais l’ensemble de la loi est contesté pour ses effets pervers. Dmitry Sklyarov, un cryptographe russe, a été la première victime du DMCA. Il a développé pour sa société russe un traducteur du format eBook d’Adobe vers PDF. Pour cela, il a dû casser les protections du format eBook ce qui était facile. En juillet 2001, Dmitry Sklyarov a présenté lors d’une conférence les faiblesses du système de protection de l’eBook. Il a été arrêté ensuite à son hôtel pour avoir développé un outil permettant de violer les lois du copyright malgré le fait que son traducteur ne fonctionne qu’avec des eLivres dûment achetés. Ce cas, toujours pas jugé, a déjà valu à son personnage principal plusieurs semaines de prison et 5 mois d’interdiction de quitter l’État de Californie avant d’être relaché sous conditions. Le professeur Ed Felten de Princeton s’est vu de son côté menacé de poursuite s’il présentait ses travaux sur les faiblesses de système d’encodage. Le système de décodage des DVD de Linux, DeCSS, indispensable pour pouvoir lire un DVD, a valu à une centaine de personnes d’être poursuivies pour l’avoir diffusé. Le DMCA touche aussi les intermédiaires techniques4 que sont les opérateurs du réseau, les FAI et hébergeurs. En pratique les hébergeurs sont les plus touchés : ils doivent fermer un site lorsqu’une personne indique que le dit site viole son droit d’auteur. L’auteur doit 4 cf l’article de Valérie Sédallian Le copyright 159 ensuite porter plainte contre le responsable du site web sinon le site doit être réouvert au bout de 14 jours. Une autre victime de cette loi est le site norvégien http ://www.xenu.net/ dénonçant la secte scientologique. Ce site s’est vu privé de référencement par Google, la secte faisant valoir la violation de son copyright. Bien sûr le responsable norvégien du site ne désire pas aller au Etats-Unis défendre son cas contre la secte. Google a remis ensuite la page d’accueil du site dans ces référencements, la page n’ayant pas de texte violant le copyright. Le site est en 2e réponse lorsqu’on interroge Google avec le mot “Scientology”. Une version française du DMCA La Directive 2001/29/CE du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information, est à la source de discussion sur ce qu’on appelle déjà le DMCA Français. La question est comment appliquer son article 6 qui demande de sanctionner les actes de contournement des mesures techniques de protection en tenant compte de l’existant juridique français et en utilisant la marge de manœuvre qu’offre l’article 5 permettant aux états de mettre en place des exceptions et limitations. L’exemple de la taxe sur les CD vierges montre le problème. Si la copie de CD est considérée comme un contournement, elle devient interdite et alors la taxe sur les CD vierge doit disparaitre en toute logique. Les différents camps cherchent à profiter de l’occasion de la transcription de cette directive pour aller dans leur sens. Certaines entreprises aimeraient aller vers le DMCA, les associations désirent en eviter les aspects néfastes. L’association April demande ainsi que la future loi sur la contrefaçon – – – – réaffirme le droit à l’interopérabilité entre les programmes informatiques ; préserve explicitement la liberté de la recherche ; transforme le régime d’exception de copie privée en un régime de droit à la copie privée ; garantisse le domaine public de manière à interdire son appropriation par le biais de mesures techniques. EUCD.INFO de son coté souligne que le droit français dispose déjà d’un arselnal jurisdique important qui de fait transpose déjà la directive. Elle considère donc inopportune une nouvelle loi. Pour plus de détail, on pourra regarder un dossier sur le sujet présenté par site Planète Libre, avec en particulier la version du 5 décembre 2002 du projet de loi. 160 Chapitre 10 Fig. 10.2 – Environnement juridique des mesures techniques de protection cf document de l’EUCD.INFO 10.3 Les noms de domaine Les noms de domaine ont été à la source de nombreux procès et de grosses transactions financières. Aujourd’hui le milieu du nom de domaine5 s’est assagi grâce aux nouvelles règles de l’ICANN ainsi qu’aux diverses jurisprudences existantes maintenant. Le cas le plus courant de litige concerne le “vol” d’un nom de marque, cf la fiche du Forum Internet : Le fait d’intégrer, avec ou sans intention rémunératrice, le nom d’une entreprise ou de sa marque dans votre adresse internet peut constituer une contrefaçon et/ou des agissements parasitaires susceptibles d’engager votre responsabilité civile. La contrefaçon de marque est également un délit puni, aux termes de l’article L. 716-9 du Code de la propriété intellectuelle, de deux ans d’emprisonnement et de 1 000 000 F d’amende. De même, la reproduction du nom d’une personne célèbre peut contrevenir aux droits qu’elle possède tant sur son nom patronymique que sur une marque qu’elle aurait déposée. Ainsi, avant même d’enregistrer votre nom de domaine (en .com, .net, .org, .fr ou autres) ou de créer un nouveau dossier au sein de votre site reproduisant ces noms, vérifiez auprès de leurs titulaires qu’ils vous autorisent bien à vous en servir. Sachez que des vérifications sont effectuées par l’AFNIC pour l’enregistrement de votre nom de domaine en « .fr ». Pour fins de preuve, veillez à vous ménager un écrit déterminant précisément l’usage pour lequel les titulaires vous ont donné leur accord. De surcroı̂t, vous ne pouvez 5 à propos des noms de domaine, lire l’article de Laurent Chemla «Confessions d’un voleur», http ://www.chemla.org/textes/voleur.html Le copyright 161 contourner l’obstacle en reproduisant un nom orthographié différemment de celle d’une marque notoire. Le Tribunal de grande instance de Nanterre a, par exemple, décidé que l’enregistrement du nom de domaine « lankom.com » et « lankome.com » constituait une contrefaçon de la marque « Lancôme ». Bien sûr, il est possible de réserver pasteur.net si l’on s’appelle Pasteur et cela même s’il existe un Mr Pasteur célèbre et si un institut célèbre porte toujours son nom. 10.4 Les brevets L’Organisation Mondiale de la Propriété Intellectuelle, l’OMPI, défend la propriété intellectuelle. Elle souligne dans sa Déclaration Mondiale sur la Propriété Intellectuelle : Les droits de propriété intellectuelle sont un élément essentiel et indissociable des mesures visant à relever le défi fondamental du développement pour tous qui, à la fin du XXe siècle, vient au premier rang des responsabilités d’importance universelle de l’humanité. Cette organisation indique dans sa FAQ ce que sont les brevets et quelle est leur portée : Quelle forme de protection offre le brevet ? La protection par brevet signifie que l’invention ne peut être réalisée, utilisée, distribuée ou vendue commercialement sans le consentement du titulaire du brevet. Les droits de brevet sont normalement sanctionnés par une action devant les tribunaux qui, dans la plupart des systèmes, ont compétence pour faire cesser les atteintes aux brevets. En même temps, les tribunaux peuvent aussi déclarer nul un brevet contesté par un tiers. Quelles sortes d’inventions peut-on faire protéger ? L’invention doit, de manière générale, satisfaire aux critères suivants pour pouvoir être protégée par un brevet. Elle doit avoir une utilité pratique, comporter un élément de nouveauté, c’est-à-dire une caractéristique nouvelle qui ne fait pas partie du fonds de connaissances existantes dans le domaine technique considéré : ce fonds de connaissances existantes est désigné par l’expression ”État de la technique”. L’invention doit aussi impliquer une activité inventive c’est-à-dire qu’elle ne doit pas être évidente pour une personne ayant une connaissance moyenne du domaine technique considéré. Enfin, son objet doit être ”brevetable” selon la loi. Dans de nombreux pays, les théories scientifiques, les méthodes mathématiques, les variétés végétales ou animales, les découvertes de substances naturelles, les méthodes commerciales et les méthodes de traitement médical (par opposition aux produits médicaux) sont exclues de la protection par brevet. 162 Michel Rocard ferraille contre le brevet logiciel LE MONDE du 17.02.05 Le député européen s’est fortement impliqué dans ce débat juridique très technique. Il dénonce les pressions que les grands groupes informatiques exercent sur la Commission. Une directive trop laxiste pourrait stériliser la création de programmes en Europe et entraver la circulation des idées. La conférence des présidents de groupe du Parlement européen devait transmettre officiellement à la Commission, jeudi 17 février, une demande de réouverture du débat en première lecture d’un projet de directive très controversé sur la brevetabilité des logiciels. L’ancien premier ministre Michel Rocard, député européen et rapporteur à la commission des affaires juridiques du Parlement, est à l’origine de cette initiative. Il explique les enjeux ”immenses” liés à la brevetabilité des ”inventions mises en œuvre par ordinateur” et raconte trois ans de luttes dans les instances de l’Union européenne. Pourquoi la directive européenne sur la brevetabilité des logiciels - ou des ”inventions mises en œuvre par ordinateur” - est-elle, depuis si longtemps, l’objet d’autant de polémiques ? Il y a autant de polémiques parce que les intérêts en jeu sont immenses. Je n’ai aucun moyen de vérifier ces chiffres, mais on nous dit que, sur le continent européen, l’enjeu - selon que la brevetabilité est généralisée à tous les logiciels ou qu’elle est restreinte - se situerait entre 35 et 40 milliards de dollars par an de redevances. Qu’une idée ne soit pas brevetable n’est contesté par personne. Qu’il s’agisse d’une suite de mots, d’un accord de musique ou d’un algorithme. Einstein est crédité d’avoir dit : ”Une formule mathématique n’est pas brevetable.” Or qu’est-ce qu’un logiciel ? C’est un ensemble de formules mathématiques corrélées qui guide le fonctionnement d’un ordinateur. Il n’est donc pas brevetable en tant que tel. Pourtant, l’objectif de la Commission européenne est bien de le rendre brevetable. L’article 52 de la Convention européenne sur les brevets de 1972 dit en substance que les logiciels ne sont pas brevetables. Pourtant, l’Office européen des brevets (OEB), rémunéré grâce aux redevances, en a accordé une trentaine de milliers sur des logiciels depuis moins d’une dizaine d’années. Aux Etats-Unis, il existe des lois générales sur le brevet, mais rien de spécifique aux inventions mises en œuvre par ordinateur. Il existerait aujourd’hui quelque 200 000 brevets américains sur des logiciels. Une demi-douzaine de plaintes ont été déposées devant la Cour suprême pour viol de la Constitution pour entrave à la liberté de circulation des idées - ce qui est pénalement terrifiant. La Cour suprême n’a pas encore rendu d’arrêt et la rumeur veut qu’elle attende la jurisprudence européenne. Aujourd’hui, comment la jurisprudence définitelle les limites de la brevetabilité ? Ce qui est brevetable, c’est ce qui a un caractère technique. Mais qu’est-ce qui justifie le caractère technique ? Et la réponse jurisprudientielle généralement reçue, c’est ”l’emploi de moyens techniques” Nous sommes dans une absolue tautologie. Or les tribunaux considèrent ”technique” ce qui est compliqué. Du coup, il n’y a plus de limites. Un logiciel qui sert de cas d’école, c’est celui qui pilote le freinage ABS. Il est évident que la mise au point de ce logiciel exige un aller-retour entre les formules mathématiques et l’expérience... Et que cela a exigé de l’énergie, de l’outillage, etc. A l’évidence, la brevetabilité est nécessaire pour en permettre la rémunération. En revanche, dans le cas de ces logiciels qui servent à guider la main du chirurgien dans certaines interventions, il est clair qu’ils ne relèvent que d’un traitement logique de gestion des obstacles et que le coût de production d’un tel logiciel est nul. Où en sont les débats sur ce sujet dans les instances de l’Union européenne ? Chapitre 10 La démarche initiale de la Commission, début 2002, visait à ”mettre de l’ordre dans un champ légal chaotique”. Cependant, le texte ne contenait aucune disposition juridique pour établir la ligne rouge entre le brevetable et le non-brevetable. Le Parlement s’est saisi de ce texte en première lecture. Nous avons proposé des amendements visant à ne laisser breveter que les logiciels dont la mise au point implique l’usage des ”forces de la nature”. Sans cela, pas de brevetabilité. Ce concept définit un champ restreint qui devrait permettre de breveter de 15 % à 20 % des logiciels aujourd’hui produits. Le vote du Parlement, le 24 septembre 2003, a adopté ces amendements par 361 voix pour, 157 contre et 28 abstentions. Cela a mis la Commission en fureur et a déclenché une tornade de courriels émanant d’une quinzaine de grands groupes dont Microsoft est le chef de file. Des entreprises américaines auraient exercé des pressions ? Pas seulement américaines ! Nokia et Alcatel, par exemple, sont largement impliquées. Elles ont réussi à convaincre la Commission de reprendre le problème et de relancer l’offensive. Nous avions d’ailleurs appris au passage que, pour mettre au point le premier projet de directive, la Commission européenne s’était attaché les travaux d’experts extérieurs parce que c’était un problème assez nouveau pour elle. Or plusieurs de ces experts extérieurs venaient de Microsoft et d’autres firmes informatiques. Il n’y a pas de fumée sans feu. Tout cela ne pas fait très joli dans le tableau... Nous n’avons jamais pu parler un langage commun avec les représentants des grands groupes que nous avons rencontrés - et notamment ceux de Microsoft. Leur parler de libre circulation des idées, de liberté d’accès au savoir, c’est leur parler chinois. Dans leur système de pensée, tout ce qui est ôté au champ du profit immédiat cesse d’être un moteur pour la croissance. Ils ne semblent pas pouvoir comprendre qu’une invention qui n’est qu’un pur produit de l’esprit ne peut être brevetable. C’est tout simplement terrifiant. Beaucoup d’entre nous, au Parlement, conviennent que jamais ils n’ont eu à subir une telle pression et une telle violence verbale au cours de leur travail parlementaire. C’est une énorme affaire. Quel a été le résultat de ces pressions ? Le 18 mai 2004, la Commission saisit le conseil des ministres d’un nouveau texte porteur d’une conception encore plus extensive de la brevetabilité que le premier. La contre-offensive est d’une brutalité inouı̈e. Le conseil des ministres de l’industrie a délibéré très vite, en à peine une heure trente. Et ne fait aucune référence aux amendements votés en 2003. Du coup, ce nouveau projet, durci, est adopté dans le principe. Pour l’adopter formellement, en droit, il y a une procédure expéditive qui est l’”inscription en point A” à un conseil des ministres. Dans ce cas, le conseil se prononce sans discussion. Les présidences irlandaise et néerlandaise nous ont fait trois fois le coup du point A, dont deux fois lors du conseil des ministres de l’agriculture, consacré à la pêche ! C’est simplement scandaleux. A chaque fois l’adoption formelle du texte a été évitée de justesse, grâce aux interventions de la Pologne. Quant à la France, elle se tait. Jacques Chirac s’était prononcé contre la brevetabilité extensive des logiciels pendant la campagne présidentielle. Mais le ministre de l’industrie, Patrick Devedjian, présent au conseil des ministres du 18 mai 2004, ne s’est pas élevé contre le texte. Le 2 février, la commission des affaires juridiques du Parlement a été auditionnée par le nouveau commissaire en charge du dossier, Charlie McCreevy. Nous avons demandé à la présidence du Parlement de requérir un nouveau débat sur le texte pour que nous puissions établir une nouvelle version en première lecture. Nous en sommes là. Propos recueillis par Michel Alberganti et Stéphane Foucart Tab. 10.1 – Michel Rocard ferraille contre le brevet logiciel, LE MONDE du 17.02.05 Le copyright 10.4.1 163 Le brevet logiciel La limite entre le copyright et le brevet est liée à l’abstraction de la découverte. On considère que les brevets touchent ce qui est matériel, une invention technique, quand le droit d’auteur est lié à l’immatériel, une œuvre littéraire par exemple. Toute la difficulté se trouve pour les découvertes se situant entre les deux. Concernant les logiciel, «le droit d’auteur s’attache à l’expression, au code vu comme un langage ou un texte, dont l’ensemble des éléments sera protégé contre la reproduction ; le brevet va davantage s’attacher aux fonctions que remplit l’invention et aux résultats qu’elle permet d’atteindre, et en protégera les éléments nouveaux apportant une solution technique.»6 . Le point crucial est de déterminer si en plus du droit d’auteur, il est souhaitable que les logiciels puissent être protégés par un brevet. Les arguments sont d’un coté l’harmonisation avec le reste du monde, la défense des investissements industriels, de l’autre le risque de pénaliser la libre concurrence et notamment la possibilité pour les petites entreprises de concurrencer les entreprises déjà bien établies ainsi que la durée inadaptée des brevets, plus de 10 ans, dans un domaine qui évolue aussi rapidement. La déclaration suivante de Bill Gates sur les brevets logiciels résume la position des personnes contre : If people had understood how patents would be granted when most of today’s ideas were invented and had taken out patents, the industry would be at a complete standstill today. Ce à quoi il a ajouté : The solution is patenting as much as we can. A future startup with no patents of its own will be forced to pay whatever price the giants choose to impose. That price might be high. Established companies have an interest in excluding future competitors. L’alliance EuroLinux souligne les abus que peuvent donner cette situation à travers des exemples. Brevets sur des techniques logicielles Quelques exemples de brevets américains sur des techniques logicielles évidentes telles que «utiliser des instructions vides pour ralentir un processus » ou « faire des corrections sur un document en utilisant deux couleurs différentes ». L’utilisation de la fonction OU exclusive (XOR) pour l’inversion bitmap (US4197590) a été déposée dans au moins 3 pays européens (FR2338531, DE2701891, DE2760260, DE2760261, GB15419) en contournant la loi et disant que : ”la fonction xor est utilisée à l’intérieur d’une invention composée d’un périphérique d’affichage”. 6 cf l’article de Jean-Paul Trialle du 27 février 2002, «Brevets et logiciels : la Commission européenne propose une directive d’harmonisation» 164 Chapitre 10 Cf. http ://www.base.com/software-patents/examples.html Brevets Internet Quelques exemples de brevets attribués par l’USPTO ou l’OEB sur des méthodes évidentes comme le « One-Click », les enchères sur Internet, l’affiliation, la publication d’une base de données sur le Web, ou l’utilisation d’un cache pour le WAP. Cf. http ://www.freepatents.org/examples/ Brevets sur des méthodes éducatives Quelques exemple de brevets sur des méthodes éducatives essentiellement évidentes, qui obligeraient les écoles à payer des droits à des sociétés multinationales pour mettre en œuvre certaines pratiques éducatives basées sur l’utilisation de l’ordinateur. Cf. http ://www.freepatents.org/examples/education.html Pour EuroLinux et l’ensemble des partisans des logiciels libres, la notion de brevet logiciel est aussi une menace de destruction des logiciels libres dont les auteurs n’ont ni le réflexe, ni la volonté et souvent pas les moyens de breveter leur travail. 10.4.2 La situation actuelle en Europe Les conséquences de la brevabilité des logiciels sont importantes. Elles sont considérées comme bloquées pour l’instant par la position de l’Europe qui constitue un trou important dans le dispositif de protection des brevets logiciels au niveau mondial. Sur le plan des textes, la brevetabilité des logiciels et inventions connexes en Europe est actuellement déterminée principalement par l’article 52, paragraphes (2) (c) et (3) de la Convention de Munich sur le brevet européen (CBE), selon lequel les programmes d’ordinateur « en tant que tels » (de même que les méthodes pour l’exercice d’activités économiques et certaines autres inventions) ne peuvent pas être brevetés. Néanmoins, depuis l’entrée en vigueur de la CBE de 1973, malgré cette exclusion de principe, il apparaı̂t en réalité que plus de 30 000 brevets en rapport avec des logiciels ont été accordés. et une jurisprudence considérable a été produite sur le sujet par les chambres de recours de l’Office européen des brevets et les tribunaux des États membres7 . De nombreuses personnes demandent que soit condamné cet office qui a clairement outrepassé ses droits. Le 20 février 2002, la Commission européenne a présenté une proposition de directive concernant la brevetabilité des « inventions mises en œuvre par ordinateur ». Toujours d’après l’article de Mr Trialle, la proposition de directive distingue deux types d’inventions : 1. les inventions dont la mise en œuvre implique l’usage d’un programme informatique 7 cf l’article de Jean-Paul Trialle Le copyright 165 et qui offrent une ”contribution technique” - en d’autres termes, qui contribuent à l’État de la technique dans le domaine technique - pourront être brevetées ; 2. mais, conformément à la CBE, les programmes informatiques en tant que tels ne pourront pas être brevetés, ni d’ailleurs les méthodes pour l’exercice d’activités économiques (”business methods”) qui sont fondées sur des idées technologiques existantes et les appliquent, par exemple, en matière de commerce électronique. En vertu de la proposition, une invention mise en œuvre par ordinateur devra, dans les États membres, être considérée comme appartenant à un domaine technique (article 3). Cette invention sera brevetable à la condition qu’elle soit susceptible d’application industrielle, qu’elle soit nouvelle et qu’elle implique une activité inventive (article 4.1) ; c’est là la règle de base dans le domaine du droit des brevets. La troisième condition fait l’objet de trois dispositions spécifiques clés qui l’explicite : 1. pour impliquer pareille activité inventive, une invention mise en œuvre par ordinateur devra apporter une «contribution technique» (article 4.2.) ; 2. une contribution technique est définie comme «une contribution à l’État de la technique dans un domaine technique, qui n’est pas évidente pour une personne du métier » (article 2.b) ; 3. enfin, cette contribution technique devra s’évaluer en prenant en considération la différence entre l’objet de la revendication de brevet considéré dans son ensemble, dont les éléments peuvent comprendre des caractéristiques techniques et non techniques, et l’État de la technique (article 4.3.). Une invention mise en œuvre par ordinateur, qui apporte une contribution à l’État de la technique dans un domaine technique, et qui n’est pas évidente pour une personne du métier, est autre chose qu’un programme informatique « en tant que tel » et pourra donc être brevetée. Elle pourra l’être, selon les cas, en tant que produit ou en tant que procédé. Pour l’alliance EuroLinux, cette proposition de directive de la CE est extrêmement peu claire et tend à valider le principe de brevabilité des logiciels. 166 Chapitre 10 Chapitre 11 La vie privée sur Internet La Convention Européenne de sauvegarde des Droits de l’Homme et des Libertés fondamentales indique que : Article 8 Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit... Il est à noter que – le droit à la vie privée peut entrer en conflit avec le droit d’expression et en particulier la liberté de la presse, – la protection de la vie privée entre en conflit avec les besoins d’investigation des polices, – l’informatique décuple les possibilités de fichage et de recoupement des informations personnelles. Il s’agit donc pour le législateur de trouver un équilibre entre les droits et les besoins. 11.1 La collecte de données nominatives Il existe principalement 2 façons d’identifier un surfeur : – en lui demandant de remplir un formulaire ; – en utilisant les cookies et autres informations qu’envoie son navigateur (adresse mail, version du système d’exploitation...) (cf JunkBuster) Autant la première est claire, autant la seconde est pernicieuse, à tel point que la circulaire gouvernementale relative aux sites Web de l’administration (section 2.4 sur la vie privée) demande de ne pas les utiliser. Dans tous les cas, si cette identification mène à la création d’une base contenant des données personnelles et nominatives (ou simplement qui permettent de reconnaı̂tre une personne), alors, selon la loi française Informatique et Liberté, cette base nominative doit 167 168 Chapitre 11 être déclarée auprès de la CNIL. Il est aussi demandé de préciser à vos clients ou aux surfeurs qui remplissent vos formulaires leur droit de correction sur toute donnée les concernant. En France ces obligations sont généralement respectées. En cas de difficulté à exercer ses droits liés à la loi Informatique et Liberté1 , il entre dans les compétences de la CNIL de recevoir les plaintes de tout citoyen comme elle le précise sur son site : La CNIL reçoit et instruit les plaintes, réclamations et pétitions dont peut la saisir, par simple lettre, tout citoyen. Elle apprécie la suite à leur réserver : classement, avertissement, saisine du Parquet. Pour imposer le respect de la loi, la CNIL préfère la concertation à la répression et s’efforce de régler les litiges par des solutions amiables. Dans la plupart des cas, elle obtient, par sa simple intervention, une solution satisfaisante pour les parties. Au niveau européen la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 traite des données à caractère personnel et de la protection de la vie privée dans le secteur des communications électroniques. Elle complète la directive 95/46/CE de 1995. La directive de 95 spécifie : Article 6 1. Les États membres prévoient que les données à caractère personnel doivent être : a) traitées loyalement et licitement ; b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées ; c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ; d) exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ; e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des La loi informatique et liberté a été entièrement mise à jour le 6 août 2004 (loi n◦ 2004-801). La principale différence avec la précédente est un net retrait dans le contrôle des fichiers de l’Etat mais un renforcement pour les autres accompagné d’un renforcement des pouvoir de la CNIL, toujours vis à vis de tout ce qui ne touche pas l’Etat. 1 La vie privée sur Internet 169 finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques. 2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1. Article 10 Informations en cas de collecte de données auprès de la personne concernée Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée : a) l’identité du responsable du traitement et, le cas échéant, de son représentant ; b) les finalités du traitement auquel les données sont destinées ; c) toute information supplémentaire telle que : - les destinataires ou les catégories de destinataires des données, - le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse, - l’existence d’un droit d’accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données. Aux États-Unis une loi a été votée en 2000 afin de protéger les enfants, le Children’s Online Privacy Protection Act. Elle interdit la collecte de données personnelles d’enfants de moins de 13 ans. Un accord avec l’Europe, le U.S. Safe Harbor Agreement permet aux entreprises américaines de respecter la directive 95/46/CE. Cet accord concerne les entreprises américaines en relation avec des entreprises ou des clients européens. Inversement, les entreprises européennes désirant travailler avec des entreprises américaines doivent leur demander de respecter cet accord. En dehors de ces lois, les bases de données nominatives sont utilisées commercialement sans aucun contrôle. L’Electronic Privacy Information Center (EPIC) a ainsi dénoncé la création d’une telle base par l’agence de publicité DoubleClick (cf cookies et base nominative de DoubleClik). Cependant, conscients de la mauvaise publicité que se font les sites utilisant les données personnelles de leurs surfeurs comme des produits commerciaux quelconques, près de 90%2 des grands sites Web commerciaux ont défini une charte de confidentialité (privacy policy) indiquant leur politique en la matière. Malheureusement force est de constater que ces chartes, trop complexes, trop longues et trop changeantes, sont rarement lues. 2 en 2002, contre 14% en 2000 170 Chapitre 11 L’exemple récent du changement brutal de la charte d’Amazon qui considère dorénavant que ses fichiers client sont des biens vendables, n’est pas fait pour rassurer. Il est à souhaiter que la lettre ouverte au procureur général de JunkBuster et de l’EPIC, soulignant la trahison et le risque lié à la vente par une société d’information sur les choix de lecture de ses clients, sera entendue. 11.1.1 Les données enregistrées par les FAI L’une des conséquences de l’attaque des tours du WTC le 11 septembre 2001 aura été la réduction des libertés dans l’ensemble des démocraties occidentales3 . La France n’y échappe pas avec sa célèbre loi sur la sécurité quotidienne, la LSQ. Concernant Internet, cette loi touche principalement l’archivage des journaux (logs) et la cryptographie. Suivant la LSQ les journaux, devront être gardés 1 an par les FAI4 ainsi que les données personnelles de leurs abonnés. Article 29 II. - Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. Le 7 décembre 2001 l’Assemblée Nationale a voté un amendement à la loi de finance rectificative qui étend l’accès aux données de connexion aux agents des douanes et aux enquêteurs de la Commission des opérations boursières (Cob). La semaine suivante, le Sénat en a profité pour proposer un nouvel amendement ”qui étend ce droit aux agents de l’administration fiscale”. Le parlement Européen a aussi voté le 30 mai 2002 pour la rétention des données privées avec l’amendement 46, 2e partie, dédié à Internet et à la conservation des journaux5 . Ce vote est surprenant car en contradiction avec le vote du 13 novembre 2001 en première lecture. Il semble qu’entre temps les 2 principales formations du parlement européen, le PSE et le PPE, aient été rappelées à l’ordre par les gouvernements des différents pays lesquels ont subit les foudres des américains et du G8 pas contents. Selon The European Voice, un journal en langue anglaise édité à Bruxelles, Bush a écrit une lettre au premier ministre belge Guy Verhofstadt, actuel président de l’UE, il y a une quinzaine de jours. Il y explique que les États-Unis s’opposent au principe de l’effacement automatique des données de connexion, un principe pourtant inscrit dans le projet de directive “Vie privée et protection des données personnelles dans les communications électroniques”6 3 Le site de Reporters Sans Frontière, Libertés immuables, montre l’ampleur du phénomène. 3 ans après cette loi faite dans l’urgence face au terrorisme, les décrets d’application de cette loi ne sont toujours pas publiés. 5 contre le plus souvent 3 mois avant 6 extrait d’un article de ZDNet du 6 novembre 2001 4 La vie privée sur Internet 171 Le même article ajoute : Les députés européens, favorables à une limitation des droits de surveillance policiers, ont été confortés dans leur opinion par un rapport du Service juridique du Conseil des 15, rendu le 12 octobre et évoqué par Statewatch. Ce rapport explique que les gouvernements de l’UE ont déjà les pouvoirs nécessaires pour intercepter les télécommunications en vue de combattre le terrorisme. Toutefois, il indique que ces pouvoirs ne doivent pas être étendus aux enquêtes criminelles ”classiques”. « Bush ne demande pas simplement un pouvoir contre les terroristes, il réclame quelque chose de plus général », explique Tony Bunyan, directeur de l’organisation britannique Statewatch. Un exemple de liste de données à conserver est décrite sur le site de la réunion des ministres de la Justice et de l’Intérieur du G8 avec en particulier : Serveur de courriel journal SMTP (Protocole de transfert de courrier simple) – – – – – – – – – – – 11.2 date et heure de connexion du client au serveur adresse IP de l’ordinateur d’envoi message-ID (msgid) expéditeur (login@domain) destinataire (login@domain) indicateur de situation journal du POP (Post Office Protocol) ou du IMAP (Protocole d’accès message Internet) date et heure de connexion du client au serveur adresse IP du client connecté au serveur ID utilisateur dans certains cas, renseignements sur le courriel récupéré Le réseautage Il est classique d’avoir des réseaux d’amis et de collaborateurs. Ses réseaux permettent de rencontrer d’autres personnes et d’étendre ses relations ou de répondre à un besoin ponctuel. Cela marche le plus souvent par bouche à oreille. Avec Internet tout cela peut être mis en forme, en forme de graphe. Ainsi on dispose d’un outil qui indique que telle personne connait une personne que je connais et donc que si je veux entrer en contact avec elle, le plus simple est que je demande à notre connaissance commune de nous mettre en contact, ce qui sera bien plus efficace qu’un contact direct. En se basant sur ce principe, divers sites web propose de rejoindre leur graphe de relation en se faisant invité par une des personnes du graphe, puis en remplissant son CV afin 172 Chapitre 11 qu’une personne en cherchant une autre suivant des critéres précis, puisseavoir une liste et savoir à combien de connaissance se trouve la cible. Ainsi : – Ortuk a crée un réseau d’amis, qui permet à une personne de chercher, par exemple, le geek au yeux bleu le plus proche en terme d’amis intermédiaires, – LinkedIn a crée un réseau professionnel qui permet de selectionner des personnes suivant des critères professionnel puis de savoir quels contacts activer pour être présenter à ces personnes. Si ces services présentent a priori une aide réelle, la question est de savoir qui gère toutes ces données intimes et dans quels buts ? 11.3 La concentration des moyens Google dispose : – d’un moteur de recherche qui permet de savoir quelle machine cherche quoi, – de l’archive des formums (usenet) qui permet de savoir qui poste quoi depuis quelle machine, – d’une agence de publicité qui peut permettre de suivre les internautes sur les sites qui diffuse les publicités gérées par Google, – d’Ortuk, le réseau d’amis. Il y a-t-il un danger pour la vie privée des internautes ? 11.4 L’usage de la cryptographie La cryptographie est la seule façon de protéger une communication sur Internet. Elle est importante tant pour les personnes que pour le commerce. Il a fallu attendre 1999 pour que soit autorisé l’utilisation de clé de 128 bits pour les navigateurs alors que dès l’été 95 SSL 40 bits était cassé. Décret no 99-199 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d’autorisation ... 2 - Matériels ou logiciels offrant un service de confidentialité mis en oeuvre par un algorithme dont la clef est d’une longueur supérieure à 40 bits et inférieure à 128 bits. (la déclaration se substitue à l’autorisation pour la fourniture, utilisation et importation) 173 La vie privée sur Internet Authentification Signature Intégrité Clé de chiffrement inférieure ou égale à 40 bits Clé de chiffrement strictement supérieure à 40 bits et inférieure ou égale à 128 bits Clé de chiffrement strictement supérieure à 128 bits gérée par un tiers de confiance (3) Clé de chiffrement strictement supérieure à 128 bits Utilisation Libre Fourniture Déclaration simplifiée Importation (1) Libre Libre Déclaration Libre Libre (2) Déclaration Libre (2) Libre Autorisation Autorisation Autorisée (4) Autorisation Autorisation Tab. 11.1 – Réglementation française en matière d’utilisation, de fourniture et d’importation de moyens de cryptologie en France source : DCSSI (1) uniquement des pays extérieurs à l’Union européenne. (2) soumise à Déclaration seulement si le fournisseur ou l’importateur ne l’a pas déjà déclaré et si le moyen de cryptologie n’est pas exclusivement destiné à usage personnel. (3) un tiers de confiance est une organisation agréée par la DCSSI pour gérer les clés de chiffrement des utilisateurs. Ce tiers de confiance doit remettre les clés aux autorités judiciaires et de sécurité sur requête de leur part. (4) à condition que lesdits matériels ou logiciels aient fait l’objet d’une autorisation de fourniture en vue d’une utilisation générale. Sinon, une demande d’autorisation d’utilisation personnelle doit être adressée à la DCSSI Cependant, après une décision difficilement arrachée pour la libération de la cryptographie, la France semble vouloir faire marche arrière. La cryptographie est reprise en main par l’article 31 de la LSQ7 : Article 31 Art. 11-1. - Les personnes physiques ou morales qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité sont tenues de remettre aux agents autorisés dans les conditions prévues à l’article 4, sur leur demande, les conventions permettant le déchiffrement des données transformées au moyen des prestations qu’elles ont fournies. Les agents autorisés peuvent demander aux fournisseurs de prestations susmentionnés de mettre eux-mêmes en oeuvre ces conventions, sauf si ceux-ci démontrent qu’ils ne sont pas en mesure de satisfaire à ces réquisitions. Le fait de ne pas déférer, dans ces conditions, aux demandes des autorités habilitées est puni de deux ans d’emprisonnement et de 30 000 Euros d’amende. 7 Le décret d’applications a été publié le 16 juillet 2002 174 Chapitre 11 En clair, cela implique que les logiciels de cryptographie devront avoir une porte dérobée pour permettre de décoder n’importe quel message avec tous les risques que cela implique. 11.5 La protection par l’anonymat Plutôt que d’interroger directement les sites web, l’internaute a la possibilité de demander à des sites anonymiseur de le faire à sa place. Parmi ces sites, citons : – http ://www.anonymizer.com/ – http ://anonymizer.autistici.org/english/, voir le howto pour l’utiliser. La résistance des anonymiseurs ne doit jamais être considérée comme garantie comme on a pu le constater dès 1995 lorsque l’église de la scientologie obtint l’identité de l’auteur d’un message anonyme la concernant. 11.6 Une solution technique : P3P Fig. 11.1 – Le modèle P3P source : Joint Research Center P3P Resource Center La Platform for Privacy Preferences, P3P, introduite par le W3C, est une des réponses proposées pour permettre de retrouver la confiance des internaute. Son but est d’aider le surfeur à garder le contrôle des traces qu’il laisse sur les différents sites, avec une attention particulière pour les données personnelles. Elle repose sur un protocole compréhensible par la machine pour décrire les chartes de La vie privée sur Internet 175 Fig. 11.2 – Choix des préférences du filtre Privacy Bird confidentialité des sites web. Cela permet de créer des agents chargés de faire le travail de lecture et de comparer la charte d’un site avec les préférences de l’utilisateur, afin d’avertir ce dernier en cas de désaccord et éventuellement de bloquer la diffusion d’information. P3P permet en particulier de refuser des cookies qui ne rempliraient pas les conditions choisies par le surfeur (cf figure 11.1). D’un point de vue pratique, P3P se présente pour le serveur comme un ensemble de fichiers XML et d’en-têtes HTTP permettant de décrire les données collectées, dans quels buts et dans quel contexte. Aujourd’hui rares sont les sites respectant P3P. Le W3C en propose une liste. Pour le client, il nécessite un navigateur compatible afin de déchiffrer les fichiers XML de P3P. Pour l’instant seul Internet Explorer est compatible P3P. Son extension Privacy Bird d’AT&T permet de régler simplement ses filtres et d’afficher la charte d’un site. Malgré un effort louable, P3P n’est pas la solution miracle. Les critiques sont essentiellement de trois natures : – Technique : P3P est mal fait, avec en particulier le manque de catégories et de précision dans les catégories. Ainsi il est difficile de savoir comment classer les questions de cosmétique. De même lorsqu’on collecte de l’information dans un but de marketing, 176 Chapitre 11 Fig. 11.3 – Fin du résumé d’une charte compatible avec les choix du surfeur, le fond est vert cela entre dans la catégorie ” Recherche et développement ”. – L’efficacité : P3P ne garantit en rien la protection de la vie privée, sous entendu il faut une protection législative ce qui n’est pas le cas aux Etats-Unis. – Le danger : À l’inverse du point de vue américain précédent, l’Europe peut craindre que la configuration des agents ne soit pas aux normes européennes et donc abaisse le niveau de protection de fait comme l’indique le groupe de travail sur la protection des données personnelles de la C.E. : Étant donné que la plupart des internautes n’est guère susceptible de modifier des paramètres préconfigurés sur leur logiciel de navigation, la configuration “par défaut” des choix de l’utilisateur en matière de respect de sa vie privée influera considérablement sur le niveau global de protection de la vie privée en ligne. L’article de Karen Coyle, “P3P : Pretty Poor Privacy ?” complète ces critiques. Le Center for Democracy and Technology a publié une réponse à ces critiques, réponse disponible à partir de l’article d’origine. Plus La commission européenne dispose d’un site web dédié à la protection des données. On regardera aussi les travaux du groupe Article 29 de la directive 95/46/CE sur la protection des données. La vie privée sur Internet En France et ailleurs des associations veillent : – la FIL, Fédération Informatique et Liberté, – “Souriez vous êtes filmés”, – Privacy International Fig. 11.4 – Les Big Brother Awards Français 177 178 Chapitre 11 Chapitre 12 Risques et devoirs de l’entreprise en ligne 12.1 La vente Le commerce électronique est de la vente à distance, le régime de protection des consommateurs prévu pour ce type de vente y est donc applicable. Aussi on n’abordera pas les aspects de rétractation, de délai de livraison, de conformité du bien et les autres obligations pour lesquelles Internet n’a pas d’influence. 12.1.1 Contrat à distance Un contrat peut se définir comme un acte juridique formé par l’accord de 2 ou plusieurs volontés individuelles. Le problème sur Internet est la matérialisation de cette volonté. Un simple clic ne semble pas pouvoir être la manifestation de cette volonté étant donnée l’habitude de surfer (butiner) des internautes1 . On ne doit pas pouvoir être engagé par inadvertance. L’entreprise qui s’en contenterait pour livrer de la marchandise pourrait se voir reprocher de faire des envois forcés. La page de confirmation de l’acte semble un minimum. Une technique classique consiste à demander au client une confirmation par mail. Cela permet en plus d’avoir une meilleure garantie sur l’identité du client. L’identification de l’âge Les mineurs ne peuvent pas agir juridiquement sans l’intermédiaire d’un représentant légal. 1 cf art 11 de la directive européenne du 8 juin 2000 dite sur le commerce électronique. 179 180 Chapitre 12 Cependant la jurisprudence admet que le mineur puisse effectuer certains actes de la vie courante comme des achats de coût limité (jeux, vélomoteur). Mais les parents ne sont pas tenus des obligations des contrats passés par leurs enfants mineurs, si l’enfant n’est pas solvable par exemple. Un autre cas important concernant l’identification de l’âge sur Internet est la diffusion de matériel pornographique. Le vendeur risque alors 3 ans de prison et 500 000 francs d’amende. 12.1.2 Les produits vendus Certains produits et services ne peuvent être vendus en France que par certaines personnes ou sous certaines conditions (cf [FL02]). Est ainsi réglementée la vente de produits pharmaceutiques, de voyage, d’enseignement privé, ou les services d’avocats par exemple. D’autres produits ont une réglementation concernant leur publicité : – – – – – – le tabac et les boissons alcoolisées (loi Evin), produits de contraception, produits diététiques et de régime, produits financiers d’assurances, les prêts d’argent, les armes à feu, etc 12.1.3 La TVA A l’entrée dans l’Union européenne, tous les colis d’une valeur inférieure à 150 F bénéficient d’une franchise de droits de douane (en général peu élevés). Mais le paiement de la TVA (19,6%, le plus souvent) à la douane reste dû pour les envois de faible valeur qui résultent de la vente par correspondance (via Internet ou non)2 . Le représentant en France de la société étrangère de vente par correspondance acquitte mensuellement au bureau de douane les droits et taxes dus pour tous les colis importés durant cette période. Pour la vente intra-communautaire, la TVA est celle du pays d’origine. Elle est incluse dans le prix. Si légalement tout est bien défini, Internet pose un problème spécifique : comment taxer la vente de produits immatériaux comme un logiciel, un CD..., achetés et téléchargés par Internet ? La TéléTVA Il est à noter que la TVA peut être payée par Internet à l’aide de la TéléTVA mise en place par la direction générale des impôts suite à l’arrêté du 4 juillet 2001 qui indique : 2 cf le site des douanes sur le commerce électronique pour toute information pratique. Risques et devoirs de l’entreprise en ligne 181 Art. 2. - Ce traitement a pour finalité de permettre aux redevables de la taxe sur la valeur ajoutée et des taxes assimilées de transmettre par voie électronique les informations contenues dans les déclarations de ces taxes ainsi que dans leurs annexes et d’effectuer les paiements correspondants. Ce télépaiement de la TVA est obligatoire pour les entreprises réalisant plus de 15 millions d’euros de chiffre d’affaires annuel ainsi que pour celle indiquées dans l’article 1649 quarter B quarter du code général des impôts. 12.2 La signature électronique Le décret du 30 mars 2001, publié un an après la loi modifiant le droit de la preuve3 permet d’utiliser la signature électronique sécurisée comme preuve de sa volonté. Cette étape est très importante pour le commerce électronique qui pourra s’appuyer sur des bases solides avec la garantie de non répudiation4 . La loi spécifie que la signature électronique sécurisée doit répondre au exigences suivantes : – être propre au signataire ; – être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; – garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable. Le dispositif de signature électronique implique souvent une autorité de certification. Le dispositif comme l’autorité doivent être validé par la DCSSI. En pratique, on pourra suivre la démarche suivie pour la validation de GnuPG faite avec succès par la Free Software Foundation européenne pour la partie dispositif. Le ministère des finances propose aussi une liste de systèmes validés ou en cours de validation, cf les certificats des impôts. Pour plus d’information, le site du premier ministre présente la signature et la certification électronique. 12.3 Le courrier électronique Outre les aspects de signature des mails que l’on a évoqués ci-dessus, le mail est source de deux préoccupations : – la surveillance des mails au sein de l’entreprise, – l’utilisation du mail pour faire sa promotion. A cela s’ajoute bien sûr le problème des virus que l’on n’abordera pas ici. 3 4 cf http ://www.internet-juridique.net/cryptographie/preuve.html cf l’analyse de la chambre des notaires de Paris 182 Chapitre 12 12.3.1 La surveillance du courrier La question de la surveillance du courrier de ses employés est délicate car le mail est un outil de travail mais aussi un outil qui peut être utilisé pour un usage personnel. Aussi un employeur qui ouvrirait le courrier de ses employés sans prendre gare peut être poursuivit pour violation de la correspondance privée. La démarche à suivre si un employeur désire avoir un droit de regard sur le mail de ses employés5 , il doit respecter les règles suivantes comme l’indique le ministère des finances dans sa page sur la cybersurveillance : la légalité des contrôles pratiqués dans les entreprises (contrôle des connexions à Internet et à la messagerie) dépend du respect par l’employeur de quatre conditions : – la preuve fournie par les enregistrements est illicite si les salariés n’ont pas été informés des controles pratiqués, – le comité d’entreprise doit avoir été préalablement consulté, – les contrôles susceptibles d’être pratiqués doivent faire l’objet d’une déclaration auprès de la CNIL, – l’employeur doit respecter le principe de proportionnalité (article L 120-2 du code du Travail), c’est-à-dire que l’employeur ne peut prendre connaissance d’un fichier intitulé ”Personnel” sans abuser de son pouvoir et doit reconnaitre à ses employés le droit, même au temps et lieu de travail, au respect de l’intimité de sa vie privée. On trouvera aussi des informations à ce sujet sur le site du forum de l’internet (agence financée par l’Etat) : www.droitdunet.fr. 12.3.2 Le spam Pour une entreprise, le courrier électronique est un outil merveilleux puisque d’un coût pratiquement négligeable et surtout pouvant multiplier un mail à l’infini sans surcharge de travail pour la personne en charge de la communication. Aussi il est tentant d’utiliser le mail pour faire du mailing. Le risque est de ne pas faire du mailing mais du spamming en envoyant des mails à des personnes qui n’ont rien demandé. Les spams sont par définition les mails non sollicités. Ils sont très peu appréciés par les destinataires pour la gène qu’ils occasionnent. En plus de l’aspect déplaisant d’avoir ses véritables mails perdus au milieu d’immondices, les spams occupent de l’espace disque et peuvent ainsi bloquer le mail d’une personne en remplissant sa boite, ils utilisent de la bande passante et du temps de connexion. La Commission européenne a estimé, dans un rapport de février 2001, le coût de cette gène technique à 10 milliards d’euros par an. Les spams sont illégaux en Europe et dans 19 États américains. 5 ne serait-ce que pour récupérer un document de travail alors que l’employé est en vacance. Risques et devoirs de l’entreprise en ligne 183 Article 25 de la loi «informatique et liberté» La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite. Article 6 de la directive européenne «protection des données à caractère personnel» 1. Les États membres prévoient que les données à caractère personnel doivent être : a) traitées loyalement et licitement ; b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées ; ... En collectant des adresses mails sur des sites Web, dans des forums, des listes de diffusion et partout où ils peuvent, les spammeurs constituent de façon déloyale des bases de données nominatives clandestines. Bien sûr, une adresse mail est une donnée personnelle ce que confirme la CNIL suivant la définition de la directive européenne : Article 2 de la directive européenne «protection des données à caractère personnel» Définitions Aux fins de la présente directive, on entend par : a) «données à caractère personnel» : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ; ... La commission européenne a tenu à être encore plus claire avec sa directive du 12 juillet 2002 : Paragraphe 40 de la directive européenne 2002/58/CE Il importe de protéger les abonnés contre toute violation de leur vie privée par des communications non sollicitées effectuées à des fins de prospection directe,en particulier au moyen d’automates d’appel,de télécopies et de courriers électroniques, y compris les messages courts (SMS). Si ces formes de communications commerciales non sollicitées peuvent être relativement faciles et peu onéreuses à envoyer, elles peuvent,en revanche imposer une charge et/ou un coût à leur destinataire. En outre, dans certains cas,leur volume peut poser un problème pour les réseaux de communications électroniques et 184 Chapitre 12 les équipements terminaux. S’agissant de ces formes de communications non sollicitées effectuées à des fins de prospection directe,il est justifié d’exiger de l’expéditeur qu’il ait obtenu le consentement préalable du destinataire avant de les lui envoyer... Opt-in, Opt-out Cette directive de la CE confirme ce qui était déjà en application dans certains pays européen, à savoir l’obligation d’avoir l’accord explicite d’une personne avant de pouvoir lui envoyer un mail commercial non sollicité. En jargon, cet accord explicite s’appelle l’Opt-in. Cela correspond à l’acte de cocher une case dans un formulaire pour recevoir ultérieurement du courrier en relation avec la page visité. Lorsque cette option est cochée par défaut dans le formulaire, il s’agit de l’Opt-out, ce qui n’est pas considéré comme loyal par la CE et ne doit donc plus être utilisé. Spam professionnel En mars 2005 la CNIL a surpris en changeant de position vis à vis du spam. Elle considère aujourd’hui que le spam entre professionnels devrait être autorisé : Se prononçant sur l’interprétation à donner à la loi pour la confiance dans l’économie numérique, la CNIL a estimé, lors de sa séance du 17 février 2005, que des personnes physiques peuvent être prospectées par courrier électronique à leur adresse électronique professionnelle sans leur consentement préalable, si le message leur est envoyé au titre de la fonction qu’elles exercent dans l’organisme privé ou public qui leur a attribué cette adresse. On retrouve cette tendance dans le commité de lutte contre le spam mis en place par le premier ministre. Il semble qu’à quelques exceptions pret, les membres de ce commité sont surtout désireux de trouver une façon de rendre acceptable le spam6 . Les protections Il existe deux façons de se protéger : contre-attaque via les moyens légaux en poursuivant les spammeurs et filtrer. Voici quelques liens relatifs à ces deux façons : – – – – le Collectif Anti Spam, comme son nom l’indique, la coalition européenne EuroCAUCE lutte aussi contre le spam, le site http ://spam.abuse.net est dans la même veine mais au niveau mondial, le logiciel Spam Assassin note les mails en fonction de critères qui lui font “penser” qu’il s’agit d’un spam. Il ne reste plus qu’à lui indiquer à partir de quelle note le mail va à la poubelle, – Tagged Message Delivery Agent (TMDA) est un autre système de filtrage de spam, – dspam que votre serviteur utilise, – ce moteur de recherche d’adresse IP dans les listes noires permet de tester les dites listes noires. 6 comme dire que le mauvais spam vient de l’étranger alors que le spam français est du bon nécessaire à la survie de nos petites entreprises, cf l’article de Georges Fischer sur http ://www.domaines.info/chronique.php ?chronique id=50 Risques et devoirs de l’entreprise en ligne 185 Des condamnations de spammeurs ont déjà lieu comme le cas d’un FAI anglais contre spammer US) ou en France celui d’ un spammeur qui a porté plainte contre des fournisseurs qui l’avaient censuré, plainte considérée comme abusive et qui s’est donc retournée contre le spammeur. De son coté, la CNIL après avoir demandé aux internautes de lui faire suivre leurs spams, a fait une analyse de ces spams et a porté plainte en octobre 2002 contre 5 sociétés spécialisée dans l’envoi de spam. 12.4 Le piratage et malveillances Du point de vue légal, l’intrusion dans un système informatique est un délit défini dans le code pénal, quoi qu’on fasse une fois entré, et quelle que soit la sécurité du dit système. La modification de données, après l’intrusion, constitue une circonstance aggravante. Code Pénal - Des atteintes aux systèmes de traitement automatisé de données (loi Godfrain révisée par la Loi sur l’Economie Numérique du 21 juin 2004) Article 323-1 : Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 ¤ d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45 000 ¤ d’amende. Article 323-2 : Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75 000 ¤ d’amende. Article 323-3 : Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement des données qu’il contient est puni de cinq ans d’emprisonnement et de 75 000 ¤ d’amende. L’organisme chargé d’enregistrer les plaintes concernant ces délits est la Brigade d’Enquêtes des Fraudes aux Technologies de l’Information (BEFTI) de la Police Judiciaire pour Paris et la petite couronne. Son équivalent pour la province est l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC). 186 Chapitre 12 Fig. 12.1 – Organigramme de la Police avec la répartition Province/Paris BEFTI 163 av d’Italie, 75013 Paris, Tél : 01 40 79 67 39 Fax : 01 40 79 77 21 Porter plainte en partie civile augmente significativement les chances de voir le parquet décider de poursuivre l’auteur du délit une fois identifié. Les limites de l’intrusion Le simple fait de surfer a failli être considéré comme une intrusion. Le rédacteur de Kitetoa l’a appris à ses dépens en montrant avec son navigateur que la société Tati ne protégeait pas les données nominatives qu’elle avait recueillies suite à un sondage, cf la jurisprudence Kitetoa vs Tati. Si le tribunal a reconnu la culpabilité de la société Tati qui n’a pas protégé ces données nominatives, article 226-17 du Code pénal, celle ci ne peut plus être poursuivie, les faits étant prescrits. Le Parquet Général ayant fait appel de ce jugement, l’affaire a été rejugée le 30 octobre 2002 et Kitétoa innocenté au motif qu’ il ne peut être reproché à un internaute d’accéder, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation Chapitre 13 Régulation, co-régulation et autorégulation 13.1 La régulation technique La création d’Internet s’est faite sur un nombre important de règles d’usage, les protocoles. Sans protocoles adoptés par tous, pas d’interopérabilité. Sans interopérabilité, pas d’interconnexion et sans interconnexion pas d’Internet. Le régulateur historique d’Internet est l’Internet Engineering Task Force (IETF) dont les protocoles sont adoptés par l’ensemble des intervenants, du constructeur à l’administrateur, afin de conserver cette interopérabilité vitale. Aujourd’hui on retrouve ce même schéma au niveau du Web avec le W3C, la différence principale résidant dans le fonctionnement de ces organisations. Cette régulation de l’IETF au niveau d’Internet a deux caractéristiques inédites : – des règles mondiales sont misent en place sans que les États soient impliqués, – l’organisme responsable, l’IETF, n’a pas de statut, il ne s’agit que de listes de diffusion regroupant des volontaires. A coté de cette régulation technique, des règles d’usage se sont développées. Une de ces règles implicites était l’interdiction d’utiliser Internet comme outil de promotion commerciale. Cette règle date bien sûr de l’époque universitaire d’Internet, avant 1995. Une autre règle bien pratique consistait à maintenir à jour la base whois qui permet de savoir qui est le propriétaire d’un nom de domaine. il semble qu’aujourd’hui que la majorité des données dans cette base soit fausse, volontairement ou périmées. Aussi l’ICANN a joué son rôle de régulateur en demandant aux registrars de faire de sorte que cette situation soit corrigée pour novembre 2003, cf le Whois Data Reminder Policy. D’autres règles, dont la Netiquette, concernaient l’utilisation des ressources communes et en particulier celle des forums. 187 188 Chapitre 13 13.2 RFC 1855 : la Netiquette Dans le passé, la population des gens qui utilisait l’Internet avaient ”grandi” avec l’Internet, était techniquement attentif et comprenait la nature du transport et des protocoles. Aujourd’hui, la communauté des utilisateurs de l’Internet compte des gens qui sont nouveaux dans cet environnement. Cette introduction de la Netiquette, écrite en 1995 sous forme de RFC, souligne la difficulté d’autorégulation d’un média comme Internet lorsqu’il est ouvert au grand public. Le problème est intrinsèque à la possibilité qu’offre Internet de se faire entendre auprès d’un nombre potentiellement immense de personnes avec des risques de représailles très faibles1 Il s’agit d’une forme de puissance qu’il n’est malheureusement pas toujours simple à maı̂triser. D’un certain point de vue on retrouve sur Internet le syndrome de l’automobiliste, aimable en dehors de son véhicule, agressif à l’intérieur. Les forums Usenet, le réseau des forums, appelé aussi les news, est probablement l’exemple d’autorégulation de plus visible sur Internet. Son fonctionnement repose sur un ensemble de serveurs de news qui se transmettent entre eux les messages que les internautes leur envoient. Lorsque Pierre écrit dans le forum fr.soc.politique depuis chez lui, son message est transmis au serveur de news de son fournisseur d’accès lequel le relaie à d’autres serveurs, lesquels feront suivre à d’autres serveurs de leur connaissance et de fil en aiguille, l’ensemble des serveurs qui diffusent le forum fr.soc.politique recevra le message de Pierre. Ainsi, Nathalie pourra lire le message de Pierre quel que soit son serveur de news. On voit que ce système dépend des relations qu’ont entre eux les serveurs de news. De plus comme chaque serveur est une machine privée, rien oblige son gestionnaire à diffuser tel forum ou à avoir des accords de diffusion avec tel autre serveur de news. Les gestionnaires des serveurs de news ont le pouvoir de faire ce qu’ils veulent sur leur machine. En contre partie, n’importe qui peut installer un serveur de news sur sa machine et avoir des accords de diffusion avec d’autres serveurs. D’un point de vue pratique, les gestionnaires des principaux serveurs de news s’entendent 1 Ce problème était moins aigu lorsque l’ensemble des internautes appartenaient au même monde de la recherche et se rencontraient régulièrement. L’expérience des associations sur Internet montre que le ton des mails des listes de diffusions change lorsque les personnes se sont rencontrées physiquement. Régulation, co-régulation et autorégulation 189 entre eux et suivent les procédures officielles de gestions des forums2 . Ils délèguent ainsi la gestion d’arborescences des forums à des gardiens du temple3 qui gèrent la création et la fermeture des forums, ils mettent en place des robots chargés d’effacer immédiatement des messages hors charte comme les spams ou les images dans un forum interdit d’images. Les forums sont donc gérés par des parties privées comme l’est un groupe de discussion sur un site web. La régulation est ce que les gestionnaires des serveurs veulent. Si le fonctionnement semble peu démocratique, à l’usage Usenet est au contraire un espace très démocratique, les gestionnaires n’intervenant que pour éviter les débordements qui pénalisent le fonctionnement des forums et suivant la volonté exprimée lors de votes par les utilisateurs. Ce mode de fonctionnement n’exclut pas pour autant la possibilité d’une intervention de la justice, en cas de texte dont le contenu est illégal par exemple. 13.3 L’ICANN et l’UDRP Internet a aussi un organisme structuré et soutenu par les États, l’ICANN, qui gère le nœud central de l’Internet à savoir la distribution des adresses IP et des noms de domaine ainsi que le fonctionnement du DNS. Cet organisme a mis en place des règles concernant la résolution des conflits dans l’attribution des noms de domaines. Il a ensuite imposé à ses sous-traitants, les registrars, d’appliquer ces règles. Il s’agit de l’Uniform Domain Name Dispute Resolution Policy Ainsi le contrat du registrar Gandi précise à propos des conflits possibles lors de la réservation d’un nom de domaine : VIII. RESOLUTION DES CONFLITS 1. Avant toute action judiciaire, le Client et Gandi s’engagent à tenter de résoudre tout différend à l’amiable. 2. La loi applicable au présent contrat entre le Client et Gandi est la loi française. Les tribunaux compétents pour connaı̂tre de tout litige en rapport avec le présent contrat sont les tribunaux de Paris ou ceux dont dépend le domicile du détenteur du Nom de Domaine. 3. En cas de contestation sur l’utilisation des services de Gandi, les parties conviennent que les enregistrements effectués par les équipements de Gandi de l’utilisation des services d’enregistrement et particulièrement l’usage des identifiants et codes d’accès personnels du Client, vaudront preuve entre les parties. 4. Le Client reconnaı̂t avoir lu et compris et s’engager à respecter la charte de résolution des conflits de l’ICANN (”Uniform Domain Name Dispute Resolution Policy” - UDRP), quel que soit son Nom de Domaine, disponible à 2 3 cf http ://www.usenet-fr.net/ pour la partie française penaud dans le cas de fr.* 190 Chapitre 13 l’adresse suivante : http ://www.icann.org/udrp/udrp-policy-24oct99.htm (en anglais) sur laquelle il pourra trouver des explications à l’adresse suivante : http ://www.icann.org/udrp/ (en anglais) Une copie de cette charte est disponible sur le site de Gandi à l’adresse http ://www.gandi.net/docs/udrp-policy-24oct99.htm pour la version anglaise et à l’adresse http ://www.gandi.net/docs/icannrules-fr.pdf pour la version française (traduction effectuée par l’OMPI mais non spécifiquement approuvée comme officielle par l’ICANN). L’UDRP-DB tient le compte des litiges liés au noms de domaine résolus suivant l’UDRP. Les statitsques depuis la mise en place de ce système donnent sur 9969 cas : 13.9% : le domaine n’était pas enregistré de mauvaise foi voire pas enregistré du tout, 30% : le domaine était enregistré dans le but de le revendre avec profit, 14.1% : le domaine était enregistré afin d’empècher le propriétaire légitime d’en profiter, 9.1% : l’enregistrement du domaine avait pour but d’interrompre l’activité d’un concurrent, B 39.3% : le domaine enregistré avait pour but de créer la confusion avec une marque connue pour attirer des clients, B 15.1% : d’autres évidences de mauvaise foi. B B B B 13.4 Relations de la France avec Internet En découvrant Internet dans le milieu des années 90, certains politiques ont eut un choc et se sont fait fort de maı̂triser la bête. Il faut dire qu’à l’époque Internet était encore un repère de hackers pédophiles nazis ! Le premier pas a été tenté en 1996 par le Ministre de Télécommunication d’alors, M. Fillon, en voulant instaurer un conseil de surveillance de l’Internet. Depuis quelques rapports forts intéressants sur la façon dont l’Etat pourrait, devrait ou ne devrait pas intervenir sur Internet ont été écrits, dont le rapport du Conseil d’Etat de 1998 intitulé «Internet et les réseaux numériques» et celui du député Christian Paul «Du droit et des libertés sur Internet» écrit en juillet 2000. Ce dernier rapport suggérait en particulier la création d’un forum des droits sur l’internet afin de se pencher sur la corégulation de l’internet où coexistent autorégulation des acteurs privés et régulations des divers acteurs publics. Ce forum indépendant subventionné par l’État est un lieu riche en informations. 13.5 Plus L’article d’Eric Brousseau sur la Régulation d’Internet, cf [Bro01], est un texte très intéressant sur le sujet. Quatrième partie La société de l’Internet 191 Chapitre 14 L’e-État Derrière ce titre se cache la question de l’implication de l’État dans le développement de l’Internet et l’impact de cet outil sur le fonctionnement de l’État. Il s’agit de deux aspects bien distincts, abordés de façon différente suivant les pays. Du point de vue français, ces deux aspects semblent avoir été traités à reculons. L’arrivée de l’administration française sur Internet s’est effectuée suite à l’affaire du Journal Officiel. Il a fallu qu’une initiative personnelle de mettre les textes officiels sur Internet gène la société privée ayant l’exclusivité de la distribution de ces textes sur Minitel, pour que l’Etat se décide à demander à cette société de faire ce travail de mise en ligne d’une loi que nul n’est censé ignorer. Concernant le développement de l’Internet et son accès à tous pour réduire la fracture numérique, là encore il est difficile de parler de volonté tangible de l’État qui semble préférer s’en remettre au secteur privé et au mouvement associatif. 14.1 Internet Service Public Le meilleur FAI ne serait-il pas l’ISP ? 14.1.1 La fracture numérique La fracture numérique, après la fracture sociale, souligne l’inquiétude légitime de voir une partie de la population exclue de l’usage d’Internet et des services associés. Cette inquiétude est d’autant plus importante qu’Internet offre un avantage éducatif et économique très important à ses utilisateurs qui sont actuellement déjà les personnes les plus avantagées socialement. La fracture numérique est un fait en France avec moins de deux millions de Français ayant un accès au haut débit (cf fig 5.1.2). Ce choix de ne tenir compte que des connexions haut débit n’est pas un snobisme d’informaticien mais est lié au fait que seul un abonnement à haut débit est forfaitaire et donc indépendant de l’usage. Il permet d’utiliser “gratuitement” Internet ce qui change radicalement l’approche d’Internet. En plus seuls les abonnements à haut débit offrent à leur clients la possibilité d’avoir leur machine 193 194 Chapitre 14 toujours connectée et donc de créer des serveurs visibles en permanence par les autres internautes1 . Bien sûr ce petit million ne prend pas en compte les millions de personnes qui ont un accès professionnel, mais ce sont essentiellement des cols blancs et jamais des enfants. La première condition pour réduire la fracture numérique est d’offrir à toute personne un accès à haut débit à Internet. De ce point de vue un taux de pénétration dans les foyers du couple ordinateur/Internet équivalent à celui de la télévision serait le véritable succès. Le second point sensible concernant la fracture numérique est l’éducation. L’utilisation d’Internet ne demande pas seulement de savoir utiliser un ordinateur mais demande aussi de comprendre ce média, ses possibilités tout comme ses pièges. Pour cela il est nécessaire d’apprendre et de comprendre le fonctionnement d’Internet, d’avoir les bases permettant de suivre son évolution pour ne pas s’y sentir perdu. Mais surtout, l’éducation est la seule sauvegarde possible face à un média ouvert à tous, sur lequel aucune censure protectrice ne peut être efficacement mise en place2 . Il s’agit de donner les clés permettant de s’en sortir face à des textes mensongers ou violents, face à des images traumatisantes. On notera que les adultes sont les principales victimes de la barrière technico-psychologique interdisant l’entrée dans le monde de l’Internet, quand les enfants sont les plus vulnérables face aux pièges qui s’y trouvent. Si des centres d’apprentissages comme les Espaces Publics Numériques peuvent permettre aux premiers de franchir la barrière, l’école à l’énorme responsabilité de préparer les seconds, cf le rapport «Comment protéger les jeunes Internautes ?» de S. Heller, [Hel00]. 14.1.2 L’exemple suédois La Suède est un pays très étendu qui a toujours favorisé les communications et télécommunications. Elle est le 4e pays exportateur de matériel de télécommunication. Elle est aussi l’un des pays le mieux connecté à Internet et semble être bien partie pour le rester au vue de ses ambitions précisées dans un rapport de 1999 «A future-proof IT infrastructure for Sweden» du ministère suédois de l’industrie : The vision is for everyone in Sweden to have, within five years, a dedicated Internet connection of at least 5 Mbit/s costing no more than a bus pass. Every user, anywhere in Sweden, has at least five different Internet Service Providers (ISP) to choose from. The user can choose freely between different service providers and services and can always obtain good performance and high-quality services. An infrastructure making this vision possible is based on the existence of fibre capacity throughout the country - within 100 metres of every building. 1 il est préférable dans ce cas d’avoir une adresse IP fixe mais si cela n’est pas obligatoire. Le fournisseur d’accès Nerim offre une telle IP fixe à ses abonnés. 2 sauf à utiliser des mesures extrêmement coercitives ce qui n’est pas envisageable dans nos démocraties L’e-État 195 Pour arriver à ce but la Suède a lancé en 2000 un programme de construction d’un nouveau réseau de fibre optique. Comme le précise le Conseil Economique et Social dans son rapport sur le haut débit de juin 2001, celui-ci comprendra trois composantes : – la partie nationale (10 000 km), reliant entre elles les deux cent quatre vingt neuf villes principales de chaque ” kommun ” (collectivité locale regroupant un certain nombre de communes au sens français du terme). Le coût estimé est de 2,5 Mds de couronnes (280 millions d’Euros soit 1,8 Mds de francs) à la charge de l’exploitant public du réseau électrique national (Svenska Kraftnät). La réalisation s’achèverait en décembre 2002 ; – la partie régionale, desservant chaque ville au sein des ” kommun ”, dont il est supposé qu’elle intéressera moins les opérateurs privés , et qui serait subventionnée par l’Etat à hauteur de 2,6 Mds de couronnes (300 millions d’Euros soit 2 Mds de francs) sur un coût de 5,2 Mds de couronnes (600 millions d’Euros soit 4 Mds de francs) ; – la partie locale, devant raccorder chaque foyer, dont l’Etat soutiendrait la réalisation à hauteur de 3,2 Mds de couronnes (360 millions d’Euros soit 2,4 Mds de francs) sur un coût total estimé à 9,6 Mds de couronnes (1,1 Md d’Euros soit 7,2 Mds de francs). L’apport de l’Etat s’élèverait donc à 8,3 Mds de couronnes (930 millions d’Euros soit 6,2 Mds de francs) sur quatre ans pour un investissement total estimé à 17 Mds de couronnes (1,9 Mds d’Euros soit 12,7 Mds de francs). Le complément serait notamment apporté par les collectivités territoriales, par les entreprises privées concernées et prélevé dans certaines régions sur les fonds structurels européens dont elles bénéficient. Les villes sont donc directement impliquées dans ce projet. En fait les villes ont même changé le concept de la distribution d’Internet en transformant la connexion au particulier de dernier kilomètre à premier kilomètre. Il ne s’agit plus de poser les dorsales3 puis de tirer les filins depuis ces dorsales vers les particuliers, mais de relier les particuliers à travers la ville puis de proposer à des opérateurs d’amener la dorsale qui permettra de raccorder tous les habitants à Internet. La ville de Tierp a ainsi décidé de se câbler entièrement et propose aujourd’hui un accès 10 Mbits à ses habitants. Elle offre des services municipaux en ligne, un accès aux écoles, bibliothèques, elle permet à des industriels de mettre en place de services dont bien sur la connexion à Internet, la téléphonie sur IP, la télévision numérique à la carte... De nombreuses autres villes ont suivit cet exemple, elles se sont rassemblées dans l’Association suédoise des réseaux métropolitains (SSNf). dont l’objectif est de «fournir de manière conjointe une infrastructure solide au bénéfice de toute la Suède (...) Les réseaux des membres de la SSNf consistent en un ensemble de réseaux de tous types, depuis le backbone jusqu’au réseau d’accès, et sont ensemble en passe d’atteindre une couverture nationale.» Enfin, le gouvernement suédois a mis en place en 1997 un système de défiscalisation des PC offerts par les entreprises à leurs employés. Ce système à permis de distribuer 850 000 ordinateurs personnels ce qui a touché 2,4 millions de personnes soit plus du quart de la population. Il semblerait que les ouvriers aient été les premiers bénéficiaires de ce programme. 3 câbles de très haut débit formant le squelette du réseau Intenet. 196 Chapitre 14 Cette action est liée à la volonté de connecter l’ensemble de la population, tout comme le sont les actions de formation mises en place parallèlement. Aujourd’hui, près d’un million de foyers suédois ce qui signifie qu’un habitant sur 5, est relié a un reseau de larges bandes. L’augmentation du cnombre de connexions a été de 9% pendant le premier trimestre 2003. Si ce boom se confirme, un tiers de la population sera connecté d’ici la fin de l’année 4 . 14.1.3 En France Le Conseil économique et social considère, pour sa part, que les évolutions constatées depuis un an prouvent que le jeu du marché ne suffit pas à entraı̂ner, pour tous les territoires, leurs populations et leurs entreprises, un accès équitable aux TIC. Seule une action publique volontariste peut permettre d’y parvenir. Conseil économique et social, nov. 2002 Lorsque France Télécom annonce pour fin 2002, «un taux de couverture nationale de 74% », il s’agit d’une couverture en nombre de personne et non en espace.5 Bref, l’ADSL, puisque c’est la technologie haut débit proposée, n’est pas encore dans les campagnes. De plus le haut débit offert par l’ADSL a un débit des dizaines de fois inférieur au haut débit suédois. Par contre l’ADSL permet d’avoir une tarification forfaitaire, donc indépendante de l’usage, et donc permettant d’avoir une connexion permanente, ce qui est un point très important, voire le plus important, lorsqu’il s’agit d’utiliser pleinement les possibilités d’Internet. Ainsi la France s’équipe doucement en haut débit et permettra peut être à l’ensemble de la population d’avoir une connexion permanente à Internet pour un coût raisonnable «à l’horizon 2007 » comme le souhaite le gouvernement. Pour aller plus loin, vers la vision suédoise par exemple, il faudra se reposer sur des initiatives locales, comme celle de la ville de Pau avec son projet de déploiement fin 2003 d’un réseau local à 10Mbits, le Pau Broadband Country6 . Cependant il semble que le gouvernement ait le désir d’aider cette vision suédoise à voir le jour. Il a lancé fin 2001 le projet d’un réseau national de fibres optiques sur lequel pourront se connecter toutes les villes de plus de 7 000 habitants et la moitié de celles de 5 000 à 7 000 habitants. Ce réseau utilisera le réseau existant de fibres optiques doublant le réseau des lignes électriques à très haute tension et très nettement sous exploité7 (cf fig 14.1). Le Réseau de Transport d’Electricité, RTE, permettra de couvrir l’ensemble du territoire ce que ne semble pas vouloir faire France Télécom. 4 étude realisee par Mediavision (qui interroge env. 700 personnes par semaine, entre 15 a 74 ans) Il ne s’agit malheureusement pas d’une spécialité française mais d’une réalité économique qui devrait donner au niveau européen pour 2005 une possibilité d’accès au débit de 2 Mb/s pour 85 % de la population, mais seulement 20 % du territoire (étude IDATE). 6 depuis juin 2001 les villes peuvent déployer des réseaux en fibre optique ce qu’interdisait la loi auparavant, protégeant ainsi le monopole de France Télécom. 7 cf la présentation du projet par la RTE dans son dossier de presse de juin 2002. 5 L’e-État 197 La première application de cette volonté a été annoncé en juillet 2003 : Forts de leur volonté politique de permettre l’accès à tous aux télécommunications à haut débit, les pouvoirs publics ont ouvert la possibilité aux collectivités territoriales de recourir aux infrastructures du réseau public de transport d’électricité pour déployer des fibres optiques dans les zones les moins accessibles du territoire. Le Conseil général de la Manche a été la première collectivité territoriale à saisir cette opportunité. C’est donc dans le département de la Manche que RTE vient d’installer sur son réseau électrique le premier tronçon de fibres optiques devant être mises à disposition d’une collectivité territoriale. 14.2 L’administration électronique L’administration électronique est nettement plus simple à mettre en place qu’un réseau national. Il ne s’agit que de changer le mode de fonctionnement de l’administration... On commence par le plus simple : créer un site web qui permette d’informer les administrés. Il s’agit d’un exercice classique pour les mairies qui ont pour la plupart leur journal municipal. Pour les administrations nationales, la tâche était plus difficile et historiquement les deux qui s’en sont sorties le mieux sont le ministère des affaires étrangères, contaminé par l’ambassade des Etats-Unis probablement, et le ministère des finances, poussé par l’un des rares ministres sensibles à ce nouveau média et aux services qu’il peut rendre. Aujourd’hui l’administration française est bien présente sur Internet comme on peut le constater via Annuaire des services de l’administration ou à travers son portail Service Public. Mais tous les ministères ne font pas preuve d’une même motivation. Alors que le ministère des finances fait preuve d’une volonté d’avoir un site toujours plus utile, via l’usage des clés signatures électroniques par exemple, la Documentation Française semble encore chercher le profit quand sa mission est l’information. Ainsi le rapport de la CNIL est proposé à la vente sur une de ses pages sans préciser qu’il est téléchargeable gratuitement sur son site, mais à une autre page. Il est par contre bien précisé sur la page permettant de le télécharger que l’on peut aussi l’acheter : – en vente : http ://www.ladocumentationfrancaise.fr/catalogue/5664700000/index.shtml – téléchargeable : http ://www.ladocumentationfrancaise.fr/brp/notices/024000377.shtml D’autres sites cherchent à impressionner avec des images et présentations animées sans penser que cela demande une connexion rapide et surtout qu’un site sans mode texte n’est pas lisible par des aveugles ou des personnes mal-voyantes. D’autre produisent des URL temporaires ou cachées dans des frames ce qui rend difficile voire impossible leur référencement. Malgré ces remarques, la marche vers une administration électronique semble bien partie. Des villes aux ministères, que cela soit à travers des sites web d’information, via le mail, 198 Chapitre 14 la signature électronique ou les formulaires électronique, l’internaute a au bout des doigts un contact avec l’administration qu’il était difficile d’avoir auparavant. 14.3 Plus Les sites suivants sont directement concernés par le câblage à haut débit et en particulier des municipalités : – Fondation Internet Nouvelle Génération – Villes Internet – Créatif, le Collectif des Réseaux d’Accès aux Technologies de l’Information en France Des sites de l’administration française : – Le site Internet de l’administration française, présentant l’action de l’état en la matière, – Service Public, le portail de l’administration française, – l’e-ministère ou la vision des services que projette de rendre le ministère des finances. 199 L’e-État Réseau de Transport 400 kV S E L L INDG E AVE L G E M GR AVE LINE S LE S ATTAQUE S WAR ANDE MANDAR INS AC HE NE WE PPE S GAVR E LLE AVE LIN MAS TAING CHOOZ B CHE VALE T PE NLY TOLLE VAS T PALUE L ME NUE L R OUGE MONTIE R TE R R E TTE LA MAR TYR E TOUR BE TILLE UL LE CHE S NOY VILLE CHE TIVE DIS TR E COR DE MAIS LA PICOCHE R IE CHAINGY VE R GE R S T-AVOLD BE ZAUMONT MAR LE NHE IM NE UVE S -MAIS ONS ME R Y S E INE BOCTOIS GATINAIS VIGY BLE NOD R E VIGNY HOUDR E VILLE CR E NE Y E IC HS T E T T E N VINCE Y LOGE LBACH MUHLBACH S E R E IN VILLE R BON CHANCE AUX VE S LE VILLE VAUDE S AUS S E T VILLE JUS T MOR BR AS DAMBR ON MOULAINE S E UIL PLE S S IS -GAS S OT CHAMBR Y LE S QUINTE S LOUIS FE R T CATTE NOM LA HE R S E CIR OLLIE R S DOMLOUP UC HT E L F ANG E N LONNY LATE NA LA VAUPALIE R E R E MIS E TE R R IE R CE R GY ME ZE R OLLE S LAUNAY PLAINE -HAUTE AR GOE UVE S BAR NABOS LE HAVR E FLAMANVILLE R E VIN MAZUR E S TABAR DE R IE MAMBE LIN AS P HAR D VIE LMOULIN LAR CAY AVOINE L A UF E NB UR G S IE R E NTZ GAUGLIN MAR MAGNE S T-E LOI B AS S E C OUR T LE S JUME AUX VALDIVIE NNE GR OS NE BAYE T E GUZON GR ANZAY PLAUD Poste 400kV R ULHAT PR E GUILLAC Ligne à 1 terne LE BR E UIL CUBNE ZAIS LE MAR QUIS Interconnexion France-Angleterre 270 kV en courant continu CHAR PE NAY MIONS E CHALAS PIVOZ COR DIE R BR AUD Ligne à 2 ternes et plus GR E PILLE S LA BOIS S E C.E .R .N. C HA MOS ON BOIS -TOLLOT VE R BOIS COR NIE R GE NIS S IAT S TR ONDIS S ONE VULBAS ALBE R TVILLE CR E YS G. ILE LE CHAFFAR D LE CHE YLAS LA COCHE VILLAR ODIN PR AZ S T. CHAMPAGNIE R VAUJANY ANDR E VE NAUS R UE YR E S COULANGE S AUCATS LE TR ICAS TIN DONZAC CANTE GR IT LE S QUIVE JONQUIE R E S VE R FE IL TAMAR E AU IS S E L CAZAR IL AR AMON TOR E -S UPR A LE BR OC CAR R OS BOUTR E R E ALTOR MAR S ILLON HE R NA NI TAVE L AGAS S E S NE OULE S LA GAUDIE R E BAIXAS VIC H Conception et réalisation : C S 4-02 J A NV IE R 2002 GESTIONNAIRE DU RÉSEAU DE TRANSPORT CENTRE NATIONAL D'EXPERTISE RÉSEAUX SEMIA/DIG IMMEUBLE AMPÈRE - LA DÉFENSE 6 34-40, RUE HENRI-RÉGNAULT 92400 COURBEVOIE Tél. : 01 41 02 12 12 . Fax : 01 41 02 12 47 E-mail : [email protected] © Copyright RTE service d'EDF-2001 Fig. 14.1 – Le Réseau de Transport d’Électricité de très haute tension pourrait servir de squelette à un Internet service public 200 Chapitre 14 Chapitre 15 L’e-mafia Internet en tant qu’outil de communication simplifie aussi les activités illégales. Ce côté du miroir est bien sûr difficile à observer mais il est clair qu’il existe et est important. Le fait que le mot le plus recherché par les moteurs de recherche soit sex donne une indication sur l’importance de la demande et laisse imaginer la taille des organisations qui se sont mises en place pour y répondre, avec bien sûr les risques usuels de débordement vers l’illégalité. Internet permet aussi l’achat de produits interdit et de ce point de vue là encore les chiffres sont impressionnants. Media Metrix estime qu’en 2002, le poids du marché noir est équivalent à celui du commerce électronique légal aux États-Unis, 36,5 milliards de dollars pour le premier, 39,3 pour le second. Citons parmi ces activités illégales présentes sur Internet : – – – – la pornographie impliquant des mineurs, les paris et plus généralement les jeux d’argent, les drogues et la délivrance illégale de médicament, les arnaques. Il en existe bien d’autres bien sûr, comme la création de faux papiers ou le piratage informatique, qu’il s’agisse d’intrusion dans des systèmes distants ou de copie d’œuvres protégées par le copyright1 . Toutes ces activités suivent le rythme d’Internet et progressent de façon exponentielle. Une des raisons supplémentaires de leur succès est la relative sécurité qu’elle apporte aux clients. Il est nettement moins risqué légalement et moins dangereux physiquement pour un particulier d’acheter de la drogue sur Internet ou de télécharger un film illégal que de trouver un revendeur dans la rue. 1 ce dernier point soulève bien des débats car ces copies servent aussi clairement les éditeurs de logiciels ou d’œuvres musicales si l’on en croit les progressions des ventes. 201 202 15.1 Chapitre 15 La pornographie infantile La pornographie infantile est légalement interdite tant à la production qu’à la consommation dans la grande majorité des pays. Mais la Russie et l’Indonésie n’ayant pas de lois sur la pornographie infantile, ces pays servent de refuge aux sites web. Cependant il existe d’autres lois, en particulier concernant le viol, qui peuvent être appliquées et qui l’ont été dans l’affaire «Blue Orchid» impliquant des Russes et des Américains. Cette pornographie dérive le plus souvent de la pornographie d’adultes comme l’a montré l’«Opération avalanche» qui a permis l’arrestation de plus de 100 internautes à travers différents pays et mis au jour le rôle d’une entreprise américaine de pornographie adulte apparemment mais de pornographie infantile aussi. Avec 250 000 abonnés, cette société générait 1,4 millions de dollars par mois de bénéfices liés à la pornographie infantile2 . L’ASACP, l’une des nombreuses associations luttant contre la pornographie infantile, indique que depuis sa création en 1996, – elle a reçu 50 000 rapports de sites suspects, – elle a fait suivre 10 600 de ces rapports au FBI, – 58% des sites indiqués ont été fermé par les autorités. Rien qu’en septembre 2002, l’ASACP a rapporté 504 sites aux autorités et 328 d’entre eux ont été fermés. Les douanes américaines ont estimé que 100 000 sites web étaient liés de près ou de loin à la pornographie infantile en 2001. 15.2 Le jeu en ligne Avec plus de 4 milliards de dollars joués dans les casinos en ligne en 2002, le marché du jeu se porte bien même s’il est illégal dans de nombreux pays dont la France. On estime à 4.5 millions d’internautes joueurs à travers le monde. Le problème du jeu en ligne est sa simplicité. Il est trop simple de s’inscrire dans un casino ou sur un site de parieur, de jouer sans limites3 . Cette simplicité a mené à la ruine et au suicide des personnes prises dans l’engrenage. L’association des joueurs anonymes estime à 375 000 les personnes en Angleterre4 ayant des problèmes liés au jeu. Elle indique aussi qu’il n’est pas rare que des joueurs endettés se suicident. Dans un casino physique, ce genre d’aventure est plus difficile car il faut faire l’effort de se déplacer, d’acheter des jetons et le casino se doit de surveiller les clients déraisonnables. 2 Les responsables de la société ont été condamné à la prison à vie pour l’un et à 14 ans de prison pour l’autre. 3 d’autant plus que les cartes de crédit permettent justement de s’endetter facilement 4 les jeux d’argent et les paris sont légaux en Angleterre L’e-mafia 15.3 203 L’achat de drogues et de médicaments La loi concernant la vente de drogues et de médicament varie fortement d’un État à l’autre. Ainsi le site WorldWideSeeds qui vend des graines de cannabis est hébergé aux Pays Bas. Mais même lorsqu’une drogue est illégale dans l’ensemble des pays occidentaux, il est toujours possible d’en acheter sur Internet. Il en est de même pour les médicaments normalement délivrés que sur ordonnance, les amphétamines et autres produits dopants. On considère qu’il y a aujourd’hui plus de 400 pharmacies en ligne qui délivrent tout type de médicaments sans ordonnance. Pillbox a été l’une d’elle jusqu’à ce qu’elle soit fermée en 2001 pour vente sans ordonnance d’antalgiques. Durant les années 2000 et 2001, cette pharmacie en ligne avait attiré plus de 5000 clients et vendu pour 7.7 millions de dollars de médicaments. A coté de ces pharmacies, on peut aussi trouver des produits dopant via les nombreux sites de body building. Il semble relativement simple de s’y procurer des produits illégaux via les sites de discussion liés à cette activité. Dans ce cas, le plus grand risque est la mauvaise utilisation de ces drogues qui a abouti dans de trop nombreux cas à la mort de l’internaute qui les avait commandées. Internet est aussi une bibliothèque qui permet de trouver les recettes de différentes drogues. L’un des exemples récents est liée à ce qu’on appelle la “drogue du viol”. Cette drogue, le GHB, inodore et invisible, se verse dans un verre, rend inconsciente la victime pendant plusieurs heures puis disparaı̂t sans laisser de traces. Le GHB est illégal mais le GBL qui permet de fabriquer du GHB suivant des recettes indiquées sur Internet, est légal au Canada. Aussi un réseau de distribution du GBL a été monté au Canada et exportait en toute illégalité son produit jusqu’à ce qu’il soit démantelé en septembre 2002. La police canadienne a fait une prise de GBL dont la valeur aurait atteint 170 millions de dollars sur le marché noir. Ce réseau exportait dans 20 pays et recevait 160 commandes par jour ce qui générait un chiffre d’affaire de 45 000 dollars par jour. Le plus grand danger semble être dans la mise à disposition de tout le monde d’informations sur la création de drogue à partir de produit légaux ou facilement procurables. Ce danger est d’autant plus important qu’il n’est pas vraiment possible de lutter contre. 15.4 Les arnaques Les arnaques pourraient être la partie la plus amusante de ce chapitre si elles ne menaient pas elle aussi à la ruine de certaines personnes voire à leur mort. Ces arnaques commencent le plus souvent par un mail promettant à son destinataire monts et merveilles. La plus en vogue en ce moment est l’arnaque nigériane : FROM : Mr. Ben Ahore Central Bank of Nigeria Lagos, Nigeria [Phone Number] 204 Chapitre 15 Dear Sir : I have been requested by the Nigerian National Petroleum Company to contact you for assistance in resolving a matter. The Nigerian National Petroleum Company has recently concluded a large number of contracts for oil exploration in the sub-Sahara region. The contracts have immediately produced moneys equalling US$40,000,000. The Nigerian National Petroleum Company is desirous of oil exploration in other parts of the world, however, because of certain regulations of the Nigerian Government, it is unable to move these funds to another region. You assistance is requested as a non-Nigerian citizen to assist the Nigerian National Petroleum Company, and also the Central Bank of Nigeria, in moving these funds out of Nigeria. If the funds can be transferred to your name, in your United States account, then you can forward the funds as directed by the Nigerian National Petroleum Company. In exchange for your accomodating services, the Nigerian National Petroleum Company would agree to allow you to retain 10%, or US$4 million of this amount. However, to be a legitimate transferee of these moneys according to Nigerian law, you must presently be a depositor of at least US$100,000 in a Nigerian bank which is regulated by the Central Bank of Nigeria. ... En général la demande d’argent vient de façon plus subtile après quelques mails échangés voire des conversations téléphoniques. Dans certain cas il est demandé à la personne de venir en Afrique où elle peut être enlevée puis éventuellement tuée. Si ce procédé peut sembler trop énorme, il a malheureusement pour ses victimes, fonctionné plus d’une fois et parfois dans des dimensions extraordinaires comme ce cas d’une comptable d’un cabinet d’avocat qui a versé 2.1 millions de dollars depuis différents comptes du cabinet. Le site Nigerian 4-1-9 Scam décrit en détail le fonctionnement de ce type d’arnaque. Chapitre 16 Le monde virtuel Internet change les relations entre les personnes comme a pu le faire le téléphone. L’étude de France Telecom sur l’usage d’Internet par les français présente l’intérêt d’Internet pour les utilisateurs occasionnels ou les internautes assidus. On note que pour ces derniers, les échanges tiennent une part nettement plus importante que pour l’ensemble de la population : Fig. 16.1 – Utilisation d’Internet par les français source : Baromètre France Telecom, février 2002 Pour les internautes, Internet sert avant tout à échanger du courrier. On notera au passage que pour les non-internautes, l’intérêt du courrier électronique est limité puisqu’ils ne sont 205 206 Chapitre 16 que 60% à imaginer l’utiliser1 . Cet aspect souligne la différence entre le Minitel, produit de consommation familier aux Français, et Internet, outil de communication. D’ailleurs, même si les internautes français se disent friants du courrier électronique, l’e-mail est encore peu utilisé au sein de sa tribu par rapport à d’autres pays européens : Fig. 16.2 – Intensité de l’utilisation du courrier électronique source : SIBIS, Pocket Book 2002/03 On considère dans cette étude, une intensité élevée de communication par courrier électronique lorsque plus des 3/4 des amis et parents d’un internautes ont un adresse électronique. Si la notion de communauté virtuelle n’est pas immédiate, elle s’impose à l’usage. Les niveaux de relation au sein d’Internet sont : 1. les amis proches avec lesquels on communique par mail voire via irc ou d’autres formes de discussion interactive, 2. les relations professionnelles pour lesquelles le mail est encore l’outil le plus utilisé suivi des listes de diffusion, 3. les contacts en direct mais le plus souvent passagés, à la Minitel rose, qui recouvre irc ou encore ICQ, 4. les personnes partageant un intérêt commun qui se retrouvent dans des forums (newsgroup) ou dans des listes de diffusion, le plus souvent rattachées à un site web. Ce dernier point est à l’origine des communautés virtuelle sur Internet. Parmi ces communautés certaines sont devenues célèbres, la plus célèbre étant celle des logiciels libres. Ainsi la figure ci-dessous, illustre les contacts que se sont forgé les développeurs de logiciels libres à travers Internet. Il est à noter qu’il s’agit des relations de développement qui sont nettement plus restreintes que ne l’est la communauté des utilisateurs. 1 L’ensemble de la population comprend les internautes qui représentent 47% de la population d’après cette étude 207 Le monde virtuel Fig. 16.3 – Nombre de contacts réguliers entretenus par les développeurs de logiciels libres entre eux en pourcentage source : Free/Libre and Open Source Software : Survey and Study, juin 2002. 16.1 Le logiciel libre 16.1.1 GNU’s not UNIX Le projet GNU a été lancé en 1984 par Richard M. Stallman afin de créer un système d’exploitation libre. Le système devait être similaire à UNIX sans en être un, d’où la maxime GNU’s Not Unix !2 . Ce système, Hurd, n’a pas vu le jour, ou du moins sous la forme annoncée par Stallman, mais le projet GNU a permis la création de nombreux logiciels libres donc le compilateur C gcc et a ainsi permis la création de Linux. De nombreux autres projets libres doivent leur existence au projet GNU soit en s’appuyant sur des logiciels libres du projet GNU, soit en reprenant la philosophie et la licence GNU, la GPL. Fig. 16.4 – RMS Mais l’aspect principal du projet GNU est sa portée politique. Les logiciels, comme la 2 avec une définition récursive de GNU 208 Chapitre 16 connaissance, doivent être libres d’accès. 16.1.2 L’aspect politico-économique des logiciels libres Pour un chercheur, un logiciel dont on ne dispose que de l’exécutable est un produit inexploitable. Il ne permet pas de comprendre son fonctionnement ni de développer des extensions ou de l’intégrer à un projet. Pour un utilisateur lambda, un logiciel commercial est un objet dont l’utilisation est strictement réglementée et la copie et diffusion interdites. A l’inverse un logiciel libre permet – – – – de le lire dans le texte, de le modifier, de l’offrir, et bien sûr de l’utiliser comme on veut. Cet aspect primordial dans le cas de la recherche est aussi des plus importants lorsqu’on touche les institutions publiques. Pour de nombreuses personnes, les logiciels libres doivent être la norme pour – le milieu éducatif Les enfants doivent apprendre et comprendre des concepts et non l’utilisation de tel produit commercial, – l’administration Les documents et autre outils utilisés par l’administration doivent être librement accessibles par tous c.a.d. sans avoir besoin d’acquérir des outils commerciaux pour les comprendre. La lettre à Microsoft du Dr. Villanueva Nuñez, membre du congrès du Pérou, précise toutes les raisons qui justifient qu’un gouvernement choisisse les logiciels libres pour son administration. On peut aussi mettre en avant l’aspect solidaire des logiciels libres en particulier vis-à-vis des personnes et des pays pour lesquels le coût de licence logiciel est prohibitif. Enfin d’un point de vue économique, les logiciels libres apportent une solution élégante liée à la gratuité des coûts de copie et de diffusion des logiciels. En rendant libre son travail, un développeur le met gratuitement à la disposition des autres. Sachant qu’un très grand nombre de développeurs en font de même, chacun récupère tout le travail des autres en échange de son travail personnel, ce qui compense plus que largement le travail offert. Si l’on pouvait avoir la copie et la distribution des aliments gratuits, il suffirait, en appliquant le principe des logiciels libres, qu’une personne cultive une douzaine de carottes pour que tout le monde ait sa douzaine de carottes, qu’un autre produise un gateau au chocolat pour que chacun ait son gateau au chocolat autant de fois qu’il veut. Bien sûr il n’est pas possible de dupliquer les petits pains, mais puisque c’est possible avec les logiciels, l’idée des défenseurs des logiciels libres est que le système économique classique n’est peut-être pas le mieux adapté au développement des logiciels et à tout ce qui est numérisable. Le monde virtuel 16.1.3 209 Les mouvements du libre La communauté des logiciels libres est probablement la plus importante sur Internet. On estime à plus de 20 millions les personnes utilisant des logiciels libres à travers Linux. Elle est très active et dispose aujourd’hui de nombreux relais à travers les forums et sites web dédiés, des journaux spécialisés, des organisations, des individualités dont des hommes politiques, etc... En reprenant cet ordre, on peut citer les forums *.comp.*.linux, des sites web comme Da Linux French Page en français ou un site pilier au niveau mondial, Slashdot. Parmi les principales organisations qui œuvrent pour le développement des logiciels libres on a entre autres : – – – – La Free Software Foundation, la FSF, et sa délégation européenne la FSF Europe, LOpen Source Initiative, les associations AFUL et APRIL au niveau national, l’ABUL pour Bordeaux et de nombreuses autres associations locales à travers la France dont les LUGs (Linux Users Groups), Enfin citons ces quelques hommes politiques français : Lionel Jospin : L’administration montre l’exemple en ayant recours à des solutions technologiques innovantes, tels les logiciels libres qui, bien souvent, favorisent la pérennité et la sécurité des systèmes d information. Christian Pierret : J’ai déjà soutenu personnellement les logiciels libres [...] Je suis heureux de voir des éditeurs français de logiciels libres comme MandrakeSoft réussir aux Etats-Unis. Je soutiens Linux et les logiciels libres parce qu’ils permettent à l’administration d être plus rapidement en ligne. Michel Sapin : Je veux saluer pour conclure ce qui constitue finalement, de mon point de vue, l’apport le plus important de la communauté du libre à notre société. Il s’agit de la démonstration, faite chaque jour par le développement d’outils comme Apache, Zope ou Linux, de la force et de l’efficacité du modèle de développement coopératif qui est le propre des logiciels libres. 16.2 L’internet politique Comme tous les médias, Internet sert à propager les idées politiques et comme souvent, Internet sert plus spécifiquement à exprimer les idées politiques directement liées à Internet à savoir liées à l’impact des ordinateurs et des réseaux sur notre société. On retrouve dans ce cas le même schéma que pour la communauté des logiciels libres avec des discussions au niveau du mail et de listes de diffusion, des forums et la création 210 Chapitre 16 d’organisations virtuelles. 16.2.1 Computer Professionals for Social Responsibility Le CPSR a été crée en 1982 pour surveiller l’usage des ordinateurs en particulier par les militaires. Cette association a ainsi souligné l’impossibilité technique d’un point de vue informatique du projet de guerre des étoiles de Ronald Reagan. Le CPSR a augmenté son champ d’action en créant en 1986 le Privacy and Civil Liberties Project situé à Washington afin d’apporter son expertise informatique aux organismes en ayant besoin. Au début des années 90 le CPSR a poussé l’administration américaine à développer Internet auprès du grand public. En 1994, la délégation à Washington du CPSR est devenu l’EPIC, The Electronic Privacy Information Center. Depuis le CPSR intervient tant sur l’impact d’Internet sur la vie privée que sur la gouvernance d’Internet ou la propriété intellectuelle. 16.2.2 Les associations d’utilisateurs L’ISOC, mais aussi en France l’Association des Utilisateurs d’Internet, l’AUI, ou le chapitre français de l’ISOC, ont dès leurs débuts abordés les problèmes politiques liés à Internet en plus de leurs aspects d’information, de réflexion technique, de défense des consommateurs... Il entre dans leurs buts le plus souvent, d’intervenir auprès des politiques de leur pays pour faire évoluer les lois ayant un impact sur Internet dans le sens qu’elles jugent préférable. Ainsi en 1996, l’AUI a obtenu que le conseil constitutionnel casse la loi Fillon instaurant un conseil de surveillance de l’Internet. Ces associations forment aussi des réseaux virtuels entres elles et le cas échéant créent des associations d’association afin de défendre un point précis comme c’est la cas pour The Global Internet Liberty Campaign. Annexes A - Adresses juridiques Fax : 01 45 51 93 20 CIRA (Centre Inter-Ministériel de Renseignements Administratifs) Tel : 01 40 01 11 01 APP (Agence pour la Protection des Programmes) 119 rue de Flandres 75019 Paris Tel : 01 40 35 03 03 Fax : 01 40 38 96 43 Mél : [email protected] http ://app.legalis.net http ://www.legalis.net/iddn CLUSIF (Club de la Sécurité Informatique Francais) 2, Rue de la Chaussée d’Antin, 75009 Paris Tel : 01 42 47 92 28 Mel : [email protected] http ://www.clusif.asso.fr/ ART (Autorité de Régulation des Télécommunications) 7, square Max Hymans 75730 Paris Cedex 15 Tél : 01 40 47 70 35 Fax : 01 40 47 71 98 Mél : [email protected] http ://www.art-telecom.fr BCRCI (Brigade centrale de Repression de la Criminalite informatique) 101 rue des Trois Fontanot 92000 Nanterre Tel : 01 40 97 87 72 01 40 97 83 12 Idem Fax : 01 47 21 00 42 Bibliothèque juridique Cujas 2 rue Cujas 75005 Paris Tel : 01 44 07 79 87 Fax : 01 44 07 78 32 http ://cujas.univ-paris1.fr/ CNIL (Commission Nationale de l’Informatique et des Libertés) 21 rue St Guillaume 75340 Paris cedex 07 Tel : 01 45 44 40 65 Fax : 01 45 49 04 55 3615 CNIL http ://www.cnil.fr Chambre Arbitrale de Paris Bourse du Commerce 75001 Paris Tel : 01 42 36 99 65 Conseil Constitutionnel 2 rue Montpensier 75001 Paris Tel : 01 40 15 30 00 Fax : 01 40 20 93 27 Mél : [email protected] http ://www.conseil-constitutionnel.fr Conseil Supérieur de la Magistrature 15 quai Branly 75007 Paris CADA (Commission d’Accès aux Docu- Tel : 01 42 92 82 00 ments Administratifs) CSC (Commission Supérieure de Codifica31 rue de Constantine 75700 Paris tion) Tel : 01 47 05 99 51 211 212 57 rue de Varenne 75700 Paris Tel : 01 45 75 81 59 Tel : 01 45 58 93 93 Fax : 01 45 58 94 00 Conseil Superieur du Notariat 31, Rue du Général Foy, 75008 Paris Tel : 01 44 90 30 00 Fax : 01 44 90 30 30 Liste Robinson Système Stop-Publicité (pour être radié des fichiers Commerciaux) U.F.M.D. - 60, rue de la Boétie 75008 Paris Cour de Justice de la République 21 r Constantine 75007 Paris Tel : 01 44 11 31 00 Fax : 01 44 11 31 39 Mél : [email protected] Direction de la Documentation Française 29 & 31 quai Voltaire 75340 Paris Cedex 07 Tel : 01 40 15 70 00 Fax : 01 40 15 72 30 36 15/16 Doctel http ://www.ladocfrancaise.gouv.fr Direction des Journaux Officiels 26 rue Desaix 75015 Paris 01 40 58 75 OO Répondeur Tel : 01 40 58 76 00 Fax : 01 40 58 75 74 http ://www.journal-officiel.gouv.fr Mediateur de la République 53 avenue Iéna 75116 Paris Tel : 01 45 01 86 56 Tel : 01 45 02 72 72 Fax : 01 45 00 47 91 http ://www.mediateur-de-la-republique.fr Ministère de la Justice 13 place Vendôme 75001 Paris Tel : 01 44 77 60 60 http ://www.justice.gouv.fr Ministère de l’Intérieur 7 rue Nélaton 75015 Paris Tel : 01 40 57 57 57 http ://www.interieur.gouv.fr/ Ordre des Avocats de Paris 11 Place Dauphine 75001 Paris Tel : 01 44 32 48 48 Fax : 01 46 34 77 65 01 44 32 47 70 Accueil du public Palais de Justice 4 boulevard du Palais 75001 Paris 01 44 32 50 50 Cour de Cassation 01 44 32 51 51 Tribunal de Grande Instance 01 44 32 52 52 Cour d’Appel de Paris 01 43 54 22 60 Parquet du Procureur de la Editions Législatives 80 Avenue de la Marne 92546 Montrouge République Cedex SCSSI (Service Central de la Securité des Tel : 01 40 92 68 68 Systèmes d’Information) Fax : 01 46 56 00 15 18 rue du Docteur Zamenhof 92131 Issy-lesMoulineaux Cedex Européenne de Données Tel : 01 41 46 37 00 164 ter rue d’Aguessau Fax : 01 41 46 37 01 92100 Boulogne-Billancourt Tel : 01 46 05 29 29 SEFTI (Service d’Enquête des Fraudes aux Fax : 01 46 05 42 55 Technologies de l’Information) Juris-Data (Éditions du Juris- 163 Avenue d’Italie 75013 Paris Tel : 01 40 79 67 50 Classeur) Fax : 01 40 79 77 20 141, rue de Javel 75747 Paris cedex 15 Editions du Juris-Classeur 141 rue de Javel 75015 Paris Tel : 01 05 05 06 07 Fax : 01 45 58 94 00 213 Tribunal de Commerce 1 quai Corse 75004 Paris Tel : 01 43 29 21 24 01 44 41 54 54 Greffe 08 36 29 11 11 Infogreffe atteindre près de 10 FF/minute. Source : Cette liste a été construite à partir de celle du site juridique de Jérôme Rabenou. A voir : Note : Les numéros commençant par 08 36 – Le site Le Jargon Français. où tout ces correspondent à des services accessibles par sigles sont décrits. Minitel (V.23) à des tarifications pouvant – Le portail de l’administration française B - Modèle de lettre de plainte pour spam Ce modèle de lettre est proposé par la CNIL dans son dossier relatif au spam. Objet : Plainte relative à l’envoi de courriers électroniques non sollicités constitutif d’une infraction à la loi "Informatique et Libertés" du 6 janvier 1978 Monsieur le procureur de la République, J’ai l’honneur de porter à votre connaissance les faits suivants : (exposer les faits : date de réception du courrier électronique, démarche effectuée, etc.). La CNIL a, de façon constante, admis qu’une adresse électronique est une information nominative dans la mesure où elle permet directement ou indirectement d’identifier une personne physique. Dès lors, les personnes qui en sont titulaires bénéficient des dispositions protectrices de la loi du 6 janvier 1978. Or, la pratique du ’spamming’ viole les dispositions de la loi ’informatique et libertés’ sur au moins trois points. 1. La collecte illicite des adresses servant à des opérations de ’spamming’. Il apparaı̂t que les entreprises à l’origine de spams recourent, le plus souvent, à des outils, appelés ’aspirateurs de mails’ (robot-mails), permettant de collecter des adresses électroniques figurant dans les espaces publics de l’internet (forums de discussion, pages personnelles ou d’entreprises, etc.). Cette méthode de constitution de bases de données qui revient à collecter, à l’insu des personnes, leur adresse électronique est en totale opposition avec l’article 25 de la loi ’informatique et libertés’ qui énonce : "La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite". Je confirme que je n’ai jamais été en contact avec l’organisme expéditeur de ce message et que je n’ai jamais autorisé l’utilisation à des fins commerciales de mon adresse électronique. 2. Le non-respect du droit d’opposition. L’article 26 de la loi du 6 janvier 1978 et l’article 14 de la directive 95/46 du 24 octobre 1995 reconnaissent à toute personne le droit de s’opposer à l’utilisation commerciale de ses données ou à la transmission de celles-ci à des tiers. Je confirme que je n’ai pu faire valoir mon droit à opposition lors de la réception des messages incriminés, soit que le lien de désinscription existe mais ne fonctionne pas, soit qu’il n’existe pas. 214 La collecte illicite et le non respect du droit d’opposition sont sanctionnés par l’article 226-18 du Code pénal. 3. L’absence de déclaration auprès de la CNIL d’un traitement automatisé d’informations nominatives Une opération de prospection commerciale par voie électronique suppose la constitution et l’utilisation de traitements automatisés d’informations nominatives. Dés lors ces traitements doivent être déclarés à la CNIL conformément à l’article 16 de la loi du 6 janvier 1978. Tout manquement à cette obligation est sanctionné par l’article 226-16 du Code pénal. Je confirme avoir vérifié auprès de la CNIL que ce traitement n’a pas été déclaré à ce jour. Par ces motifs, j’ai l’honneur de porter plainte contre X (ou le nom de l’organisme incriminé si vous en avez connaissance), et vous demande de bien vouloir procéder ou faire procéder à toutes les mesures nécessaires à la recherche et la poursuite des auteurs des infractions à la loi Informatique et Libertés du 6 janvier 1978. Vous trouverez ci-joint une copie intégrale du courrier électronique visé dans cette affaire. Je vous prie d’agréer, Monsieur le procureur de la République, l’assurance de ma considération distinguée. Il faut joindre à cette lettre une copie du mail avec tous les en-têtes, et adresser le tout au procureur de la République du parquet du tribunal de grande instance du lieu de votre domicile ou du domicile de l’auteur du spam si vous le connaissez. Il est également possible de porter plainte au commissariat ou à la brigade de gendarmerie qui transmettra au procureur. Concernant la demande de radiation de votre e-mail de la liste du spammeur, c’est un exercice à risque puisque permettant au spammeur de savoir que votre adresse est valide. Il est donc conseillé de se créer une adresse dédiée à ce type de protestation ou plus simplement de ne pas utiliser cet aspect de non-respect du droit d’opposition dans votre plainte. 215 C - Code ISO 3166-1 des pays AFGHANISTAN AFRIQUE DU SUD ALBANIE ALGÉRIE ALLEMAGNE ANDORRE ANGOLA ANGUILLA ANTARCTIQUE ANTIGUA-ET-BARBUDA ANTILLES NÉERLANDAISES ARABIE SAOUDITE ARGENTINE ARMÉNIE ARUBA AUSTRALIE AUTRICHE AZERBAÏDJAN BAHAMAS BAHREÏN BANGLADESH BARBADE BÉLARUS BELGIQUE BELIZE BÉNIN BERMUDES BHOUTAN BOLIVIE BOSNIE-HERZÉGOVINE BOTSWANA BOUVET, ÎLE BRÉSIL BRUNÉI DARUSSALAM BULGARIE BURKINA FASO BURUNDI CAÏMANES, ÎLES CAMBODGE CAMEROUN CANADA CAP-VERT CENTRAFRICAINE, RÉPUBLIQUE CHILI CHINE CHRISTMAS, ÎLE CHYPRE COCOS (KEELING), ÎLES COLOMBIE COMORES CONGO CONGO, LA RÉPUBLIQUE DÉMOCRATIQUE DU COOK, ÎLES CORÉE, RÉPUBLIQUE DE CORÉE, RÉPUBLIQUE POPULAIRE DÉMOCRATIQUE DE COSTA RICA CÔTE D’IVOIRE CROATIE CUBA DANEMARK DJIBOUTI DOMINICAINE, RÉPUBLIQUE DOMINIQUE ÉGYPTE EL SALVADOR ÉMIRATS ARABES UNIS ÉQUATEUR ÉRYTHRÉE ESPAGNE ESTONIE ÉTATS-UNIS ÉTHIOPIE FALKLAND, (MALVINAS) FÉROÉ, ÎLES FIDJI FINLANDE FRANCE GABON GAMBIE GÉORGIE GÉORGIE DU SUD ET LES ÎLES SANDWICH DU SUD GHANA GIBRALTAR AF ZA AL DZ DE AD AO AI AQ AG AN SA AR AM AW AU AT AZ BS BH BD BB BY BE BZ BJ BM BT BO BA BW BV BR BN BG BF BI KY KH CM CA CV CF CL CN CX CY CC CO KM CG CD CK KR KP CR CI HR CU DK DJ DO DM EG SV AE EC ER ES EE US ET FK FO FJ FI FR GA GM GE GS GH GI GRÈCE GRENADE GROENLAND GUADELOUPE GUAM GUATEMALA GUINÉE GUINÉE-BISSAU GUINÉE ÉQUATORIALE GUYANA GUYANE FRANÇAISE HAÏTI HEARD, ÎLE ET MCDONALD, ÎLES HONDURAS HONG-KONG HONGRIE ÎLES MINEURES ÉLOIGNÉES DES ÉTATS-UNIS ÎLES VIERGES BRITANNIQUES ÎLES VIERGES DES ÉTATSUNIS INDE INDONÉSIE IRAN IRAQ IRLANDE ISLANDE ISRAËL ITALIE JAMAÏQUE JAPON JORDANIE KAZAKSTAN KENYA KIRGHIZISTAN KIRIBATI KOWEÏT LAO LESOTHO LETTONIE LIBAN LIBÉRIA LIBYE LIECHTENSTEIN LITUANIE LUXEMBOURG MACAO MACÉDOINE, L’EXRÉPUBLIQUE YOUGOSLAVE DE MADAGASCAR MALAISIE MALAWI MALDIVES MALI MALTE MARIANNES DU NORD, ÎLES MAROC MARSHALL, ÎLES MARTINIQUE MAURICE MAURITANIE MAYOTTE MEXIQUE MICRONÉSIE, ÉTATS FÉDÉRÉS DE MOLDOVA, RÉPUBLIQUE DE MONACO MONGOLIE MONTSERRAT MOZAMBIQUE MYANMAR NAMIBIE NAURU NÉPAL NICARAGUA NIGER NIGÉRIA NIOUÉ NORFOLK, ÎLE NORVÈGE NOUVELLE-CALÉDONIE NOUVELLE-ZÉLANDE OCÉAN INDIEN, TERRITOIRE BRITANNIQUE GR GD GL GP GU GT GN GW GQ GY GF HT HM HN HK HU UM VG VI IN ID IR IQ IE IS IL IT JM JP JO KZ KE KG KI KW LA LS LV LB LR LY LI LT LU MO MK MG MY MW MV ML MT MP MA MH MQ MU MR YT MX FM MD MC MN MS MZ MM NA NR NP NI NE NG NU NF NO NC NZ IO OMAN OUGANDA OUZBÉKISTAN PAKISTAN PALAOS PALESTINE PANAMA PAPOUASIE-NOUVELLEGUINÉE PARAGUAY PAYS-BAS PÉROU PHILIPPINES PITCAIRN POLOGNE POLYNÉSIE FRANÇAISE PORTO RICO PORTUGAL QATAR RÉUNION ROUMANIE ROYAUME-UNI RUSSIE, FÉDÉRATION DE RWANDA SAHARA OCCIDENTAL SAINTE-HÉLÈNE SAINTE-LUCIE SAINT-KITTS-ET-NEVIS SAINT-MARIN SAINT-PIERRE-ETMIQUELON SAINT-SIÈGE (VATICAN) SAINT-VINCENT-ET-LES GRENADINES SALOMON, ÎLES SAMOA SAMOA AMÉRICAINES SAO TOMÉ-ET-PRINCIPE SÉNÉGAL SEYCHELLES SIERRA LEONE SINGAPOUR SLOVAQUIE SLOVÉNIE SOMALIE SOUDAN SRI LANKA SUÈDE SUISSE SURINAME SVALBARD ET ÎLE JAN MAYEN SWAZILAND SYRIE TADJIKISTAN TAÏWAN TANZANIE TCHAD TCHÈQUE, RÉPUBLIQUE TERRES AUSTRALES FRANÇAISES THAÏLANDE TIMOR ORIENTAL TOGO TOKELAU TONGA TRINITÉ-ET-TOBAGO TUNISIE TURKMÉNISTAN TURKS ET CAÏQUES, ÎLES TURQUIE TUVALU UKRAINE URUGUAY VANUATU Vatican, État de la Cité du voir SAINT-SIÈGE VENEZUELA VIET NAM WALLIS ET FUTUNA YÉMEN YOUGOSLAVIE Zaı̈re voir CONGO, LA RÉPUBLIQUE DÉMOCRATIQUE DU ZAMBIE ZIMBABWE OM UG UZ PK PW PS PA PG PY NL PE PH PN PL PF PR PT QA RE RO GB RU RW EH SH LC KN SM PM VA VC SB WS AS ST SN SC SL SG SK SI SO SD LK SE CH SR SJ SZ SY TJ TW TZ TD CZ TF TH TP TG TK TO TT TN TM TC TR TV UA UY VU VE VN WF YE YU ZM ZW 216 Bibliographie Les chiffres en fin de référence renvoient à la page citant cette référence. [AM98] et S. Vanstone A. Menezes, P. van Oorshot. The Handbook of Applied Cryptography. Technical report, CRC Press, 1998. http ://www.cacr.math.uwaterloo.ca/hac/. 68 [Ben01] Alain Bensoussan. Informatique Télécoms Internet. Francis Lefebvre, 2001. 147 [Bro01] Éric Brousseau. Régulation de l’internet : L’autorégulation nécessite-t-elle un cadre institutionnel ? Revue Economique, Numéro Hors-Série, ”Economie de l’Internet”, (52) :pp. 348–377, 2001. 190 [Che02] Laurent Chemla. Confessions d’un voleur. Denoël, 2002. Livre téléchargeable gratuitement sur http ://www.confessions-voleur.net/. [dldl98] Groupement Français de l’Industrie de l’Information, editor. 7 clés juridiques pour Internet. Afnor, 1998. 145 [FL02] Editions Francis Lefebvre. Vente électronique : cadre juridique, 2002. 180 [Hel00] Stéphane Heller. Comment protéger les jeunes Internautes ? Technical report, Université de Lausanne, 2000. http ://www.cova.ch/sheller/. 194 [Hui95] Christian Huitéma. Et Dieu créa l’internet. Eyrolles, 1995. 27 [Int00] Internationnal PGP. How PGP works, the Basis of Cryptography, 2000. http ://www.pgpi.org/doc/pgpintro/. [Kah96] David Kahn. The Codebreakers, 2e édition. 1996. 68 [Kil02] Patrick Killelea. Web Performance Tuning. O’Reilly, 2002. 123 [La 00] La Recherche. Spécial Internet, L’avenir du Web, Février 2000. 22 [Lab00] RSA Laboratories. Frequently asked questions about today’s cryptography. Technical report, 2000. http ://www.rsasecurity.com/rsalabs/faq. 68 [Lor98] Françis Lorentz. La nouvelle donne du commerce électronique. Technical report, Ministère de l’économie, des finances et de l’industrie, 1998. [Lég02] Editions Législatives, editor. Législatives, 2002. 147 Guide permanet Droit et Internet. Editions [Sin99] Simon Sing. Histoire des codes secrets. Lattès, 1999. 60, 68 [Séd97] Valérie Sédallian. Droit de l’Internet. Collection AUI, 1997. Livre téléchargeable gratuitement sur http ://www.internet-juridique.net/livre.html. 147 217