Internet, commerce et politique - Olivier Ricou

Transcription

Olivier Ricou
Internet, commerce & politique
Version 1.4 du 8 avril 2005
Table des matières
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
I
Ce média appelé Internet
19
1 Une petite histoire
21
2 La topologie de l’Internet
29
2.1
Le passage des paquets de réseau en réseau . . . . . . . . . . . . . . . . . . 29
2.2
Des domaines et des noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3 Le gouvernement de l’Internet
37
3.1
L’IETF et l’IESG, les protocoles et l’évolution technique . . . . . . . . . . . 38
3.2
L’IAB, les grands architectes de l’Internet . . . . . . . . . . . . . . . . . . . 40
3.3
L’ICANN, l’Internet Corporation for Assigned Names and Numbers . . . . 40
3.4
L’APNIC, l’ARIN, le LACNIC et le RIPE . . . . . . . . . . . . . . . . . . . 46
3.5
L’ISOC, l’Association des internautes
3.6
Le W3C, Web Web Web Consortium . . . . . . . . . . . . . . . . . . . . . . 47
3.7
Les autres, IEEE, UIT... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.8
Les organismes français . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.9
Qui a le pouvoir ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
. . . . . . . . . . . . . . . . . . . . . 47
3.10 L’avenir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4 La sécurité sur Internet
53
3
II
4.1
Les faiblesses de l’Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
4.2
L’espionnage industriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.3
Introduction à la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.4
L’authorité de certification . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.5
Utilisation de la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.6
La sûreté de la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.7
Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Le commerce sur Internet
5 Les chiffres d’Internet et du commerce électronique
71
73
5.1
Les internautes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
5.2
Les machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.3
Le commerce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
5.4
Les sociétés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
6 La rentabilité sur Internet
93
6.1
Les coûts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
6.2
Les revenus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
6.3
La rentabilité de la gratuité . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
6.4
Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
7 Les outils du commerce électronique
113
7.1
Pourquoi des outils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
7.2
Yahoo ! Store . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
7.3
Enfinity d’Intershop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
7.4
WebSphere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
7.5
Commerce Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
7.6
La post-installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
8 Le paiement électronique
III
125
8.1
Les moyens de paiement usuels . . . . . . . . . . . . . . . . . . . . . . . . . 126
8.2
Les monnaies complémentaires . . . . . . . . . . . . . . . . . . . . . . . . . 127
8.3
Les micro-paiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
8.4
Les macro-paiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
8.5
Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
La loi de l’Internet
141
La portée du droit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
9 La liberté d’expression
149
9.1
La liberté des uns s’arrête... . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
9.2
La loi relative à la liberté de communication . . . . . . . . . . . . . . . . . . 150
9.3
Critiques et atteinte à l’image de marque . . . . . . . . . . . . . . . . . . . 152
10 Le copyright
155
10.1 Historique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
10.2 La copie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
10.3 Les noms de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
10.4 Les brevets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
11 La vie privée sur Internet
167
11.1 La collecte de données nominatives . . . . . . . . . . . . . . . . . . . . . . . 167
11.2 Le réseautage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
11.3 La concentration des moyens . . . . . . . . . . . . . . . . . . . . . . . . . . 172
11.4 L’usage de la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
11.5 La protection par l’anonymat . . . . . . . . . . . . . . . . . . . . . . . . . . 174
11.6 Une solution technique : P3P . . . . . . . . . . . . . . . . . . . . . . . . . . 174
12 Risques et devoirs de l’entreprise en ligne
179
12.1 La vente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
12.2 La signature électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
12.3 Le courrier électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
12.4 Le piratage et malveillances . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
13 Régulation, co-régulation et autorégulation
187
13.1 La régulation technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
13.2 RFC 1855 : la Netiquette . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
13.3 L’ICANN et l’UDRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
13.4 Relations de la France avec Internet . . . . . . . . . . . . . . . . . . . . . . 190
13.5 Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
IV
La société de l’Internet
14 L’e-État
191
193
14.1 Internet Service Public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
14.2 L’administration électronique . . . . . . . . . . . . . . . . . . . . . . . . . . 197
14.3 Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
15 L’e-mafia
201
15.1 La pornographie infantile . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
15.2 Le jeu en ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
15.3 L’achat de drogues et de médicaments . . . . . . . . . . . . . . . . . . . . . 203
15.4 Les arnaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
16 Le monde virtuel
205
16.1 Le logiciel libre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
16.2 L’internet politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Annexes
211
A - Adresses juridiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
B - Modèle de lettre de plainte pour spam . . . . . . . . . . . . . . . . . . . . . . 213
C - Code ISO 3166-1 des pays . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Bibliographie
216
Liste des tableaux
3.1
La vision de l’ICANN d’un ancien de l’Internet . . . . . . . . . . . . . . . . 44
3.2
Résultat du vote de l’election At Large de l’ICANN (automne 2000) . . . . 45
4.1
Niveau de sécurité des serveurs français (étude de ProjetWeb, mai 2001) . . 55
5.1
Nombre d’internautes par continents (en millions)
5.2
Prévisions du nombre d’internautes (en millions) . . . . . . . . . . . . . . . 75
5.4
Pays ayant le meilleur taux de connexion à l’Internet . . . . . . . . . . . . . 76
6.1
Prix mensuel d’une connexion et d’un hébergement en France en 2002 . . . 94
6.2
Coût de développement d’un site web entre 96 et 2001 . . . . . . . . . . . . 96
6.3
Variation du CPM suivant le type de site web . . . . . . . . . . . . . . . . . 106
6.4
Prix de la publicité sur Internet en septembre 99 . . . . . . . . . . . . . . . 107
7.1
Prix 2005 de Yahoo ! Store . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
7.2
La plateforme WebSphère et ses composants . . . . . . . . . . . . . . . . . . 121
7.3
Prix catalogue automne 2002 de WebSphere Commerce Suite . . . . . . . . 122
7.4
Prix du site Microsoft de la suite Commerce Server 2002 . . . . . . . . . . . 122
8.1
Statistique sur la pénétration de monnaie électronique en Europe et aux EU 129
8.2
Evolution de l’utilisation de la Geldkarte entre 1997 et 1999 . . . . . . . . . 131
. . . . . . . . . . . . . . 74
10.1 Michel Rocard ferraille contre le brevet logiciel, LE MONDE du 17.02.05 . . 162
11.1 Réglementation française en matière d’utilisation, de fourniture et d’importation de moyens de cryptologie en France . . . . . . . . . . . . . . . . . . . 173
9
Table des figures
1
Plan graphique des chapitres . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.1
1978 : Arrêt du réseau Cyclade en France . . . . . . . . . . . . . . . . . . . 22
1.3
Le rézo et ses protocoles en 1991 . . . . . . . . . . . . . . . . . . . . . . . . 24
1.2
Evolution des réseaux en nombre de machines jusqu’en 1998 . . . . . . . . . 25
1.4
Le rézo et ses protocoles en 1997 . . . . . . . . . . . . . . . . . . . . . . . . 26
1.5
Evolution statistique de Usenet entre 1995 et 2002 . . . . . . . . . . . . . . 27
2.1
Carte des FAI en 1999 vue par Burch et Cheswick . . . . . . . . . . . . . . 29
2.2
Renater en 2004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.3
Géant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.4
Les connexions internationnales d’Internet 2 (les dorsales sont à 10 Gbits) . 32
2.5
La carte météo d’Internet 2 (ce matin là, seul 10% des 10 Gbits du réseau
étaient utilisés) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.6
Carte de la topologie d’Internet vue par CAIDA . . . . . . . . . . . . . . . 34
2.7
Exemple de zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.8
Délégation de zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.9
Fonctionnement récursif du DNS . . . . . . . . . . . . . . . . . . . . . . . . 36
3.1
Histoire des organismes techniques de l’Internet . . . . . . . . . . . . . . . . 38
3.2
La régulation d’Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.3
Organigramme 2002 de l’ICANN . . . . . . . . . . . . . . . . . . . . . . . . 42
3.4
Organigramme de l’ICANN . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.5
Répartition des adresses IPv4 fin juin 2003 (en équivalent classes A) . . . . 46
11
3.6
Distribution d’adresses IPv6 entre 1999 et juin 2003 par région . . . . . . . 47
4.1
Echelon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.2
Attaque de l’homme au milieu . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.3
Encodage d’un message à l’aide de PGP . . . . . . . . . . . . . . . . . . . . 64
4.4
Décodage d’un message à l’aide de PGP . . . . . . . . . . . . . . . . . . . . 64
4.5
GPA, l’interface graphique de GPG . . . . . . . . . . . . . . . . . . . . . . . 65
4.6
Netscape mail et PGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
4.7
Vitesse de test des clés RC5-64 depuis 1997 . . . . . . . . . . . . . . . . . . 68
5.1
Comparaison de sources de sondage faites par NUA
5.2
Foyers ayant accès à Internet dans l’Europe des 15 . . . . . . . . . . . . . . 77
5.3
Européens connectés à Internet (% de la population) . . . . . . . . . . . . . 78
5.4
Internautes européens, anciens et passant au haut débit chez eux . . . . . . 78
5.5
Lieu de connexion à Internet (% de la population) . . . . . . . . . . . . . . 79
5.6
Connexion à Internet en France des membres de l’AFA . . . . . . . . . . . . 80
5.7
% des français connecté au travail et à domicile . . . . . . . . . . . . . . . . 81
5.8
% des cadres français connectés au travail et à domicile . . . . . . . . . . . 81
5.9
Répartition par âge des internautes français . . . . . . . . . . . . . . . . . . 81
. . . . . . . . . . . . . 73
5.10 Profil des internautes US par rapport au profil de la population . . . . . . . 82
5.11 Croissance du nombre de machines connectées à Internet . . . . . . . . . . . 82
5.12 Nombre de domaines enregistrés dans les TDL nationaux . . . . . . . . . . 83
5.13 Répartition des domaines .com appartenant à des européens . . . . . . . . . 83
5.14 Répartition des adresses IP dans les domaines nationnaux . . . . . . . . . . 83
5.15 Comparaison de la connexion des pays par rapport aux données géopolitiques 84
5.16 Nombre de serveurs Web branchés et actifs . . . . . . . . . . . . . . . . . . 85
5.17 Revenus générés par Internet entre 1996 et 2002
. . . . . . . . . . . . . . . 86
5.18 Dépenses d’internautes sur des sites européens entre 1997 et 2002 . . . . . . 87
5.19 Dépenses d’internautes sur des sites allemands et anglais entre 1997 et 2002 87
5.20 Répartition B2B et B2C aux E-U entre 1998 et 2003 . . . . . . . . . . . . . 88
5.21 Evolution du B2C entre 1998 et 2003 . . . . . . . . . . . . . . . . . . . . . . 88
5.22 Le poids de la publicité sur Internet . . . . . . . . . . . . . . . . . . . . . . 88
5.23 Les 10 plus grosses capitalisations d’Internet en juin 1999 . . . . . . . . . . 89
5.24 Cours de CISCO entre 1995 et 2000 . . . . . . . . . . . . . . . . . . . . . . 89
5.25 Cours de CISCO jusqu’en mars 2005 . . . . . . . . . . . . . . . . . . . . . . 90
5.26 Cours de France Telecom entre 1998 et 2003 . . . . . . . . . . . . . . . . . . 90
5.27 Cours d’Umanis entre 1999 et 2002 . . . . . . . . . . . . . . . . . . . . . . . 90
5.28 Cours de Yahoo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
5.29 Comparatif Yahoo/Amazon . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
5.30 Cours de eBay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.31 Cours d’AOL
(Time Warner Inc maintenant) . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
6.1
The garlic store, http ://www.thegarlicstore.com/
. . . . . . . . . . . . . . 93
6.2
Revenus du voyage en ligne entre 1998 et 2001 . . . . . . . . . . . . . . . . 98
6.3
Nombre d’utilisation des services bancaires en ligne aux E-U . . . . . . . . . 98
6.4
Achats induits par les sites en ligne . . . . . . . . . . . . . . . . . . . . . . . 99
6.5
Comparaison de la progression de la radio, de la TV et d’Internet . . . . . . 101
6.6
Consommation 2004 européenne des principaux médias (en heures par semaine) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
6.7
Croissance des revenus de la publicité sur Internet aux Etats-Unis . . . . . 102
6.8
En 2001 Internet représente 2.9% de la publicité inter entreprises aux E-U . 103
6.9
Croissance de la publicité en ligne aux E-U . . . . . . . . . . . . . . . . . . 103
6.10 Partage du marché de la publicité en ligne entre annonceurs aux E-U . . . . 104
6.11 Répartition des différents choix de pricing de la publicité . . . . . . . . . . . 104
6.12 Variation du CPM et du % de publicités vendues sur 2001 et 2002 . . . . . 105
6.13 Fonctionnement de la distribution de publicité
. . . . . . . . . . . . . . . . 108
6.14 Nombre de publicités délivrées par Double Click . . . . . . . . . . . . . . . 109
6.15 Taille du réseau de Double Click . . . . . . . . . . . . . . . . . . . . . . . . 109
6.16 Type de support pour la publicité (aux Etats-Unis) . . . . . . . . . . . . . . 110
6.17 Les liens publicitaires des moteurs de recherche . . . . . . . . . . . . . . . . 110
6.18 Compte d’exploitation 1999 de Liberty Surf . . . . . . . . . . . . . . . . . . 112
7.1
Réalisation de l’achat sur un site marchand . . . . . . . . . . . . . . . . . . 113
7.2
Chaı̂ne d’édition d’un site commercial . . . . . . . . . . . . . . . . . . . . . 114
7.3
Elements internes d’un site marchand . . . . . . . . . . . . . . . . . . . . . 114
7.4
La vision d’Intershop du commerce électronique . . . . . . . . . . . . . . . . 115
7.5
Différents type de sites Web et leurs communications . . . . . . . . . . . . . 115
7.6
Interface du Publication Manager d’Intershop Enfinity . . . . . . . . . . . . 116
7.7
Construction assistée d’un site marchand chez Yahoo ! Store . . . . . . . . . 118
7.8
Historique d’Intershop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
7.9
Enfinity d’Intershop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
7.10 Outils graphiques de programmation d’Enfinity . . . . . . . . . . . . . . . . 120
7.11 Interconnexion entre Websphere et d’autres services . . . . . . . . . . . . . 121
7.12 Pourcentage de temps passé sur chaque étape lors de la demande d’une page123
7.13 Système de gestion de Base de Données (SGBD) sans fuite et avec fuites
(oublis de fermeture de connexion) . . . . . . . . . . . . . . . . . . . . . . . 124
8.1
Paiement en liquide
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
8.2
Paiement par carte bancaire . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
8.3
Versement interbancaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
8.4
Nombre de systèmes monétaires complémentaires dans 12 pays . . . . . . . 128
8.5
Créations “anonyme” de pièces eCash . . . . . . . . . . . . . . . . . . . . . 134
8.6
Bob vérifie les pièces d’Alice auprès de la banque d’Alice . . . . . . . . . . . 134
8.7
Fonctionnement de SET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
9.1
Des logos détournés
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
10.1 Napster et les maisons de disque . . . . . . . . . . . . . . . . . . . . . . . . 157
15
10.2 Environnement juridique des mesures techniques de protection . . . . . . . 160
11.1 Le modèle P3P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
11.2 Choix des préférences du filtre Privacy Bird . . . . . . . . . . . . . . . . . . 175
11.3 Fin du résumé d’une charte compatible avec les choix du surfeur, le fond
est vert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
11.4 Les Big Brother Awards Français . . . . . . . . . . . . . . . . . . . . . . . . 177
12.1 Organigramme de la Police avec la répartition Province/Paris . . . . . . . . 186
14.1 Le Réseau de Transport d’Électricité de très haute tension pourrait servir
de squelette à un Internet service public . . . . . . . . . . . . . . . . . . . . 199
16.1 Utilisation d’Internet par les français . . . . . . . . . . . . . . . . . . . . . . 205
16.2 Intensité de l’utilisation du courrier électronique . . . . . . . . . . . . . . . 206
16.3 Nombre de contacts réguliers entretenus par les développeurs de logiciels
libres entre eux en pourcentage . . . . . . . . . . . . . . . . . . . . . . . . . 207
16.4 RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
16
Introduction
En 10 ans Internet est passé d’un outil d’universitaire à un mass média incontournable dans
notre société. Ses spécificités ont déjà bouleversé nos habitudes à tel point que l’avènement
d’Internet est souvent comparé à celui de l’imprimerie. Des secteurs entiers de notre société
ont dû s’y adapter. Le monde des médias, des autres médias, a dû intégrer ce nouveau
venu qui lui retire l’exclusivité de l’information et décuple le pouvoir du bouche à oreille.
Les politiques, surpris par ce trublion qui supprime la notion de pouvoir pyramidal, ont
dû et doivent encore adapter des lois nationales à ce support où la notion de frontière est
virtuelle. La bourse, star de notre époque, a salué l’arrivée de ce nouvel élément en y voyant
un eldorado puis un gouffre financier et finalement quelque chose de difficile à appréhender
ce qui la rend pour le moins nerveuse. Les citoyens et le monde associatif y ont trouvé
un espace d’expression leur permettant de communiquer entre eux pratiquement sans
contrainte technique, administrative ou financière. Enfin les entreprises ont été séduites par
cet outil tellement économique, doté d’un tel potentiel à une époque où tout se numérise.
Leur rencontre avec Internet a donné le commerce électronique et la nouvelle économie
qui, malgré le crack, devrait à terme représenter la plus importante des économies.
Si la technique du réseau Internet est mature, la politique et l’économie sont en phase
d’apprentissage sur ce média, que ce soit du point de vue des modèles ou des outils. Les
modèles économiques de l’Internet ont du mal à s’affirmer, il est encore difficile de savoir
si Amazon va gagner son pari et si les libraires traditionnels devront lui céder la place
importante qu’elle vise. De même il est difficile de savoir quel est l’apport d’une vitrine
Web pour une entreprise de l’«ancienne» économie. Ces incertitudes sont aussi liées à la
dépendance de ces modèles vis à vis des outils du commerce électronique au premier plan
desquels on trouve le paiement électronique.
D’un point de vue politique, la loi sur la sécurité quotidienne, LSQ, et les réactions des internautes, les procès des sociétés contre les ONG pour atteinte à leur image, les aller-retours
du gouvernement sur le contrôle, la régulation et finalement l’autorégulation d’Internet, la
mise au grand jour de l’accord multilatéral sur l’investissement, l’AMI, sont des exemples
de l’impact d’Internet sur la vie politique et civile. Le développement des logiciels libres
basés sur le travail coopératif non marchand, leur intrusion dans les entreprises par la base,
dans le monde politique à travers la volonté d’hommes politiques de les voir utilisés dans
l’administration, à l’école poussés par des enseignants militants, est une autre facette de
cet impact, facette directement en opposition avec notre schéma économique capitaliste.
Ce cours reprend ces différents points à travers les chapitres présentés dans la figure 1. La
première partie, qui comprend les 4 premiers chapitres, est un rappel de ce qu’est Internet
17
18
Informatique
1. Historique
2. Topologie
8. Paiement
13. Autorégulation
4. Sécurité
3. Gouvernance
14. L’e−Etat
5. Chiffres
12. Droit entreprise
11. Vie privée
15. L’e−Mafia
10. Copyright
6. Rentabilité
9. Liberté
d’expression
16. Le monde virtuel
7. Outils Web
Politique
Commerce
Fig. 1 – Plan graphique des chapitres
tant au niveau réseau qu’au niveau de son organisation. On y présentera aussi les bases
de la cryptographie, seule façon de garantir la sécurité des transmissions de données.
La deuxième partie aborde les aspects commerciaux du réseau à travers les chiffres et
l’expérience tirée de cette première décénnie de l’Internet grand public et marchand. On y
abordera les outils du commerce électronique à travers les machines à tout faire que sont
les outils comme InterShop ou WebSphere et le paiement électronique.
La troisième partie, chapitres 9, 10 et 11, porte sur les aspects légaux d’Internet, que ce soit
l’évolution de la législation, la jurisprudence mais aussi les problèmes liés à l’application
ou la non application des lois nationales sur des sujets comme la protection de la vie privée
ou les brevets logiciels.
Enfin, nous terminerons avec la société de l’Internet, ses citoyens, ses associations, ses
états et ses mafieux en analysant les usages, la vision et les perspectives que chacun de
ces groupes a d’Internet.
Première partie
Ce média appelé Internet
19
Chapitre 1
Une petite histoire
L’histoire d’Internet est peut-être encore un peu trop jeune pour mériter le nom d’histoire,
on se contentera donc d’une série de dates brutes.
Cette partie a été initialement rédigée par Pierre Beyssac qui s’est inspiré de The Internet
Timeline de Robert Zakon et de l’historique de Philippe Dax.
Les points hitoricomiques proviennent du site The Lemon.
1957 Lancement de Spoutnik par l’URSS. Mortellement vexés, les USA décident de créer
l’ARPA (Advanced Research Projects Agency).
1961 Leonard Kleinrock (MIT) publie ses premiers travaux sur la commutation de paquets.
1964 Paul Barran (RAND) publie On Distributed Communications Networks sur les
réseaux à commutation de paquets distribués.
1965 L’ARPA finance une étude sur un réseau d’ordinateurs en temps partagé.
1965 Lawrence Roberts et Thomas Merrill relient deux ordinateurs par le téléphone à
1200bps, l’un au MIT (Massachussets Institute of Technology), l’autre à Santa Monica
(Californie).
1966 Premier projet d’Arpanet publié par Lawrence Roberts.
1968 Appel d’offres Arpanet. BBN (Bolt, Beranek & Newman) est choisi pour construire
les équipements.
1969 Les premières RFC (Request for Comments), la RFC 1 et la RFC 4 décrivent l’interface d’Arpanet avec les ordinateurs, et sa mise en service. Elles sont écrites par des
futurs utilisateurs dans les sites destinataires des premières connexions Arpanet.
1969 Mise en service d’Arpanet via des lignes ATT à 50 kbps, les quatre premiers nœuds
sont
– le 30/08, l’UCLA (University of California, Los Angeles)
– le 01/10, le SRI (Stanford Research Institute)
– le 01/11, l’UCSB (University of California, Santa Barbara)
– en décembre, l’University of Utah
L’architecture distingue les ordinateurs des équipements réseau et comprend des circuits
virtuels.
1971 15 sites sur Arpanet, 23 ordinateurs.
21
22
Chapitre 1
1972
Steve Jobs and Steve Wozniack get stoned out of their minds and build a
computer that costs a fortune and runs no software. ”Everyone will want one of these !”,
says Jobs.
1972 Débuts du courrier électronique sur Arpanet. Le @ est utilisé pour les adresses.
1972 France : première démonstration du projet Cyclades/Cigale, dirigé par Louis Pouzin.
Utilise et/ou introduit :
– la notion de protocole de bout en bout,
– l’adressage logique,
– la fenêtre glissante,
– l’interconnexion de réseaux.
Idées essentielles reprises ensuite par TCP/IP et l’ARPA.
1973 Arpanet devient international en reliant :
– University College (Londres)
– Royal Radar Establishment (Norvège)
1973 Nombre d’utilisateurs Arpanet estimé à 2000. 75% du trafic est constitué par le
courrier électronique.
1973 Bob Metcalfe (Xerox PARC) invente Ethernet : le réseau local.
1973 Premiers problèmes de sécurité sur Arpanet (RFC 602).
1974 France : Cyclades est opérationnel. En mai, Louis Pouzin publie ”A Proposal for
interconnecting packet switching networks”. L’ARPA adopte l’idée pour sa prochaine
génération d’Arpanet.
1974 Robert Kahn et Vinton Cerf publient leurs premiers travaux sur TCP/IP.
1975 Premières listes de discussion sur Arpanet. La plus populaire : SF-Lovers, non officielle.
1975 Nouvelle version de TCP/IP : séparation de TCP et IP, ajout de UDP (service de
datagrammes).
1976 La reine d’Angleterre envoie son premier courrier électronique.
1978 Version 4 de TCP/IP : base technique de l’Internet moderne.
Fig. 1.1 – 1978 : Arrêt du réseau Cyclade en France
(dessin extrait de La Recherche, cf [La 00])
Une petite histoire
23
1978 France : faute d’appuis, arrêt de Cyclades qui relie à l’époque 20 ordinateurs à
travers la France.
1978 France : ouverture opérationnelle de Transpac, fondé sur X25.
1979 France : création du ”nœud de transit international” de Transpac.
1981 Création de BITNET (protocoles IBM ; courrier électronique et transfert de fichiers).
1981 Bill Gates embarks on heroic and lifelong quest to piss off every person in America.
1981 France : Télétel et le Minitel font leur apparition, utilisant l’infrastructure Transpac.
1981 Le système Unix 4.2 BSD (Berkeley) inclut TCP/IP grâce à un financement par
ARPA.
1981 Arpanet relie 200 sites.
1982 Création de CSNET pour fournir des services réseau (notamment courrier électronique)
aux exclus d’Arpanet.
1982 ARPA commence à préparer la conversion d’Arpanet à TCP/IP.
1982 TCP/IP devient standard du DoD (Department of Defense). En conséquence, tous
les équipements réseau achetés par le DoD doivent lui être conformes, ce qui contraint
les fournisseurs à ajouter TCP/IP à leur matériel.
1982 Premiers systèmes TCP/IP commercialisés (Sun sous Unix BSD).
1982 Création d’EUnet (European Unix Network) : courrier électronique UUCP et forums
de discussion Usenet (Pays-Bas, Danemark, Suède et Royaume-Uni).
1983 (1er janvier) Arpanet se convertit entièrement de NCP à TCP/IP en une nuit :
début de ce que l’on appelle l’Internet.
1983 Mise en place d’une passerelle CSNET - Arpanet.
1983 Arpanet se sépare en Arpanet et MILNET. Ce dernier regroupe alors 68 sites sur les
113.
1983 Création de EARN (European Academic and Research Network), branche européenne
de BITNET.
1984 Mise en service du DNS (Domain Name Service) : les noms sur Internet ne sont plus
centralisés.
1986 La National Science Foundation, NSF, met en service NSFNET, fondé sur TCP/IP.
Elle relie 5 centres de superordinateurs via une infrastructure à 56 kbps :
– Princeton
– Pittsburgh
– UCSD (San Diego)
– UIUC (University of Illinois at Urbana, Champaign)
– Cornell
1987 Première TCP/IP Interoperability Conference. Elle deviendra INTEROP en 1988.
1987 Plus de 10.000 ordinateurs sur Internet.
1987 Les premiers routeurs dédiés apparaissent (Cisco, Proteon, Wellfleet...). Une caractéristique intéressante de l’Internet est que les routeurs dédiés ne sont pas nécessaires :
la fonction de routage peut être assurée par des ordinateurs.
1988 (novembre) Le vers de l’Internet affecte 6000 machines sur les 60.000 du réseau.
L’importance de la sécurité apparaı̂t.
1988 L’infrastructure NSFNET passe à 1,544 Mbps.
1988 Pays connectés à NSFNET : Canada, Danemark, Finlande, France, Islande, Norvège,
Suède.
1989 Plus de 100.000 ordinateurs sur Internet.
1989 Nouveaux connectés à NSFNET : Australie, Allemagne, Israël, Italie, Japon, Mexico,
24
Chapitre 1
Hollande, Puerto Rico, Royaume Uni.
1989 Arrêt d’Arpanet.
1989 Apparition des premiers opérateurs Internet commerciaux aux USA.
Fig. 1.3 – Le rézo et ses protocoles en 1991
1991 Arrêt de CSNET.
1991 Infrastructure NSFNET portée à 45 Mbps.
1991 Naissance du Web au CERN (Centre Européen pour la Recherche Nucléaire) à
Genève.
1992 Création de l’ISOC (Internet Society). Association à but non lucratif d’utilisateurs
d’Internet et de fournisseurs.
1992 Le nombre d’ordinateurs connectés à Internet dépasse 1.000.000.
1992 Premier multicast audio en mars, premier multicast vidéo en novembre.
1993 France : création du GIP Renater, réseau pour la recherche.
1993 France : premiers fournisseurs commerciaux d’Internet.
1993 Sortie du navigateur Mosaic : les graphismes apparaissent sur le Web.
1993 France : création de Usenet fr.*
1994 L’équipe de Mosaic fonde Netscape.
1994 France : premiers fournisseurs d’Internet par téléphone pour le grand public.
1994
First piece of spam appears in USENET newsgroups and is quickly removed.
”Well, that should be the last of that”, say users.
1994 (octobre) Création du W3C (World Wide Web Consortium).
1995 France : La Lyonnaise Câble annonce Internet sur le câble à Paris pour l’été. L’exploitant technique (France Télécom) n’est pas du même avis.
1995 La NSF arrête le financement de NSFNET. La plus grande partie de l’infrastructure
appartient désormais à des opérateurs commerciaux. Plus de 50% des réseaux sont
extérieurs aux USA.
1995 AOL, Compuserve, Prodigy, and other on-line services take off, making heaps of
Une petite histoire
Fig. 1.2 – Evolution des réseaux en nombre de machines jusqu’en 1998
25
26
Chapitre 1
cash. Microsoft execs begin thinking : ”Maybe we should look into this internet thing”.
1995 Release of Windows 95 and Internet Explorer bring sharp rise in memory sales,
profanity use.
1995
Real Audio released, allowing users to listen to halting bursts of static in real
time.
1996 France : Création de l’AUI (Association des Utilisateurs d’Internet). D’autres associations la suivront dont la branche française de l’ISOC.
Fig. 1.4 – Le rézo et ses protocoles en 1997
1998 France : Internet sur le câble commercialisé à Paris (après plusieurs autres villes).
1998
3lit3 hax0rz, d00d : Teens become most prolific illiterate writers in history.
1998 Google arrive. Il va rapidement détroner les autres moteurs de recheche comme
Altavista, Lycos ou Yahoo.
1998 L’ICANN (Internet Corporation for Assigned Names and Numbers) est créée pour
superviser la gestion des noms de domaine et des adresses IP. Elle cassera le monopole
de la NSI pour permettre à d’autres registrars d’enregistrer les noms de domaine en
.com, .net et .org.
1999
Napster introduced. Rampant piracy drives Metallica to life of abject poverty
as wandering minstrels. Other artists soon to follow.
1999 France : arrivée d’ADSL, concurrent supposé du câble.
2000 Première élection mondiale par Internet pour choisir 5 des 19 directeurs de l’ICANN.
2000 L’ICANN crée 7 nouvelles terminaisons d’adresse (Top Level Domain) à savoir
.aero, .biz, .coop, .info, .museum, .name et .pro.
2000
Internet bubble bursts. Investors take back money and hide it under a mattress.
Geeks go back to Burger King.
27
Une petite histoire
2001 Napster collapses. Music industry suddenly profitable again, and able to meet insatiable public demand for more boy bands.
2001 VeriSign (ex NSI) lance les noms de domaine en caractères non latin. L’OPA a réussi
et raté : Verisign en a tiré un gros bénéfice, des dizaines de millions de dollars, mais son
système n’a pas fait école et Verisign devrait rejoindre le protocole de l’IETF.
2002 With the fall of Napster, numerous other P2P networks rise to allow users to share
movies as well as music. ”I guess we should have seen that coming”, says entertainment
industry.
2002 L’ISOC récupère .org de VeriSign et demande à Afilias qui gère .info de le gérer
pour elle.
2003 Les réseaux de contacts professionnel ou d’amis, Plaxo, Ortuk, LinkedIn, prennent
leur essor et inquiètent les défenseurs de la vie privée.
2003 Verisign renvoie les erreurs web en .com et .net vers son site Site GFinder et perturbe
ainsi le fonctionnement du DNS. L’ICANN ordonne Verisign d’arrêter son service.
2003 et 2005 Sommet Mondial sur la Société de l’Information (SMSI) organisé par l’UIT
et l’UNESCO, deux agences des Nations Unis.
Fig. 1.5 – Evolution statistique de Usenet entre 1995 et 2002
source : Felix Kugler, SWITCH
Plus... Le livre de Christian Huitéma, [Hui95], «Et Dieu créa l’Internet» reprend les
premiers pas de l’Internet. Il présente aussi d’une façon très abordable le fonctionnement
d’Internet, ses premières structures, les problèmes et des solutions.
La lettre d’information DNS News Pro est une bonne source pour suivre la suite de l’histoire. On pourra aussi consulter en anglais The Register.
28
Chapitre 1
Chapitre 2
La topologie de l’Internet
On rappelle dans ce chapitre très brièvement le fonctionnement de l’Internet afin de comprendre par la suite les enjeux liés, que ce soit sur le contrôle des noms de domaines, des
adresses IP ou liés à l’indépendance et à la coopération des réseaux formant Internet.
2.1
Le passage des paquets de réseau en réseau
L’Internet est une union de réseaux, chaque réseau parlant à son voisin à travers des
passerelles, les messages passant de réseau en réseau jusqu’à leur destinataire.
Fig. 2.1 – Carte des FAI en 1999 vue par Burch et Cheswick
29
30
Chapitre 2
Par exemple, un message partant d’une université française, Jussieu, pour une université
américaine, le MIT, suit le chemin suivant (en 2003) :
(mendel)../home/ricou>traceroute www.mit.edu
traceroute to DANDELION-PATCH.mit.edu (18.181.0.31), 30 hops max, 40 byte packets
1 134.157.204.126 (134.157.204.126) 1.106 ms 1.144 ms 1.116 ms
2 cr-jussieu.rap.prd.fr (195.221.126.49) 1.235 ms 1.35 ms 1.587 ms
3 gw-rap.rap.prd.fr (195.221.126.78) 1.682 ms 7.111 ms 3.405 ms
4 jussieu-a1-0-65.cssi.renater.fr (193.51.182.202) 1.743 ms 6.633 ms 2.008 ms
5 nri-b-a0-2-580.cssi.renater.fr (193.51.179.153) 1.725 ms 2.094 ms 1.828 ms
6 renater.fr1.fr.geant.net (62.40.103.53) 2.167 ms 2.276 ms 2.404 ms
7 fr.uk1.uk.geant.net (62.40.96.90) 9.054 ms 9.567 ms 9.098 ms
8 uk.ny1.ny.geant.net (62.40.96.169) 77.415 ms 76.76 ms 77.792 ms
9 198.32.11.61 (198.32.11.61) 77.327 ms 77.548 ms 77.342 ms
10 ATM10-420-OC12-GIGAPOPNE.NOX.ORG (192.5.89.9) 82.243 ms 82.226 ms 82.043 ms
11 192.5.89.90 (192.5.89.90) 82.22 ms 82.24 ms 82.274 ms
12 NW12-RTR-2-BACKBONE.MIT.EDU (18.168.0.21) 82.493 ms 82.842 ms 82.392 ms
13 DANDELION-PATCH.MIT.EDU (18.181.0.31) 87.726 ms * 85.039 ms
Le premier intermédiaire que notre message va rencontrer est la passerelle de notre réseau
local. Son adresse IP est 134.157.204.126 comme on le voit sur la ligne numéroté 1. De
là on rejoint l’interconnexion entre Jussieu et le RAP, réseau académique parisien, (en 2)
pour entrer sur le réseau universitaire français, Renater (en 4).
Fig. 2.2 – Renater en 2004
source : Renater
31
Lighting the way to
the European Research Area
1993
2003
www.geant.net
www.dante.net
GÉANT: The Multi-Gigabit pan-European Research Network
GÉANT is operated by DANTE, The European Research Networking Organisation
Backbone Topology November 2003
AT
Austria
CZ
Czech Republic
ES
Spain
HR
Croatia
IS
Iceland *
LV
Latvia
PL
Poland
SE
Sweden *
BE
Belgium
DE
Germany
FI
Finland *
HU
Hungary
IT
Italy
MT
Malta
PT
Portugal
SI
Slovenia
CH
Switzerland
DK
Denmark *
FR
France
IE
Ireland
LT
Lithuania
NL
Netherlands
RO
Romania
SK
Slovakia
CY
Cyprus
EE
Estonia
GR
Greece
IL
Israel
LU
Luxembourg
NO
Norway *
RU
Russia
TR
Turkey
UK
United Kingdom
* Connections between these countries are part of NORDUnet (the Nordic regional network)
GÉANT is co-funded by The European Commission within its
5th R&D Framework programme
Fig. 2.3 – Géant
source : Dante, 2003
Contract No.
IST-2000-26417
32
Chapitre 2
On passe de Renater à Géant, le réseau universitaire européen, (en 6) qui nous envoie en
Angleterre d’où on va à New-York rejoindre Internet 2 (en 9).
Fig. 2.4 – Les connexions internationnales d’Internet 2 (les dorsales sont à 10 Gbits)
source : Internet 2, 2004
Enfin on entre dans le campus du MIT (en 12) pour atteindre le serveur web www.mit.edu
(en 13).
Bien sûr une connexion sur une autre machine distante fera intervenir d’autres réseaux.
Sachant que le débit entre deux machines est celui du nœud le plus faible, si un réseau à un
goulot d’étranglement en un point, cela se ressent directement. Aussi il est toujours bon
de savoir quels seront vos partenaires principaux et de savoir par quels cablo-opérateurs
vous devrez passer. En pratique il faut savoir quels accords1 a votre hébergeur, avec quels
cablo-opérateurs et quelle est l’occupation moyenne du réseau. Les cablo-opérateur les plus
sérieux 2 proposent d’ailleurs de pouvoir suivre en direct la «météo» de leur réseau :
−
−
−
−
−
Cables & Wires aux Etats-Unis, cf http ://sla.cw.net/
Internet 2, cf http ://loadrunner.uits.iu.edu/weathermaps/abilene/
Géant, cf http ://stats.geant.net/weathermap/access/kairos
Free, cf http ://support.free.fr/reseau/
Le câble en France, cf http ://www.grenouille.com/
1
2
en jargon Internet on appelle ça le peering.
Oléane et Renater qui le faisaient semblent avoir arrêté.
33
Fig. 2.5 – La carte météo d’Internet 2 (ce matin là, seul 10% des 10 Gbits du réseau
étaient utilisés)
L’Internet Traffic Report et Mapnet permettent aussi de voir les débits de plusieurs
réseaux.
Pour finir sur ces réseaux, les artistes pourront admirer le travail des laboratoires Bell :
l’Internet Mapping Project.
34
Chapitre 2
Exercice
Retrouver le même chemin entre Jussieu et le MIT sur la carte ci-dessous !
Fig. 2.6 – Carte de la topologie d’Internet vue par CAIDA
source : CAIDA
2.2
Des domaines et des noms
Internet étant un ensemble de réseaux, il faut une méthode pour nommer ces sous-réseaux
et y trouver une machine. Pour cela les réseaux et les machines ont des adresses classées
dans un système d’arborescence.
Cette méthode et la gestion qu’elle implique est à l’origine de nombreuses controverses
touchant le contrôle des noms de domaine et leur vente. Elle a mobilisé et mobilise toujours
l’Europe et les Etat-Unis, chacun cherchant à défendre ses intérêts sans pour autant casser
Internet ce qui aurait lieu si plusieurs espaces de nommage se faisaient concurrence3 .
Actuellement l’espace de nomage est géré au niveau mondial par l’ICANN et aux niveaux
3
en fait il existe des personnes/groupes ayant créé leurs propres espaces avec leurs propres terminaisons
de nom de domaine, TLD, mais c’est totalement marginal.
35
nationaux par les pays concernés.
Les noms de domaine www.departement.societe.com se lisent de droite à gauche avec
au début la racine que l’on nomme “.”4 :
"."
fr
org
zone
zone
nic
inria
isoc
eu
zone
zone
zone
isocws
www
fr
whois
t6
noc
délégation
/
coupure
zone
Fig. 2.7 – Exemple de zones
Afin que tout cela puisse fonctionner, la délégation de zones (sous-réseau) est vitale :
org
eu
eu.org zone
www
whois
gr
fr
eu.org domain
linux
dk
uk
bofh
paris
Fig. 2.8 – Délégation de zone
4
en fait .com c’est .com. avec le point final étant la racine.
36
Chapitre 2
Ainsi dans la figure ci-dessus, le domaine eu.org, comprend l’ensemble des adresse terminant par eu.org alors que la zone du même nom ne contient que les terminaisons gérée
par la même entité, www.eu.org, fr.eu.org, whois.eu.org. Les zones comme dk.eu.org
sont gérées par d’autres entités, elles sont déléguées.
Pour trouver une machine sur Internet, il faut savoir dans quelle zone elle est, ce qui est
indiqué dans son nom, puis demander son adresse IP en contactant un des serveurs de
noms du Domain Name Service, DNS :
Fig. 2.9 – Fonctionnement récursif du DNS
(illustration extraite du livre DNS & Bind chez O’Reilly)
Le serveur de nom contacté, A sur le dessin, demandant à d’autres serveurs l’information
s’il ne l’a pas lui-même. On peut imaginer que le client star.mit.edu demande à son
serveur de nom, ns.mit.edu, l’adresse de la machine www.ann.jussieu.fr. Pour cela
ns.mit.edu, A, va demander à ns1.nic.fr, B, qui gère le domain .fr, lequel renverra sur
shiva.jussieu.fr, C, qui gère Jussieu et qui donnera l’adresse recherchée 134.157.2.68.
Une fois l’adresse de la machine connue, les paquets émis vers cette machine doivent être
routés. Comme on l’a vu au chapitre précédent, pour cela chaque routeur, machine gérant
le flux, dirige les adresses qu’elle connait vers le réseau correspondant et les autres vers un
réseau plus «haut» dans l’arborescence.
Plus
– Architectural Principles of the Internet, RFC 1958 par B. Carpenter, IAB, Juin 1996.
– the DNS Resources Directory
Chapitre 3
Le gouvernement de l’Internet
En tant qu’union de réseaux, il n’y a pas de gouvernement central de l’Internet. Chaque
pays contrôle plus ou moins ce qui se passe chez lui à travers ses lois, des organismes en
charge de la gestion des noms de domaines nationaux (.fr en France) ou des organismes
de surveillance des cablo-opérateurs (l’ART en France). Mais dans la pratique, lorsque
les états n’établissent pas une censure stricte, ils ne contrôlent pas grand chose en dehors
de l’application de la loi usuelle. Ils semblent avoir compris ces dernières années qu’il est
illusoire de vouloir être le maı̂tre de l’Internet. Même le gouvernement américain qui, pour
des raisons historiques, pourrait revendiquer un certain contrôle se contente au mieux
de pousser à la création d’associations d’internautes quitte à les guider «discrètement»
ensuite1 .
En France, le Conseil Constitutionnel suggérait aussi dans son rapport «Internet et les
réseaux numériques» de 1998, de ne pas chercher à contrôler directement l’Internet français
mais plutôt de mettre en place un organisme d’autorégulation. Cependant même la mise
en place d’un tel organisme est difficile puisque l’autorégulation de l’Internet ne peut se
faire que par elle-même, sans une entité pour la réguler. Le député Paul a affiné cette idée
en proposant en juin 2000 de mettre en place un organisme de corégulation qui servirait
d’espace de rencontre pour la régulation publique et les différentes formes d’autorégulation
de l’Internet. Il ne s’agissait plus de contrôler ou d’avoir des représentants à punir. Cet
proposition a été suivie d’effet et le forum Internet a été créé en 2001. Il semble que
ce forum marque la fin des errances gouvernementales initiées par la loi Fillon de 1996
qui instaurait un contrôle administratif sur l’Internet français mais qui a été déclarée
anticonstitutionnelle par le Conseil Constitutionnel.
Du point de vue légal, Internet n’est pas une zone de non droit. En France, la justice y
applique la loi usuelle2 lorsque des français sont impliqués ou lorsque les serveurs sont sur le
territoire français. Elle s’adapte comme elle peut aux nouveaux cas d’où l’importance des
jurisprudences et la nécessité pour les députés de mettre au point des lois mieux adaptées
ou plus précises. Les internautes et leurs associations ont joué et jouent encore un rôle
1
Il ne faut pas être totalement naı̈f, si le gouvernement américain délègue à l’ICANN la gestion de la
racine du DNS, seul “point central” d’Internet, il semble clair qu’il n’en pert pas le contrôle pour autant.
2
Les affaires les plus souvent amenées devant la justice française concernent les différents sur les noms
de domaine, la mise en ligne d’informations à caractère raciste ou diffamatoire.
37
38
Chapitre 3
important dans cette adaptation.
Enfin au niveau mondial, le développement et l’organisation de l’Internet sont liés aux
différents organismes qui se sont créées au fur et à mesure des besoins (cf fig. 3.1 pour
l’historique et fig. 3 pour une vue global de l’interaction entre les organismes). Cela va
des organismes techniques comme l’IETF ou le W3C au nouvel organisme de gestion de
l’Internet qu’est l’ICANN en passant par les organismes nationaux comme l’AFNIC en
France qui gère les noms de domaine .fr ou continentaux comme le RIPE qui gère les
adresses IP au niveau européen.
Fig. 3.1 – Histoire des organismes techniques de l’Internet
source : ISOC
3.1
L’IETF et l’IESG, les protocoles et l’évolution technique
L’Internet Engineering Task Force (IETF) regroupe les experts qui travaillent sur
les nouveaux protocoles et les évolutions techniques de l’Internet. Elle est composée de
groupes de travail spécialisés chargés de produire des documents de référence sur une
thématique précise. Ces documents sont les RFC (Request For Comments) dont le nom
indique bien que chacun a son mot à dire avant d’arriver à la version finale.
Les principaux thèmes abordés concernent :
– les applications (LDAP, caches Web, Fax sur Internet...) ;
– les protocoles d’Internet (extension DNS, IP sur fibre, extensions de PPP...) ;
– Operations and Management Area (méthode de tests, déploiement du MBONE, surveillance à distance d’un réseau...) ;
39
État fédéral
des États-Unis
Délégation de gestion
technique
entreprise privée
américaine assurant
la gestion technique
du réseau Internet
Verisign
melles
Négociations infor-
États
Liens
d’appartenance
Liens
{
d’appartenance
Liens
d’appartenance
association défendant
le principe d’un réseau
ouvert à tous
Isoc
(Internet Society)
Nomination d’experts au sein de commissions techniques (comme l’IETF – Internet Engineering
Task Force – pour l’Isoc) intervenant auprès du TLG
Repré sentation
Représentation
Union
européenne
Représentation via
des agences onusiennes
Nations
unies
La régulation d’Internet : une nébuleuse d’acteurs
Système judiciaire californien
Délégation
de pouvoir
Consignes
GAC (Governmental Advisory
Committee), où siègent des représentants
des États et d’organisations gouvernementales internationales :
émet des avis sur la gestion des ccTLD.
les protocoles utilisés sur les réseaux.
TLG (Technical Liaison Group) définit
SSAC (Security and Stability
Advisory Committee)
conseille en matière de sécurité.
RSSAC (Root Server System Advisory
W3C
(World Wide Web
Consortium) organisme
de normalisation des langages multimédia
d’Internet
ETSI (European
Telecommunications
Standards Institute) institut européen regroupant
États et entreprises et
développant les normes de
télécommunications
ITU (International
Telecommunications
Union) agence
onusienne regroupant États
et opérateurs télécom
Liens d’appartenance
Source : Éric Brousseau ; conception : Laurent Testot/Sciences Humaines
RELATIONS
ENTRE ACTEURS
Relation limitée
à un acteur
Influence par
Né en 1967, dans le giron de l’appareil de
recherche militaire américain, Internet s’est internationalisé et ouvert aux utilisateurs privés au
début des années 90. Investissements privés et
rythme soutenu d’innovation ont provoqué la
croissance fulgurante du réseau, devenu le siège
de nombreuses activités informationnelles. Pour
les Etats, les entreprises et les particuliers, les
enjeux de sa régulation sont économiques, politiques, culturels, sécuritaires… Ce qui explique
cette grande diversité d’acteurs.
Au cœur de cette « toile d’araignée », l’Icann
coordonne la conception des normes de fonctionnement du réseau et gère le système d’adressage qui permet à Internet de fonctionner de
manière décentralisée. Ce dernier est composé
du système d’adresses IP (Internet Protocol), qui
organise les communications entre machines, et
du système des noms de domaines (adresses du
type http://www.scienceshumaines.com), qui
facilite l’utilisation du réseau par les utilisateurs.
L’Icann coordonne les organismes auxquels elle
délègue la création et l’attribution des adresses
et, de manière plus informelle, ceux qui assurent
la normalisation. Organisme américain auquel le
gouvernement fédéral a délégué la gestion du
système d’adressage (dont il est propriétaire) à
partir de 1998, l’Icann relève de la juridiction californienne ; c’est pourquoi le système judiciaire
californien intervient en dernière instance en
matière d’attribution des adresses.
Aux côtés de l’Icann, deux entités jouent un rôle
clé. Verisign, entreprise privée en charge de la
gestion technique du réseau, met en œuvre les
décisions de l’Icann. L’Iana, de son côté, chapeaute en principe la gestion de l’ensemble du
système d’adressage. En pratique, l’Iana assure
une coordination entre l’Icann et le gouvernement fédéral qui continue de gérer l’Internet
public américain : la recherche (.edu), l’armée
(.mil), l’administration (.gov)…
Responsable du reste, l’Icann doit composer avec
de nombreux intérêts. Elle articule de multiples
comités consultatifs ou techniques dans lesquels
siègent des représentants, élus ou désignés,
d’instances gouvernementales, d’entreprises,
d’ONG, de la société civile… qui désignent les
membres du bureau directeur de l’Icann au fil de
procédures complexes. Au sein de ce dispositif,
des commissions d’experts peuvent jouer des
rôles plus cruciaux que ne le suggère ce schéma
(très simplifié par ailleurs). Ainsi, l’IETF, une des
commissions techniques de l’Isoc siégeant au
TLG, nomme-t-elle directement un des 20 membres du bureau directeur de l’Icann.
Au final, les intérêts commerciaux et techniques
exercent une influence supérieure à celle des
Etats. Quant aux utilisateurs non-commerciaux,
ils sont peu représentés. ■ E.B.
Fig. 3.2 – La régulation d’Internet
Délégation de pouvoir
Résolution
des conflits en
dernière instance
BUREAU DIRECTEUR
DE L’ICANN
Négociations
Nominating
Committee
nomination
de membres
du bureau
directeur
de l’Icann
via des représentants
Committee) émet des recommandations
sur la gestion des serveurs de base du Net.
ALAC (At-Large Advisory Council)
élu par des individus « citoyens d’Internet »
enregistrés auprès de l’Icann.
Liens
d’appartenance
Utilisateurs
entreprises
Opérateurs
télécom ;
fournisseurs
d’accès Internet ;
Liens
d’apparten ance
Utilisateurs particuliers
Élection de
représentants
{
constructeurs de
matériel télécom ;
Influence
déterminante
Influence officieuse
élection ou délégation
Influence interne
à l’Icann
source : communication personnelle d’Eric Brousseau
Iana (Internet
Assigned Numbers
Authority) organisme
coordonnant le système
d’adressage d’Internet ;
contrôle l’attribution
des noms de domaine
d’intérêt national
pour les États-Unis
(.edu, .mil…)
(International Corporation
for Assigned Names and Numbers), organisation de droit américain,
basée en Californie,
supervise la distribution
et l’utilisation des adresses Internet
Élection directe de membres
au bureau directeur de l’Icann
gNSO (Generic
Name Supporting
Organization)
Registres
gTLD
bureaux d’enregistrement
des extensions génériques comme
.com
Registrars
vendeurs
de noms
de domaine
génériques
fournisseurs
de contenus
Internet
En saumon tout organisme gérant
une délégation technique de l’Icann
Liens d’appartenance et représentation
En orange pâle les comités
consultatifs de l’Icann
d’e
xp
er
ts
Dé
lég
at
ion
indirecte
Élection
de
représentants
ccNSO (Country Code
Name Supporting
Organization)
Registres ccTLD
bureaux d’enregistrement
des extensions nationales,
comme .fr, soit tout
organisme attribuant
des noms de domaine dans son pays,
comme l’Afnic en
France ; peut être
une organisation
sans but lucratif, une
administration ou
une entreprise privée
WIPO (World International
Property Organization)
Autre
acteur
ACTEURS
agence onusienne en charge
de la propriété intellectuelle
Organisme
à but non lucratif
Élection
organisme technique de
l’Icann, gère l’attribution
des noms de domaine globaux (.com, .net…)
Représentation
organisme technique de
l’Icann, gère l’attribution
des noms de domaine
nationaux (.fr., .be…)
Entreprise(s)
privée(s)
Représentation
ASO (Address
Supporting
Organization)
Organisme(s)
étatique(s)
LACNIC
(Latin American
and Caribbean
Information
Centre)
gère les adresses IP
pour l’Asie…
APNIC
(Asia Pacific
Network
Information Centre)
gère les adresses IP
pour l’Europe…
RIPE NCC
(Réseaux IP européens Network
Coordination Centre)
gère les adresses IP pour
l’Amérique
du Nord.
ARIN
(American
Registry for
Internet Numbers)
organisme technique
de l’Icann, gère les questions relatives à l’attribution des adresses IP
(Internet Protocol) permettant les connexions ;
travaille avec des organismes à but non lucratif
(les RIR, pour Regional
Internet Registries), cidessous :
Désignation de délégués au sein de comités régionaux
40
Chapitre 3
– le routage (routage IP sans fil, recherche du chemin ouvert le plus court -OSPF-...) ;
– la sécurité (courrier codé S/MIME, signature digitale XML, spécifications ouvertes de
PGP...) ;
– la couche transport (initiation de session, téléphonie sur IP, transport de l’audio et de
la vidéo...) ;
L’IETF est ouverte à tous et chacun peut s’inscrire aux groupes de travail de son choix.
Une fois terminées, les RFC deviennent quasiment des normes, aussi une entreprise ou un
spécialiste en relation directe avec un des thèmes suivi par l’IETF a tout intérêt à suivre
les discussions sur son sujet afin de faire valoir son point du vue.
Pour plus d’information sur comment participer aux travaux de l’IETF, lire le Tao.
L’Internet Engineering Steering Group est le comité directeur de l’IETF. Il est composé
de représentants de chaque groupe de travail et permet de coordonner le travail de ces
groupes.
L’IRTF, la recherche : L’Internet Research Task Force (IRTF) travaille sur le long
terme. Ses thèmes de recherche actuels sont proches de ceux de l’IETF à laquelle elle est
liée.
3.2
L’IAB, les grands architectes de l’Internet
L’Internet Architecture Board
–
–
–
–
–
–
supervise le travail des IETF et IRTF ;
nomme les membres de l’IESG sur proposition des groupes de travail ;
règle les litiges au sein de l’IETF et de l’IRTF ;
publie les RFC ;
résoud les problèmes en dehors des compétences de l’IETF et de l’IRTF ;
sert d’intermédiaire entre les internautes représentés par l’ISOC et l’IETF.
L’IAB est actuellement présidé par Leslie Daigle. Ses membres sont proposés par un comité
choisi par le président de l’ISOC et approuvés par le bureau de confiance de l’ISOC.
3.3
L’ICANN, l’Internet Corporation for Assigned Names
and Numbers
Cet organisme est le petit dernier, il a été proposé en 1998 par les Etats-Unis pour succéder
à l’IANA et retirer à NSI son monopole de la gestion les TLD non nationaux tout en gardant un contrôle américain sur cet aspect central d’Internet. L’ICANN est une association
de droit Californien lié par un accord renouvelé annuellement avec le département du
commerce des États-Unis (DoC).
41
Il est difficile de dire que l’ICANN a donné satisfaction. Son manque de transparence et
son fonctionnement ont sussité bien des problèmes. Si initialement l’ICANN se voulait le
représentant à part égal des acteurs et des utilisateurs d’Internet, sa représentation des
utilisateurs, via la communauté et les élus At Large, a échoué. Aussi l’ICANN a profondément revu son fonctionnement en 2002 en éloignant les contestataires et en révisant
ses buts en essayant de se rapprocher des états pour bénéficier de leur légitimité. Aujourd’hui l’ICANN se veut représenter les états, via le GAC, les utilisateurs, via At Large, et
les acteurs via les représentants des différents domaines.
3.3.1
Missions et actions de l’ICANN
En tant que successeur de l’IANA et de NSI, l’ICANN a pour mission la gestion des noms
de domaines, TLD, des adresses IP et des serveurs de nom racines, DNS root servers. Cette
mission lui est confiée par le département du commerce américain qui lui a renouvelé sa
délégation en 2003. Le gouvernement “IANA” qui lui concède la gestion de la racine du
DNS et des classes d’adresses IP, la clé de l’Internet3 .
Sa première action a été de casser le monopole de la NSI en créant les registrars, les sociétés
habilitées à enregistrer des noms de domaine dans les TLD non nationaux.
Elle a ensuite mis au point avec l’OMPI une charte de résolution des disputes liées aux
noms de domaine, l’UDPR.
En 2000, l’ICANN a lancé un appel pour la création de nouveaux TLD, elle a retenue 7
nouveaux TLD .aero, .biz, .coop, .info, .museum, .name et .pro. Aujourd’hui sa
plus grande mission devrait consister à gagner une véritable crédibilité.
3.3.2
Fonctionnement de l’ICANN
En 2000 la grande nouveauté a été de créer un corps électoral ouvert à tous les internautes
pour élire des représentants directs : la communauté At Large.
Malheureusement ce qui aurait du être un exemple de fonctionnement coopératif et transparent dans la plus pure tradition d’Internet est devenu une machine opaque qui semble
surtout penser à elle et à servir certains intérets. La refonte des statuts de l’association
voulue par Stuart Lynn en 2002 confirme cette vision en retirant les représentants de utilisateur du CA et en voulant impliquer d’avantage les États dans le fonctionnement de
l’association. Le choix du nouveau président de l’ICANN, Paul Twomey, ancien président
du GAC (Government Advisory Comittee), la commission de l’ICANN regroupant les
représentant des États, est un élément de plus allant dans cette direction.
En 2003, le budget de l’ICANN est passé de 6 M$ à 8 M$. L’organisation interne de
l’ICANN intègre des représentants de tous les organismes en relation avec les missions de
l’ICANN. On y retrouve les sociétés lucratives impliquées dans Internet et la gestion des
3
Clé qu’utilise le gouvernement américain en réatribuant des ccTLD comme il l’a fait dernièrement avec
.af et .iq
42
Chapitre 3
Fig. 3.3 – Organigramme 2002 de l’ICANN
Fig. 3.4 – Organigramme de l’ICANN
–
–
–
–
–
–
–
–
ALAC = At-Large Advisory Committee
ASO = Address Supporting Organization
CCNSO = Country-Code Names Supporting Organization
GAC = Governmental Advisory Committee
GNSO = Generic Names Supporting Organization
RSSAC = Root-Server System Advisory Committee
SSAC = Security and Stability Advisory Committee
TLG = Technical Liaison Group
43
44
Chapitre 3
Date: Tue, 6 May 2003 16:23:57 +0200 (MEST)
From: Louis Pouzin <[email protected]>
To: <[email protected]>
Subject: [forum isoc] Re: TLD non americains/ .eu et réforme ICANN
Ces discussions sont les bienvenues.
L’Icann gouverne, au sens américain, c.a.d. organise. Quoi en effet ?
D’abord des réunions internationales. Tous les 3 mois environ, les
habitués se retrouvent en des lieux sympathiques, à travers le monde. On
sait très bien qu’il ne s’y décidera rien car l’araignée a construit une
toile épaisse de comités pare-débat. Mais tout de m^
eme, Shangaı̈, Rio,
Montréal (en été), c’est moins banal que Genève, Genève, Genève. Et ça
entretient une fidélité à l’institution.
En plus de ce r^
ole de tour opérateur, il y a aussi celui de créer des
top domaines. Il faut faire piaffer les foules pendant quelques années
pour qu’elles se précipitent sur les nouvelles particules. Il importe en
effet de ne pas se faire coiffer au poteau par un g^
eneur accaparant le
nom de votre société. Le fait de créer ce risque est très bénéfique, car
on crée en m^
eme temps les compagnies d’assurance (registreurs) qui
couvrent ce risque pour $30 l’an. Multiplions par 300000 assurés, cela
fait un revenu de $9M. Il est bien naturel que l’Icann soit rétribué
convenablement pour ce petit geste.
Au delà de ce portefeuille d’assurances contre cha^
ınes de caractères
nocifs, il ne reste plus grand chose. Les numéros IP ? En IPv4 l’Icann
(sous couvert IANA) a déjà bien rempli sa mission. Selon la liste
<www.iana.org/assignments/ipv4-address-space> 84% des adresses allouées
ont été attribuées à des sociétés américaines. Difficile de faire
beaucoup plus.
Oh, on allait oublier quelque chose, la Racine (root), la mère des
tables de correspondance entre noms et adresses. C’est pourtant
impressionant: 250 noms (TLD + ccTLD), et la sauce associée, cela doit
bien faire pas loin de 100K octets. C’est là qu’on vient chercher où
trouver les autres tables des susdits domaines. Comme elles ne changent
guère souvent, tous les serveurs de la planète pourraient s’en faire une
copie, et pourquoi pas une dans chaque PC ?
Avec de tels propos iconoclastes on pourrait finir par imaginer que la
racine ne servirait à pas beaucoup plus que rien. Mais ce serait une
erreur. Elle permet à l’organisation qui contr^
ole la racine de
surveiller tout le trafic de l’internet, noter qui parle à qui, placer
des bretelles sur les échanges, détourner les messages ou en fabriquer,
et m^
eme rayer des noms (ou ccTLD) de la liste. Mais ce ne serait sans
doute pas convenable de s’attarder sur ce sujet.
Tab. 3.1 – La vision de l’ICANN d’un ancien de l’Internet
45
noms de domaine, les «distributeurs» mondiaux d’adresse IP et les organismes techniques
de l’Internet (cf organigramme).
L’expérience At Large
En 2000, l’ICANN s’est ouverte au grand public en lui permettant de participer directement à l’élection de 5 membres du CA via l’élection At Large.
Ce fut la première élection mondiale au suffrage direct. Elle a rassemblé 76 000 internautes
qui ont pris la peine de s’inscrire4 auprès de l’ICANN pour être électeur «At Large».
Les 5 représentants représentaient kes 5 «région» du monde5 . Ainsi les premières personnes
élues à un scrutin mondial sont :
Personne élue
Nii Quaynor
Masanobu Katoh
Andy Mueller-Maguhn
Ivan Moura Campos
Karl Auerbacha)
Région
Afrique
Asie / Australie / Pacifique
Europe
Amérique Latine / Caraı̈bes
Amérique du nord
nb voix
67
13913
5948
946
1738
nb votants
130
17745
11309
1402
3449
Tab. 3.2 – Résultat du vote de l’election At Large de l’ICANN (automne 2000)
a) élu au sixième tour
Parmi ces élus, Andy Mueller-Maguhn et Karl Auerbach se distinguent par leur profil en
opposition avec le courant établi de l’ICANN.
Le premier est un jeune hacker libertaire, porte-parole du Chaos Computer Club connu
pour son combat pour la transparence, la liberté d’information et pour ses intrusions dans
des systèmes comme celui de la Nasa ou du gouvernement allemand. Il a critiqué le mode
de fonctionnement de l’ICANN, sa dépendance vis à vis des Etats-Unis ainsi que sa vision
occidentale. Il désire une plus grande place pour l’intérêt public sur Internet, menacé
d’après lui par la prédominance des entreprises et du droit des marques.
Le second, Karl Auerbach est plus âgé, chercheur chez Cisco, ancien responsable de projets
à l’IETF, il est tout aussi critique sur la création et le fonctionnement opaque de l’ICANN.
Comme Andy Mueller-Maguhn, il demande une plus grande transparence et une ouverture
des TLD qu’il désire créer par millions et non à l’unité ce qui ne fait que favoriser une
pénurie artificielle des noms de domaine.
En pratique, Andy Mueller-Maguhn semble avoir été muselé et seul Karl Auerbach a pu
lutter pour essayer d’obtenir de l’ICANN une plus grande transparence. Son procès contre
4
ce n’était pas simple car l’ICANN avait sous-estimé la volonté des internautes de participer. Cela a
aussi eu des conséquences financière puisque l’ICANN a envoyé un courrier papier à chaque électeur.
5
le monde vu par l’ICANN...
46
Chapitre 3
l’ICANN qui lui interdissait l’accès à certains documents de crainte qu’il les diffuse en est
l’exemple le plus visible.
Aujourd’hui l’ICANN est revenue sur ses pas en retirant à At Large, et donc aux utilisateurs, la possibilité d’avoir des membres du CA. At Large est maintenant une commission
consultative.
3.4
L’APNIC, l’ARIN, le LACNIC et le RIPE
Ces organismes, les Regional Internet Registries (RIR), sont en charge de distribuer
“régionalement” les adresses IP, adresses que leur donne l’IANA. Les régions sont :
–
–
–
–
l’Asie/Pacifique, gérée par l’APNIC,
l’Amérique du nord, gérée par l’ARIN,
l’Amérique du sud et Caraı̈bes, gérée par le LACNIC
l’Europe, gérée par le RIPE
L’AfriNIC, pour l’Afrique qui dépend actuellement du RIPE, devrait être le cinquième organisme et avoir sa place au sein de l’Address Supporting Organization (ASO) de l’ICANN.
Chacun de ces organismes propose des statistiques sur la distribution des adresses IP et les
réserves d’adresses existantes. On peut constater sur la figure suivante que si l’équivalent
de 94 classes A a déjà été distribué, la pénurie d’adresses IPv46 n’est pas encore immédiate
puisque l’IANA dispose d’une réserve équivalente à 91 classes A et qu’il n’a été distribué
que 4,25 blocs (équivalents classes A) en 2002 et 5,5 en 2001. Cette faible consommation
est essentiellement dû à des mesures d’économies misent en place avec des distributions
de sous-classes et des mesures techniques comme le NAT par exemple.
Fig. 3.5 – Répartition des adresses IPv4 fin juin 2003 (en équivalent classes A)
(source RIPE)
6
version 4 du protocole IP, IPv6 est la version 6, elle remplacera IPv4.
47
Cela étant IPv4 sera remplacé à terme par IPv6 qui ne devrait pas connaı̂tre de problème
de pénurie et qui résoud d’autres problèmes liés au protocole IPv4. La distribution des
adresses IPv6 et leur mise en fonctionnement est en cours depuis quelques années. On peut
voir sur la figure 3.6 la distribution par région. On note que les américains qui possèdent
plus de 80% des adresses IPv4 se sentent moins concernés par IPv6.
Fig. 3.6 – Distribution d’adresses IPv6 entre 1999 et juin 2003 par région
(source RIPE)
3.5
L’ISOC, l’Association des internautes
Parmi les nombreuses associations d’internautes actuelles, l’Internet SOCiety se différencie
par son histoire et son rôle intimement lié à Internet. Créée en 1991, elle a pour but de
participer à la croissance de l’Internet tout en veillant à sa cohérence tant du point de vue
réseau que des applications. Cela inclut aussi un rôle de liaison avec les gouvernements,
les journaux et autres entités du monde «réel».
Elle a mis en place l’IAB et intégré et financé l’IETF à hauteur de 250 000 $ par an.
En 2002 l’ISOC à obtenu de l’ICANN la gestion du TLD .org. Sachant qu’il y a environ
2.5 millions de domaines en .org et que l’ISOC touche 2$ par domaine, cette délégation
lui rapportera environ 5 millions de dollars par an.
3.6
Le W3C, Web Web Web Consortium
Devant le succès du Web, HTML est devenu le premier langage dont la puissance économique
aurait pu mettre à mal Internet. Lorsque l’équipe du navigateur Mosaic qui a rendu conviviale le Web est partie créer Netscape, elle a rapidement voulu «embellir» le langage
HTML et a profité de sa situation dominante pour ajouter ses extensions sans prendre
l’avis des comités en charge de ce langage. Puis Microsoft a fait de même avec son na-
48
Chapitre 3
vigateur Internet Explorer ce qui ne pouvait amener que très rapidement à des langages
différents voire incompatibles. On risquait d’avoir le Web Netscape, le Web Microsoft et
le Web HTML pur, chacun avec ses navigateurs incapables de comprendre les sites des
autres.
Aussi le World Wide Web Consorsium a été créé en 1994 par Tim Berners-Lee au sein du
MIT avec l’INRIA et l’université de Keio pour éviter cette débâcle en poussant les acteurs
du Web à travailler en bonne intelligence. Il a permis, avec le concours de l’IETF, de faire
évoluer HTML rapidement afin de satisfaire les besoins de chacun. En ce sens le W3C se
rapproche de l’IETF, mais contrairement à l’IETF, le W3C est un club fermé dont le prix
du ticket d’entré est très élevé, 18 000 ¤ ou 180 000 ¤ suivant le type d’organisme qu’on
est.
Aujourd’hui le W3C travaille sur les nouveaux protocoles et techniques du Web avec une
attention particulière à ce qui devrait succéder à HTML : XML.
3.7
Les autres, IEEE, UIT...
Plusieurs organisations nationales, professionnelles ou internationales de normalisation
contribuent au processus de standardisation d’éléments de l’infrastructure Internet. Ainsi
l’IEEE (Institute of Electrical and Electronics Engineers) est le lieu privilégié de la normalisation des réseaux locaux (Ethernet à 10, 100 et 1000 Mbit/s, Hiperlan, Firewire ...).
L’ETSI (European Telecommunications Standards Institute) mène une activité de standardisation dans des domaines avancés des télécommunications (téléphonie mobile de 3ième
génération, terminaux, voix sur IP, sécurité, réseaux intelligents, ...). Les technologies
traditionnelles des télécommunications, dont les technologies optiques et SDH, sont normalisées à l’UIT (Union Internationale des Télécommunications) qui reprend également
dans sa nomenclature des normalisations issues, entre autres, de l’IEEE (réseaux locaux)
et des Bell Labs (SONET). Forums et consortiums s’attachent à définir avec célérité des
fonctionnalités spécifiques (ADSL Forum, ATM Forum, QoS Forum, par exemple).7
3.8
Les organismes français
L’état français a mis en place différents organismes indépendants en charge d’aspects
touchant directement Internet.
3.8.1
La CNIL
La CNIL est l’organisme lié à l’informatique et à Internet probablement le plus connu du
grand public. Sa mission a été définie par la loi Informatique et Liberté, elle doit protéger
la vie privée et les libertés individuelles ou publiques.
7
paragraphe extrait du rapport «Développement technique de l’Internet» de Jean-François Ambramatic,
1999, disponible sur le site de l’INRIA à http ://mission-dti.inria.fr/Rapport/
49
Créée en 1978, il semble que la CNIL n’ait pas su s’adapter à Internet et prendre la mesure
du phénomène Internet.
3.8.2
L’ART
L’Autorité de Régulation des Télécommunications a été créée par la loi 96-659 de réglementation
des télécommunications, loi définissant les conditions de mise en place et d’exploitation de
réseaux de télécommunication.
L’ART se définit comme
Une autorité administrative indépendante
Pour que la régulation soit équitable, il faut qu’elle soit assurée en toute
indépendance à l’égard des différents opérateurs présents sur le marché. Comme
l’ensemble des législations des États membres de l’Union européenne, la loi
française a établi cette séparation en créant une instance de régulation indépendante :
l’Autorité de régulation des télécommunications.
L’ART est directement impliquée dans les problèmes de concurrence concernant l’ADSL
et les autres technologies liées à Internet, cf http ://www.art-telecom.fr/.
3.8.3
L’AFNIC
L’Association Française pour le Nommage Internet en Coopération est en charge de la
zone .fr. Elle a été créée en 1997 pour soulager l’INRIA qui n’avait plus vocation à
s’occuper de cette zone à partir du moment où Internet n’était plus un outil essentiellement
universitaire.
Chargée de définir une politique de classement au sein de .fr, l’AFNIC a fait preuve
d’originalité en réservant la terminaison .fr aux sociétés et en ouvrant .com.fr à tous,
ou en créant un espace .tm.fr pour les marques, trademark, tout en acceptant ensuite
pagesjaunes.fr puis en indiquant que finalement .fr est aussi pour les marques. L’AFNIC a aussi mis en place des espaces sectoriels comme .experts-comptables.fr ou
.geometre-expert.fr qui peuvent muter comme l’a fait .barreau.fr pour devenir
.avocats.fr.
Mais ce dont l’AFNIC semble la plus fière est la mise en place de règles assez contraignantes
d’enregistrement et d’une tarification cachée pour freiner le cybersquatting. C’est l’espace
de confiance8 aussi connu comme l’espace national le plus déserté (cf figure 5.12 page 83).
8
dixit l’AFNIC
50
3.9
Chapitre 3
Qui a le pouvoir ?
S’il y a un point délicat dans la construction d’Internet, il s’agit du DNS. Sans le DNS
le réseau est aveugle. Aussi il est normal que L’importance du DNS se répercute sur
l’organisme qui en a la charge, à savoir l’ICANN.
Le 15 septembre 2003, Vérisign, la société en charge de la gestion des TLDs .com et .net,
a mis en place dans le DNS deux jokers *.com et *.net qui récupèrent toutes les adresses
inexistantes finissant par .com ou .net pour renvoyer sur une de leur machine. Cette
modification a été faite sans l’accord de l’ICANN et en dehors des règles de bon usage en
cours.
La porté de ces 2 petits jokers est très importantes car depuis ce jour, toute personne qui
fait une faute de frappe dans son navigateur se voit renvoyer sur le site de Vérisign, lorsqu’il
répond, au lieu d’avoir immédiatement un message d’erreur du navigateur indiquant que
le site n’existe pas. Sachant que VeriSign annonce qu’il y a plus de 20 millions d’erreurs
par jour, on peut imaginer le potentiel commercial qu’il y a à renvoyer toutes ces erreurs
sur une page web9 .
Mais le problème n’est pas là. Le DNS ne sert pas que pour surfer sur le Web, il sert
pour toutes les sortes de communications sur Internet qui ont de fortes change de ne
plus fontionnement correctement si le DNS ne donne plus de message d’erreur lorsqu’il
devrait le faire. Par exemple il permet à un mail d’arriver à bon port et si l’adresse du
mail est fausse, il l’indiquera immédiatement ce qui permettra au mail de ne pas partir et
que l’emméteur soit averti. Avec le système de joker mis en place par VeriSign, tout mail
envoyer à une adresse dans .com ou .net ira dans la boite au lettre de VeriSign s’il y a une
erreur dans l’adresse. Que fera VeriSign de ces mails ? VeriSign assure bien sûr qu’il ne les
regarde même pas, mais est-ce crédible sachant que les mails contiennent des informations
intéressantes comme l’adresse de l’emméteur qui est une véritable adresse mail associée
à un individu, donc une adresse qui a de la valeur pour des spameurs (cf ??). Les mails
contiennent aussi un texte qu’on ne désire pas obligatoirement qu’une autre personne que
le destinataire puisse lire.
Cet ajout d’un joker pose d’autres problèmes10 mais il est intéressant au niveau de la gouvernance de l’Internet pour voir si une entreprise, puissante dans ce cas, peut se permettre
de ne pas respecter les règles ou si les organismes en charge de l’Internet ont assez de poids
pour la forcer à revenir sur ses pas voire lui retirer sa délégation.
Le cadre étant mis en place, voyons les mouvements des protagonistes.
9
l’étude de Zittrain et Edelman, cf ci-dessous, a estimé que le site de VeriSign est passé de la 1559 place
à la 19 place en terme de fréquentation avec la mise en place des jokers. Plus d’une page web sur 30 vues
par les internautes étant alors la page de VeriSign.
10
cf la description un peu technique de l’IAB disponible sur http ://www.iab.org/documents/docs/200309-20-dns-wildcards.html
3.9.1
51
Les communiqués
Le 19 septembre l’ICANN annonce que suite à l’émotion succitée dans la communauté de
l’Internet, elle étudie le problème et demande en attendant à VeriSign de retirer les jokers.
Le même jour l’IAB annonce que l’utilisation des jokers, possible d’un point de vu technique, viole les règles de bon fonctionnement dans certains cas et en particulier dans le cas
qui nous concerne. L’IAB ajoute que le fait que cette utilisation du joker soit une violation
des règles d’usage est largement connu.
Le 22 septembre VeriSign répond à l’ICANN que d’après ses études son ajout de joker
est une bonne idée et que d’ailleurs d’autres l’ont déjà fait avant11 . VeriSign conclus en
indiquant à l’ICANN qu’il serait prématuré de décider de retirer les jokers ce qui revient
à rejeter la demande de l’ICANN.
Le même jour, le commité de sécurité et de stabilité de l’ICANN indique que l’action de
VeriSign a considérablement réduit la stabilité d’Internet et demande donc que VeriSign
revienne à la situation antérieure. Le commité demande à l’IAB et à l’IETF de donner des
règles précise sur l’usage des jokers dans le DNS.
Le 3 octobre l’ICANN somme VeriSign d’obéir :
Given the magnitude of the issues that have been raised, and their potential
impact on the security and stability of the Internet, the DNS and the .com and
.net top level domains, VeriSign must suspend the changes to the .com and
.net top-level domains introduced on 15 September 2003 by 6 :00 PM PDT on
4 October 2003. Failure to comply with this demand by that time will leave
ICANN with no choice but to seek promptly to enforce VeriSign’s contractual
obligations.
Le jour même, VeriSign se plaint mais annonce qu’elle va obéir.
VeriSign considers ICANN’s action today a groundless interference with
VeriSign’s business
On a donc eu le droit a une bataille rangée où l’ICANN a du jouer son rôle poussée par
l’IAB, l’ISOC et les gestionnaires du réseau. Si VeriSign a finalement retiré ses jokers, elle
n’a pas pour autant abandonné la lutte qui se fait sur le terrain médiatique maintenant,
VeriSign critiquant l’attitude sclérosée de ses adversaires qui refusent le progrès tout en
soulignant qu’en l’empèchant de faire de l’argent, elle ne pourra pas garantir la sécurité
des zones .com et .net.
Pour plus d’information sur ce sujet, on pourra consulter la correspondance de l’ICANN
ainsi que l’analyse de J. Zittrain et B. Edelman de l’école de droit d’Harvard Technical
Responses to Unilateral Internet Authority : The Deployment of VeriSign ”Site Finder”
and ISP Response.
11
ce qui est possible, mais pas dans de telles propotions.
52
Chapitre 3
3.10
L’avenir
Le seul contrôle actuel d’Internet passe par celui du DNS et la distribution des adresses
IP. L’affaire des jokers VeriSign a souligné l’importance du DNS et d’une régulation forte
garantissant l’intéret général.
Pour l’instant ce contrôle est états-unien via l’ICANN et la disposition géographique des
serveurs racines su DNS, 10 des 13 étant aux Etats-Unis. Avec l’arrivée de plus en plus
massive d’internautes non états-uniens12 , les autres états se sentent le droit et le devoir
de surveiller de façon plus rapproché l’utilisation de ce contrôle. Certains ont d’ores et
déjà indiqués leur désir de voir des organisations plus internationnales comme UIT ou les
Nations Unis, avoir plus de poids dans la gestion d’Internet.
Le Sommet Mondial sur la Société de l’Information (SMSI), sommet au niveau des chefs
d’Etats, aura à se pencher sur cet aspect. Il est justement organisé par l’UIT et l’UNESCO.
Ce sommet se tiendra en deux phases, en décembre 2003 à Genève et en novembre 2005 à
Tunis.
Pour plus d’information sur le SMSI, voir le site officiel et le site SMSI mis en place pour
le gouvernement français.
12
qui représentent plus des 3/4 des internautes maintenant
Chapitre 4
La sécurité sur Internet
4.1
Les faiblesses de l’Internet
Le protocole de transport des données sur Internet, TCP/IP, ne prévoit pas de protéger
les données transportées. Tous les paquets sont transmis en clair et donc toute personne
qui contrôle un des ordinateurs par lequel passera les données peut les lire. Par exemple
au niveau d’un réseau local, tous les paquets sortant vers Internet doivent passer par une
seule machine, la passerelle. Le contrôle de cette machine permet la lecture de tout ce qui
va et vient. Toujours sur un réseau local une personne qui est physiquement sur le même
fil Ethernet qu’une autre1 peut y détecter le courant qui y passe et donc lire les données.
4.1.1
Les connexions à distance
Lorsqu’un utilisateur désire se connecter à une machine distante il établit une connexion
avec la machine en question qui lui demande de s’identifier. Si cette connexion est initiée
avec un programme qui ne cache pas les données, comme le programme telnet qui reste
très utilisé, le flux de données est lisible avec un détecteur de paquets IP comme le programme tcpdump. Voici ce que l’on peut voir passer :
aldebaran.devinci.fr -> hermes.devinci.fr TELNET Telnet Data ...
0
10
20
30
00d0
002f
a43c
2238
590b
c4af
0017
222e
28c8
4000
0576
0000
0800
ff06
8200
6c6f
2085
eb4b
291f
6769
b5c6
c16b
e4fd
6e3a
0800 4500
a4b9 c16b
a7d4 5018
20
..Y.(... .....E.
./[email protected]
.<...v..).....P.
"8"...login:
hermes.devinci.fr -> aldebaran.devinci.fr TELNET Telnet Data ...
0
10
20
1
0800 2085 b5c6 00d0 590b 28c8 0800 4500
0029 0000 4000 4006 6f02 c16b a43c c16b
a4b9 0576 0017 e4fd a7d4 8200 2926 5018
.. .....Y.(...E.
.)..@[email protected].<.k
...v........)&P.
Toutes les personnes branchées sur un même hub sont sur le même fil Ethernet.
53
54
30
Chapitre 4
7f9a b2dd 0000 74
......t
Avec le t final du second paquet qui correspond à la première lettre du login de l’utilisateur.
Ce flux peut être interprété par le programme dsniff pour ne récupérer que les mots de
passe :
[root@diane dsniff-2.2]# ./dsniff -i eth0
dsniff: listening on eth0
----------------09/25/00 18:34:25 tcp hermes.devinci.fr.1415 -> aldebaran.devinci.fr.23 (telnet)
test
pass_compte
----------------09/25/00 18:34:39 tcp hermes.devinci.fr.1416 -> aldebaran.devinci.fr.110 (pop)
user test
pass pass_pop
Le premier couple login/mot de passe intercepté provient d’une connexion distante en
clair, le second d’une connexion à un serveur de mail POP pour y récupérer son courrier.
Il est donc important de cacher le sens de ses données avant qu’elles ne quittent votre
machine en les chiffrant. Il existe pour cela des logiciels de cryptographie comme SSH
pour les connexions à distance.
4.1.2
Le mail
Sachant que tout n’est que connexion de machine en machine, le courrier électronique
comme les autres services est ouvert à tous si l’on utilise pas de moyens de protection. Ce
n’est malheureusement pas le cas par défaut. Ainsi le mail
1. peut être écouté lors de son transport
– du client (MUA) au serveur (MTA) via SMTP
– de MTA en MTA via SMTP
– du dernier MTA chez votre hébergeur à votre MUA via POP ou IMAP
2. peut être intercepté par un MTA pirate (qui prend l’identité de votre serveur
par exemple)
3. peut être lu par le responsable système de votre site
Pour se protéger on peut appliquer diverses solutions qui fonctionneront à différents niveaux :
1. lors du transport du mail on peut
– utiliser le protocole TLS entre les serveurs (existe avec Postfix ou Sendmail)
– établir un tunnel crypté entre le MUA et son serveur :
slogin -L2110:localhost:110 mon_serveur_pop -f sleep 999d
et dire à son MUA de prendre par POP le mail sur localhost, port 2110 ici.
55
2. pour se protéger contre un MTA pirate il faut utiliser un certificat (inclus dans
TLS),
3. pour se protéger du responsable système de votre site et donc aussi de toutes
les attaques possibles, il faut chiffrer son mail à la base, avant qu’il ne quitte votre
machine. Cela peut être fait avec PGP ou GPG2 .
4.1.3
Le Web
Le Web est un peu mieux protégé avec l’algorithme de chiffrage SSL qui est présent sur
les navigateurs les plus courants. Par contre, comme pour tout algorithme de chiffrage,
son efficacité est directement liée à la taille de la clé de codage utilisée.
Ainsi. l’étude de mai 2001 faite par Projetweb, montre qu’une majorité de serveurs Web
français continuait à utiliser des clés de 40 bits3 , clés bien trop faibles pour résister aux
attaques brutales4 . Cela est d’autant plus regrettable que la loi autorise depuis 1999 l’utilisation de clé de 128 bits et que tous les navigateurs modernes comprennent SSL 128
bits. Voici les statistiques de cette étude sur la sécurité des serveurs Web, effectuée sur un
échantillon de 319 sites de sociétés françaises :
Banque - Bourse
Biens de consommation
Culture - Loisirs
Maison - Électro-ménager Hifi
Total
Java
1,9%
0,0%
0,0%
1,9%
0,9%
0
1,9%
5,6%
5,5%
1,9%
3,8%
40 bits
65,4%
36,1%
34,1%
28,8%
43,9%
56 bits
4,8%
2,8%
3,3%
7,7%
4,4%
128 bits
26,0%
55,6%
57,1%
59,6%
47,0%
total<128
74,0%
44,4%
42,9%
40,4%
53,0%
Tab. 4.1 – Niveau de sécurité des serveurs français (étude de ProjetWeb, mai 2001)
Aujourd’hui, en 2005, on peut considérer que la situation a changé, en particulier chez les
plus mauvais, les banques, qui sont passés à SSL 128 bits.
On peut considérer que les connexions sécurisées sur le Web sont sûres aujourd’hui dès
lors qu’on est sûr d’être à bon port ce qui est une autre histoire5 .
4.2
L’espionnage industriel
Outre les faiblesses intrinsèques d’Internet, le risque d’espionnage industriel est encore
augmenté par Internet et ce pour 3 raisons :
– un nombre de plus en plus important de données internes aux entreprises sont accessibles
par le réseau,
2
Pretty Good Privacy et GNU Privacy Guard
cela veut dire qu’il y a 240 clés différentes soit mille milliards.
4
type d’attaques qui essaye toutes les clés possibles.
5
celle des autorités de certification
3
56
Chapitre 4
– le risque est mal appréhendé par les employés ce qui se répercute directement sur la
sécurité,
– les services secrets les mieux équipés écoutent et enregistrent tout ce qui circule sur
Internet (cf Échelon ci-dessous).
Échelon
Echelon est probablement le plus grand système d’écoute. Il permet l’interception des
communications internationnales téléphoniques, par fax ou via Internet. Il est controlé
par les Etats-Unis, l’Angleterre, le Canada, l’Australie et la Nouvelle Zélande.
Son but initial est lié à la sécurité des états concernés mais il sert aussi leur intérêts
économiques comme l’ont montré ces 2 affaires rendues publiques :
1994 l’interception de communications entre le groupe Thomson-CSF et certains membres
du gouvernement brésilien a permis à la maison blanche d’être au courant de pot de vin
ce qui lui a permis de retourner la situation à l’avantage d’une entreprise américaine,
laquelle à décrocher le contrat de surveillance radar de l’Amazonie, contrat d’1,3 milliard
de dollars.
1994-95 la même histoire c’est répétée avec Airbus qui a ainsi perdu un contrat avec la
compagnie d’Arabie Saoudite, contrat que Boing a remporté.
Fig. 4.1 – Echelon
4.3
4.3.1
57
Introduction à la cryptographie
À quoi sert la cryptographie ? Qui en a besoin ?
Elle permet de garantir la confidentialité d’une information.
Ce besoin est partagé par les militaires, les industriels, les organisations et les citoyens car
elle permet :
– la confidentialité des transactions bancaires ;
– la protection de secrets militaires, industriels, commerciaux ou médicaux ;
– la protection des systèmes informatiques contre les intrusions ;
– la confidentialité des communications ;
– la protection de la vie privée et des associations.
La cryptographie propose aussi
– l’authentification des correspondants ;
– la non-répudiation des transactions ;
– l’intégrité des documents.
Elle est enfin le seul moyen de protéger un transfert d’informations sur Internet.
4.3.2
Différentes méthodes de cryptographie
DES Data Encryption Standard : Algorithme de chiffrement à clé symétrique développé
par IBM. Adopté comme standard officiel par les États-Unis en 1977 et largement utilisé
par la finance et l’industrie, DES utilise normalement une clé de 56 bits, mais 16 bits sont
bloqués pour la version dédiée à l’exportation. DES est dépassé aujourd’hui.
Triple DES Il s’agit de l’algorithme DES appliqué avec trois clés différentes. Appliquer
un chiffrement avec deux clés à la suite n’améliore pas la sécurité, à cause d’une attaque
appelée ”rencontre au milieu” (”meet-in-the-middle” attack). Avec 3 clés, la sécurité est
bonne mais le coût de chiffrement est trop important.
AES, le successeur de DES Le 2 octobre 2000 le gouvernement américain à annoncé
que l’Advanced Encryption Standard est l’algorithme belge Rijndael. Il est simple, élégant,
rapide sur les processeurs actuels. Il pourra être intégré dans les cartes à puce.
IDEA International Data Encryption Algorithm. Système à clé symétrique. IDEA utilise
une clé de 128 bits. Développé en Suisse. Les droits d’exploitation sont détenus par Ascom
Systec AG.
Le condensat MD5 Message Digest v.5. Fonction permettant de calculer un résumé à
partir d’un message. Si un seul caractère du message change, le résumé est complètement
58
Chapitre 4
différent. Une signature électronique consiste en ce résumé, chiffré avec la clé privée du
signataire.
Les Rivest’s Codes de RSA Data Security La famille des RCn est assez bien conçue
avec des chiffrements symétriques à la volée (“stream cipher” – RC4) et des chiffrements
par bloc (“block cipher” – RC2 / RC5 / RC6).
RC4 est le seul de la famille à être propriétaire (“trade secret”) mais son code a été
largement diffusé. RC6 était un des 5 candidats retenus à AES, procédure mise en place par
le NIST (Bureau des standards US) pour remplacer DES comme système de chiffrement
officiel.
RSA (Rivest, Shamir et Adleman)
privée (ou asymétriques).
L’algorithme le plus célèbre à clé publique/clé
SSL, STT, SET, SSH Il s’agit de protocoles permettant de négocier interactivement
des algorithmes de chiffrement. Ces algorithmes sont à clé symétrique, à usage unique.
– SSL : Secure Socket Layer est proposé par Netscape (HTTPS).
– STT : Secure Transaction Technology est proposé par Microsoft.
– SET : Secure Electronic Transaction est proposé par Visa-Mastercard.
– SSH : Secure Shell.
L’empreinte d’une clé
Une clé peut, comme un message, être résumée à l’aide d’un condensat comme MD-5,
SHA-1 ou RIPEMD-160 pour ne citer que les plus connus. Ce résumé est suffisamment
court pour tenir sur une carte de visite, ou pour être dicté par téléphone. Dans le cas de
MD5, il fait 128 bits, soit 16 octets, qu’on exprime en hexadécimal. Par exemple :
43 65 F3 AD 32 34 66 12 2A 54 CD BB AA 87 43 FD
La sécurité de ces condensat est actuellement mise à bas puisque SHA-1 a été cassé en
2004 et l’on a montré en 2005 qu’il est possible de créer des documents ayants le même
condensat MD5. S’il devient possible de choisir son condensat alors la sécurité de ces
2 algorithmes sera nulle et par conséquent le principe des signatures électroniques qui
utilisent majoritairement ces 2 clés. La protection des mots de passe sous Unix sera aussi
à revoir.
4.3.3
Les clés symétriques ou secrètes
Une clé symétrique permet d’encoder ainsi que de décoder un message. Entre 2 ou 3
personnes il suffit de se transmettre la clé de façon sûre pour pouvoir communiquer de
façon protégée par la suite.
59
À plus grande échelle, un tiers de confiance (le TTP, Trusted Third Party) qui a les clés Ki
de tous les utilisateurs Ai devient utile. Pour chaque communication, le TTP donne aux
2 utilisateurs une clé de session k pour chiffrer cette communication. Cette clé de session
est transmise chiffrée avec la clé secrète de l’utilisateur.
Avantages :
– il est facile de modifier le réseau,
– chaque entité ne stocke qu’une
longue clé,
– le chiffrement est rapide
Inconvénients :
– toute communication commence par
appeler le TTP,
– le TTP peut lire tous les messages,
– si le TTP est cassé tout est cassé.
4.3.4
Les clés asymétriques ou publiques
La principe d’utilisation des clés publiques et privées (ei /di ) est le suivant : la machine
voulant envoyer un message récupère la clé publique du destinataire, e2, et s’en sert pour
chiffrer son message. Le message ainsi chiffré ne peut être déchiffré qu’avec la clé privée
correspondante à la publique, d2 dans notre cas.
Avantages :
– pas de TTP,
– le fichier des clés publiques peut être
stocké sur chaque machine,
Inconvénients :
– un pirate peut mettre une fausse clé
publique (cf ci-dessous),
– le chiffrement est plus lent qu’avec
une clé secrète.
L’attaque de l’homme au milieu L’attaque la plus simple contre ce système est de
substituer la clé publique d’un utilisateur par celle du pirate et d’intercepter tous les
messages. Une fois le message intercepté, le pirate, l’homme au milieu, le décode, le note,
puis le recode avec la véritable clé publique du destinataire pour lui envoyer afin qu’il ne
détecte pas l’interception.
60
Chapitre 4
Fig. 4.2 – Attaque de l’homme au milieu
La parade, pour ne pas voir son message intercepté, réside dans la fiabilité de la clé
publique de son destinataire. Une clé publique est sûre, soit parce que le destinataire vous
a remis en main propre l’empreinte de sa clé, soit parce qu’une personne en qui vous avez
entièrement confiance vous garantit cette clé publique. Cette personne de confiance peut
être un tiers de confiance institutionnel ou une personne dont vous êtes sûre car elle est
dans votre liste des personnes de confiance. Dans ce dernier cas on parle de votre réseau
de confiance ou Web of trust.
4.3.5
Les mathématiques de RSA
L’algorithme RSA est un algorithme de chiffrement à clé publique/clé privée. Il est asymétrique
et ne nécessite pas la transmission de la clé permettant le décodage.
L’idée d’un algorithme asymétrique à été proposée par Whitfield Diffie et Martin Hellman
dans un article en 1975 et mise en pratique en 1977 par Ronald Rivest, Adi Shamir et
Leonard Adleman. James Ellis et Clifford Cocks des services de communication de l’armée
anglaise, avaient trouvé cet algorithme quelques années plus tôt mais ne purent le dévoiler
pour cause de secret militaire (cf [Sin99] et http ://www.cesg.gov.uk/about/nsecret/).
Son principe est relativement simple mais totalement révolutionnaire. On n’imaginait pas
jusqu’à là qu’il puisse être possible de décoder un message sans avoir la clé ayant permis
de l’encoder. Pour cela chaque utilisateur a
– une clé publique (n||e)
– une clé privée (n||d)
avec les propriétés suivantes :
1. n, le module, est le produit de 2 nombres premiers grands p et q,
2. e < n est premier avec (p − 1)(q − 1),
3. d est tel que ed − 1 soit divisible par (p − 1)(q − 1).
61
Ces choix impliquent que ed mod J(n) = 1 où J(n) est la fonction d’Euler sachant
que J(n) = (p − 1)(q − 1) lorsque p et q sont premiers.
Chiffrer un message pour un destinataire précis En chiffrant un message M à
l’aide de sa clé publique (n||e) on a :
M 0 = M e mod n
(4.1)
ce qu’il peut déchiffrer avec sa clé privée (n||d) car
M 0d mod n = (M e mod n)d mod n = M ed mod n = M ed mod J(n) = M
Prouver son identité En envoyant un message chiffré avec sa clé privée (n||d) on a
M 0 = M d mod n
que le destinataire peut lire avec la clé publique (n||e) de l’émetteur en calculant M 0e mod n.
Une application française
Le 4 mars 2000, le texte suivant tombait dans le forum fr.misc.cryptologie :
Petite feuille Maple
> pub:=2^320+convert(‘90b8aaa8de358e7782e81c7723653be644f7d\
cc6f816daf46e532b91e84f‘,decimal,hex);
pub := 213598703592091008239502270499962879705109534182641\
7406442524165008583957746445088405009430865999
> facteur1:=convert(‘c31f7084b75c502caa4d19eb137482aa4cd57aab‘, \
decimal, hex);
facteur1 := 1113954325148827987925490175477024844070922844843
> facteur2:=convert(‘14fdeda70ce801d9a43289fb8b2e3b447fa4e08ed‘, \
decimal, hex);
facteur2 := 1917481702524504439375786268230862180696934189293
> produit:=facteur1*facteur2;
produit := 2135987035920910082395022704999628797051095341826\
417406442524165008583957746445088405009430865999
> exposant_public:=3;
exposant_public := 3
62
Chapitre 4
> modulo_div_eucl:=(facteur1-1)*(facteur2-1);
modulo_div_eucl := 21359870359209100823950227049996287970510953418\
23385970414850832581282681302737201380241573831864
> essai_rate_exposant_prive:=expand((1+modulo_div_eucl)/3);
essai_rate_exposant_prive := 2135987035920910082395022704999628797\
051095341823385970414850832581282681302737201380241573831865/3
> exposant_prive:=expand((1+2*modulo_div_eucl)/3);
exposant_prive := 142399135728060672159668180333308586470073022788\
2257313609900555054188454201824800920161049221243
> testnb:=1234;
testnb := 1234
> testsignnb:=testnb &^ exposant_prive mod produit;
testsignnb := 2235938147775183775641042325450404557899532144626481\
7152366942909748069192341215834242192574336
> testverifsignnb:=testsignnb &^exposant_public mod produit;
testverifsignnb := 1234
On y trouve les nombres premiers p et q, ici facteur 1 et facteur 2 qui permettent de
connaı̂tre le module n, ici produit. On voit que l’exposant publique, e, est 3 et après un
premier test raté on trouve l’exposant privé d. Pour être sûr que tous ces chiffres sont
bons, on chiffre 1234 et on le déchiffre. Ça marche.
Ce jour là le grand public voyait en clair la clé RSA à 320 bits qui permet de vérifier
l’authenticité d’une carte bleue (voir l’article de Louis Guillou) . Cela indique seulement
qu’une carte est authentique et non que l’on connaı̂t le code secret de l’utilisateur, mais
cela permet de faire des fausses cartes6 qui tromperont un lecteur non relié aux banques
comme celui qu’on présente souvent dans les restaurants (cf le reportage de LCI).
C’est cette faiblesse connue des milieux de la cryptographie qu’a utilisé Serge Humpich7 .
La trouvaille n’est pas extraordinaire car casser une clé de 320 bits n’est plus un exploit
depuis plus de 10 ans. L’exploit réside surtout dans la légèreté du groupement des cartes
bleues qui n’a pas changé la longueur de la clé depuis la création des cartes en 1983.
6
7
faire une fausse carte bleue est assimilé à faire de la fausse monnaie. Le tarif est 30 ans de prison.
cf http ://www.parodie.com/monetique/
4.4
63
L’authorité de certification
L’authorité de certification, AC, est le répertoire public dans le cas de clés asymétriques
avec la sécurité en plus.
Cette sécurité est basé sur le chiffrement des clés publiques gérée par l’AC par la clé privée
de l’AC. Cela ne règle pas le problème de l’attaque de l’homme au milieu, mais le déplace.
Le point sensible devient l’authenticité de la clé publique de l’AC.
Il faut donc que l’AC transmettre de façon sûre sa clé publique pour que ce système
d’authorité de certification soit efficace.
En pratique l’AC doit être une entité en laquelle ont confiances l’ensemble des personnes
y déposant leur clés publiques. Cela peut être le Département Informatique dans une
entreprise, l’Etat ou niveau d’un pays...
4.5
Utilisation de la cryptographie
4.5.1
La combinaison de méthodes : PGP
PGP est l’abréviation de ”Pretty Good Privacy”. C’est un logiciel libre développé par Phil
Zimmerman. Il utilise
– IDEA, CAST ou Triple-DES pour le chiffrement ;
– RSA, DH (Diffie-Hellman), or DSA (Digital Signature Alg) pour la gestion des clés
– et MD5, SHA-1, RIPEMD160 ou Tiger pour l’authentification.
Les messages sont donc chiffrés à l’aide d’un système à clé unique (symétrique), mais
cette clé, insérée dans le message, est chiffrée à l’aide d’un système à clé publique (RSA),
plus commode à gérer, mais plus coûteux en CPU. Il existe des versions destinées à être
intégrées dans des clients E-Mail et dans la téléphonie (PGPfone, PGPTalk).
Depuis la version 2.6, il est possible de n’utiliser dans PGP que des algorithmes de chiffrement libres ce qui a donné OpenPGP, un standard de l’IETF.
64
Chapitre 4
Fig. 4.3 – Encodage d’un message à l’aide de PGP
Fig. 4.4 – Décodage d’un message à l’aide de PGP
En pratique on utilisera plutôt la version GNU de PGP : GPG8 . La façon la plus simple
est d’utiliser son interface graphique GPA sur Unix, ou à l’aide de sa version Windows.
8
Gnu Privacy Guard est compatible avec OpenPGP et PGP version 5.x et 6.x.
65
Fig. 4.5 – GPA, l’interface graphique de GPG
Lors du premier lancement, GPG vous proposera de créer votre clé ce qui ne doit être
fait que si vous n’en avez pas. Si vous avez déjà une clé, sur une autre machine par
exemple, recopiez là dans votre répertoire principal sous .gnupg. Vous devez avoir les
fichiers suivants :
(hermes)../home/ricou>ls .gnupg/
options pubring.gpg random_seed
secring.gpg
trustdb.gpg
À l’usage on effectue les opérations suivantes :
–
–
–
–
lecture de messages chiffrés, reçu le plus souvent par mail,
envoi de messages que l’on chiffre,
validation de clés d’amis,
demande de validation de sa clé par un ami.
L’intérêt des 2 premières opérations est immédiat et relativement simple une fois que l’on
a configuré son lecteur de mail, voire installé le plugin nécessaire (cf par exemple Enigmail
pour Netscape).
Fig. 4.6 – Netscape mail et PGP
La validation de clé est tout aussi importante pour utiliser sereinement la cryptographie.
66
Chapitre 4
On a vu le risque de l’interception de clé par la méthode dite de la personne au milieu,
cf 4.3.4, aussi il est important de valider physiquement une clé publique, i.e. en se transmettant l’empreinte de sa clé main dans la main. On peut ainsi se créer son réseau de
confiance. Il est ensuite possible de récupérer d’autres clés publique sur des serveurs de clé
et accorder sa confiance en ces clés dès lors qu’une personne de notre réseau de confiance
les a signées.
Les serveurs de clé sont interconnectés, soumettre sa clé à l’un d’entre eux revient à la
diffuser à l’ensemble des serveurs. Voici quelques serveurs consultable en ligne ou à l’aide
de son logiciel PGP :
– http ://math-www.uni-paderborn.de/pgp/
– http ://pgp.mit.edu/
– http ://www.keyserver.net/en/
4.6
La sûreté de la cryptographie
On considère qu’un algorithme sérieux de cryptographie doit être basé sur un algorithme
publié. Une protection basée sur le secret de l’algorithme n’est pas fiable car
– le secret peut être éventé (par exemple le code source de RC4 a été posté sur Usenet de
manière anonyme),
– l’algorithme n’a pas été testé (attaqué) par la communauté scientifique.
Cependant même les algorithmes sérieux peuvent être cassés
– soit par une découverte mathématique ou un bug d’implémentation,
– soit par la force brute qui a eu raison du DES-56 bits en 22 heures,
– soit par la combinaison des deux comme ce fut le cas pour RSA-155 (ou 512 bits)
4.6.1
Histoire d’une lutte sans fin
Avec l’arrivée d’Internet, les limites de résistance des messages chiffrés ont été nettement repoussées. La méthode brutale, qui consiste à tester toutes les clés possibles pour
déchiffrer un message, est devenue une méthode attractive avec la possibilité de faire travailler ensemble un très grand nombre d’ordinateurs, chacun testant une partie des clés
possibles.
Le DES et sa clé à 56 bits (256 ≈ 1017 ) a été l’une des premières victimes, cassé à plusieurs
reprises par la méthode brutale :
– DES I, juin 97 Rocke Verser de Loveland, Colorado, avec des machines d’autres internautes en 90 jours.
– DES II-1, janv 98 distributed.net en 39 jours avec 10 000 ordinateurs et une
moyenne de 28.1 milliard de clés testées par jour.
– DES II-2, juillet 98 Electronic Frontier Foundation, EFF avec une machine ad
67
hoc à 250 000 $ en 3 jours,
– DES III, janv 99 en 22 heures par la machine de l’EFF couplé aux 100 000 machines
réunies par le distributed.net.
Le DES n’est plus considéré comme sûr, il a été remplacé par Rijndael en 2000.
Pour venir à bout de RSA, la méthode utilisée est celle du “crible algébrique” qui permet de
ramener le problème à un calcul matriciel dont la résolution nécessite un super ordinateur.
Une présentation sur la factorisation et donc sur la façon de casser RSA est présentée sur
ce site : http ://pauillac.inria.fr/algo/banderier/Facto/
– RSA-140, fev 99 le crible a nécessité environ 125 stations SGI et Sun à 175 MHz et
environ 60 PCs à 300 MHz pendant 1 mois. Le système matriciel à demandé 100 heures
CPU et 810 MO de mémoire vive sur un Cray C916.
– RSA-155 (512 bits), août 99 le crible a nécessité 160 stations SGI et Sun à 175-400
MHz, 8 SGI Origin 2000 processeurs à 250MHz, 120 Pentium II PCs à 300-450 MHz et
4 500 Digital 500 Mhz pendant 3.7 mois. La matrice à résoudre avait 6 699 191 lignes
et 6 711 336 colonnes pleine à 62.27%. Il a fallu 224 heures CPU et 3.2 GO de mémoire
vive sur le même Cray pour résoudre le système.
Le défi que s’est lancé le distributed.net :
– RC5-56, oct 97 Trouvé en 212 jours de travail. Le pourcentage de clés vérifiées est de
47,03%, vitesse moyenne : 5,3 G clés/s. Au rythme final, il aurait fallu 83 jours pour
vérifier l’ensemble des clés restantes.
– RC5-64, juillet 2002 trouvé en
1 757 jours de calcul, environ 4 ans et 10 mois
331 252 participants
15 769 938 165 961 326 592, 15 milliards de milliards, clés testées
soit 81% des clés possibles
vitesses maximale : 270 147 024 000 clés/seconde
- soit 32 000 de Apple PowerBook G4 800MHz ou
46 000 PC AMD Athlon XP 2Ghz travaillant en parallèle
- à cette vitesse il suffirait de 790 jours pour tester
l’ensemble des clés
68
Chapitre 4
Fig. 4.7 – Vitesse de test des clés RC5-64 depuis 1997
Casser le Web L’algorithme de cryptographie le plus utilisé sur le Web est SSL. Il se
conjugue principalement en 3 variantes de longueur de clés différentes : SSL 40 bits, SSL
56 bits et SSL 128 bits. Le mode SSL 40 bits, qui reste encore très utilisé en France, a
été cassé dès l’été 1995 en 32 heures à l’INRIA et en 3h30 durant l’été 1997 à Berkeley.
Aujourd’hui quelques minutes voire quelques secondes, suffisent aussi il est indispensable
d’utiliser la méthode SSL 128 bits qui est à peu près 300 millions de milliards de milliards
fois plus sûre. Cela devrait lui permettre de tenir quelques années.
4.7
Plus
Pour ce qui touche la cryptographie, On pourra aussi consulter les ouvrages suivants : The
Codebreakers de David Kahn, cf [Kah96], et l’Histoire des codes secrets de Simon Sing, cf
[Sin99].
Certains manuels (livres) sont disponibles en ligne dont The Handbook of Applied Cryptography, cf [AM98], les Frequently Asked Questions About Today’s Cryptography des RSA
Labs, cf [Lab00].
Enfin, les sites suivants contiennent des informations intéressantes :
– Des centaines de transparents sur la cryptographie,
– La page PKI, Public Key Infrastructure, on pourra aussi regarder la solution libre PKI
proposée par IDEALX,
– Le site de TBS, «Abandonnons les protocoles non-chiffrés» présent, différentes méthodes
pour se protéger, cf https ://www.tbs-internet.com/ssl/
– Projetweb propose une étude sur le commerce électronique et la sécurité,
cf http ://www.projetweb.com/labalise/securite/index.php. On y voit qu’en mai 2001
–
–
–
–
69
les banques n’avaient toujours pas compris ce qu’est la sécurité.
Le site de Parodie, http ://www.parodie.com/monetique/, présente l’affaire des cartes
bleues.
La FAQ Cryptographie de l’AUI, cf http ://www.aui.fr/Projets/Crypto/,
How PGP works, the Basis of Cryptography, cf http ://www.pgpi.org/doc/pgpintro/,
Déclarer l’usage de la cryptographie forte au SCSSI, cf http ://www.scssi.gouv.fr/
70
Chapitre 4
Deuxième partie
Le commerce sur Internet
71
Chapitre 5
Les chiffres d’Internet et du
commerce électronique
Internet est un nouvel espace marchand, qui comme tout nouveau marché demande à être
connu avant de l’attaquer. Pour cela il est bon de pouvoir compter sur des batteries de
chiffres, ce qu’ont bien compris des cabinets d’études, qui proposent des échantillons afin
de montrer leur savoir faire.
Malheureusement les sondages ne sont pas une science exacte, surtout sur Internet comme
le montre la figure 5.1 avec un facteur 10 entre les estimations des différents instituts à
une même question. Quand aux prévisions, n’en parlons pas !
Fig. 5.1 – Comparaison de sources de sondage faites par NUA
Cela étant dit, voici des noms d’instituts et d’organismes sources de données et de prévisions
73
74
Chapitre 5
sur Internet :
– L’AFA, Association des Fournisseurs d’Accès, http ://www.afa-france.com/ indique son
nombre de clients en France,
– CAIDA, http ://www.caida.org, analyse la structure et le fonctionnement d’Internet,
– C-I-A, Computer Industry Almanac, http ://www.c-i-a.com/,
– CyberAtlas, http ://cyberatlas.internet.com/, centralise les communiqués des autres
instituts,
– Datamonitor, http ://www.datamonitor.com,
– Forrester Research, http ://www.forrester.com/,
– IDC, http ://www.idcresearch.com/,
– Jupiter Media Metrix devenu ComScore, http ://www.comscore.com, pour les données
nord américaines,
– Killen et associés, http ://www.killen.com/,
– Médiamétrie, http ://www.mediametrie.fr/, pour des données françaises,
– MIDS ou Matrix.net, http ://www.matrix.net/index.html, connu pour son étude sur le
nombre de machines connectées,
– NUA, http ://www.nua.ie/, connu pour son étude sur le nombre d’internautes.
– ITU, Union Internationales des Télécommunications, http ://www.itu.int/,
A titre d’exemple, le Computer Industry Almanac propose pour 1 500 $ une étude sur le
nombre d’internautes à travers 50 pays.
5.1
Les internautes
Il est difficile de savoir combien de personnes utilisent ou sont connectées à l’Internet.
Les chiffres de l’étude Internet de NUA comptabilisent le nombre de personnes s’étant
connectées durant les 3 derniers mois. Lorsque cette information n’existe pas dans une
région, NUA estime ce nombre à 3 fois celui du nombre de personne ayant un compte
Internet.
Dans le monde
Afrique
Asie/Pacifique
Europe
Moyen Orient
Canada et USA
Amérique Latine
juin 1999
179
1.1
27.0
42.7
0.9
102.0
5.3
juillet 2000
360
3.1
89.4
94.2
2.4
157.2
13.4
mai 2002
581
6.3
167.9
185.8
5.1
182.7
33.0
Tab. 5.1 – Nombre d’internautes par continents (en millions)
source NUA
Les chiffres d’Internet et du commerce électronique
75
Ces chiffres sont globalement1 recoupés par ceux du Computer Industry Almanac, C-I-A.
Monde
Asie/Pacifique
Europe de l’O.
USA
fin 2001
533
115
126
149
fin 2004
945
357
208
193
fin 2007
1 460
612
290
236
Tab. 5.2 – Prévisions du nombre d’internautes (en millions)
source : C-I-A, 2002
Cet organisme note aussi l’évolution de la part des américains des Etats-Unis sur Internet.
Ainsi fin 1999 ils représentaient presque 40% des 280 millions d’internautes mais fin 2002
ce nombre est tombé à 24% des 665 millions d’internautes pour être à moins de 20% fin
2004.
Si on ramène le nombre d’internautes par nombre d’habitants dans chaque pays on obtient
le taux de pénétration d’Internet. Le tableau 5.4 présente ce taux à partir des chiffres de
l’ITU. On peut déjà noter ce qu’on verra avec les données sur les pays européens, à savoir
l’avance des pays nordiques. La forte progression de la Corée du Sud est due à l’utilisation
du sans fil.
En comparant les chiffres de l’ITU, tableau ??, à ceux du C-I-A qui présente ce même
pourcentage d’internautes en 97 et 99, on note des différences usuelles entre les institus
de mesure. Le nombre d’internautes évalué par l’ITU est supérieur à celui estimé par le
C-I-A lequel surestime aussi par rapport au NUA.
5.1.1
En Europe
L’Europe propose, via le projet SIBIS2 , une photo très complète sur la société de l’information dans l’Europe des 15 ainsi que dans celle des 10 nouveaux arrivants (New Associates
States, NAS 10).
On retrouve dans ces chiffres, figure 5.2, et ceux qui suivent, trois groupes de pays. Les
pays nordiques sont à la pointes, les pays méditerraniens dont la France sont à la traine,
les autres sont entre les deux.
Le sondage de l’EIAA en octobre 2004 présente des chiffres similaires (cf fig. 5.1.1).
1
2
13% de différence
Statistical Indicators Benchmarking the Information Society, www.sibis-eu.org
76
Chapitre 5
Pays
janv. 2004
%
Islande
Norvège
Suède
Corée du sud
Etat-Unis
Singapour
Hong-Kong
Japon
Danemark
Canada
Finlande
Suisse
Angleterre
Australie
Allemagne
Taiwan
Italie
France
70
68
65
71
54
60
43
2001
rang
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
–
–
–
%
67.94
59.62
59.62
51.06
49.95
? 48.83
45.86
45.47
44.71
43.52
43.02
40.40
39.95
37.23
36.42
34.90
27.57
26.37
2000
rang
%
1 59.78
2 49.05
3 45.58
6 40.25
4 45.06
12 29.86
7 38.64
13 29.31
9 36.58
5 41.30
8 37.22
14 29.62
11 30.11
10 34.45
15 29.17
– 28.10
– 23.03
– 14.43
1999
rang
%
1 53.81
2 44.65
3 41.37
12 23.17
4 37.40
11 24.04
5 36.45
13 21.36
9 28.22
6 36.07
7 32.27
10 24.57
14 21.00
8 29.57
– 17.52
15 20.55
– 14.29
–
9.16
Tab. 5.4 – Pays ayant le meilleur taux de connexion à l’Internet
source : ITU
? l’ITU indiquait un taux de pénétration de 60% pour Singapour,
ce qui semble être une erreur d’après d’autres sources.
sources 2004 : Ipsos-Insight
Fig. 5.2 – Foyers ayant accès à Internet dans l’Europe des 15
source : SIBIS, 2003
77
78
Chapitre 5
Fig. 5.3 – Européens connectés à Internet (% de la population)
Entre parenthèses, le nombre de personnes interrogées.
source : EIAA, octobre 2004
Et la situation ne va pas en s’améliorant. Ceux qui sont déjà les mieux équipés, le sont
depuis puis longtemps et basculent le plus rapidement vers le haut débit à domicile.
Fig. 5.4 – Internautes européens, anciens et passant au haut débit chez eux
source : SIBIS, Pocket Book 2002/03
79
Le lieu de connexion des internautes permet d’avoir une idée du type et de la qualité
d’utilisation d’Internet. Les pays les mieux équipés ont une population qui utilise Internet
à la maison et au travail ou seulement à la maison dans la très grande majorité alors que
les pays les moins équipés ont un pourcentage de connexions élevé en dehors du travail et
de la maison (il peut s’agir des cybercafés, des espaces publics numériques ou d’amis). On
peut raisonnablement penser que les cyber-consommateurs seront plutôt les premiers.
Fig. 5.5 – Lieu de connexion à Internet (% de la population)
5.1.2
En France
Si la France a été le pays le mieux connecté avec le Minitel 3 , elle est toujours en retard pour ce qui concerne l’Internet. L’AFA4 présente une étude sur les connexions des
internautes français qui permet d’avoir une image partielle de la situation actuelle (tous
les fournisseurs d’accès ne font pas partie de l’AFA comme Free qui compte plus de 3,7
millions d’internautes 5 ).
3
au début des années 90 le réseau du Minitel était le plus gros réseau numérique du monde
L’Association des Fournisseurs d’Accès et de Service Internet regroupe la plupart des fournisseurs
d’accès en France.
5
en octobre 2004
4
80
Chapitre 5
Fig. 5.6 – Connexion à Internet en France des membres de l’AFA
source : AFA, 2003
Du point de vue de l’équipement la situation progresse nettement. En 1999, seulement
22% des foyers avaient un ordinateur en France contre 67% des foyers suédois à la même
époque. En 2002, ce chiffre est passé à 58% pour la France.
Les connexions à «haut» débit permanentes comme l’ADSL ou le câble, qui permettent
d’utiliser pleinement Internet, n’en sont qu’à leur tout début et ne représente que 10% des
connexions à Internet en France en 2002. Ce type de connexion coûte aujourd’hui environ
30 euros par mois et permet d’être connecté en permanence avec un débit 10 fois supérieur
à celui des modems classiques. Elles ne sont actuellement proposées dans les grandes villes
et devraient couvrir 80% de la population en 2003.
Le faible équipement ainsi qu’une absence de politique nationale de connexion à l’Internet voire des lois qui bloquent les initiatives locales, expliquent la position en retrait de
la France face aux autres pays occidentaux. Fin 1999 la France était 4 fois moins bien
connectée que les Etats-Unis ou que les pays scandinaves. Elle rattrape son retard mais
reste encore en dessous de tous les pays d’Europe du nord ainsi que de l’Italie et du
Portugal.
Fig. 5.7 – % des français connecté au travail et à domicile
81
Fig. 5.8 – % des cadres français connectés
au travail et à domicile
source : Ipsos, 2002
source : Baromètre FT, février 2002
5.1.3
Le profil des internautes
Au siècle dernier, l’internaute était un jeune homme avec des revenus supérieurs à la
moyenne. Au fur et à mesure que se démocratise l’usage d’Internet, le profil des internautes
tend vers celui de l’ensemble de la population.
Fig. 5.9 – Répartition par âge des internautes français
A titre de comparaison, la population des internautes des Etat-Unis recoupe celle de la
population pour ce qui est du genre et de l’ethnie. Mais il reste encore des différences pour
ce qui est de l’âge, une sous-représentation des personnes âgées, du niveau d’étude et des
revenus familiaux :
82
Chapitre 5
Fig. 5.10 – Profil des internautes US par rapport au profil de la population
source : CyberAtlas, avril 2002
5.2
Les machines
Le nombre de machines connectées, plus simple à mesurer, permet d’avoir une meilleure
vision d’Internet. Bien sûr certains réseaux locaux cachés ne laissent voir qu’une passerelle.
D’autres machines ne sont connectées que par intermittence, et si l’on peut justement
considérer que ces machines ne font pas partie d’Internet, leurs propriétaires n’en sont pas
moins des internautes lorsqu’ils se connectent. Aussi là encore les chiffres présentés doivent
être analysés avec circonspection.
Fig. 5.11 – Croissance du nombre de machines connectées à Internet
Ainsi l’évolution des machines connectées aux réseaux depuis la création d’Arpanet présentée
par le Matrix Information and Directory Services, Inc à partir de données des Network
Wizards a demandé à être révisée à la hausse vers 95 (courbe Old) tout en étant encore
en dessous de la réalité puisqu’elle ne prend en compte que les machines visibles avec une
adresse IP fixe.
De même les statistiques du RIPE (Réseaux IP Européen) sur les pays européens basées
sur les TLDs (Top Level Domain) nationaux sont biaisées car de nombreuses sociétés et
83
organisations ont leur adresse Internet en .com ou .org. Cela étant, l’évolution d’un même
TLD national reste une information intéressante de même que la force d’un TLD national
face à nombre de domaines enregistrés en .com dans le même pays.
Fig. 5.12 – Nombre de domaines enregistrés dans les TDL nationaux
source : RIPE, mars 2002
On note ainsi que la France est pauvre en .fr ce qui traduit le retard de la France mais
aussi (et surtout ?) la politique très contraignante du NIC France en charge de ce domaine
comme le montre sa richesse en .com.
Fig. 5.13 – Répartition des domaines .com
appartenant à des européens
source : AFNIC, 1999
Fig. 5.14 – Répartition des adresses IP
dans les domaines nationnaux
source : RIPE, juin 2001
Les statistiques se basant sur les adresses IP sont plus précises.
La figure suivante du CAIDA compare les données géopolitique des pays à leur connexion
à Internet. Les ASes, les Autonomous Systèmes sont des portions logiques d’un réseau IP
administrées par une autorité unique.
84
Chapitre 5
Fig. 5.15 – Comparaison de la connexion des pays par rapport aux données géopolitiques
source : CAIDA, 2001 et 2003
Enfin le nombre de serveurs Web en activité est aussi un bon indicateur de la croissance
de l’Internet. Il est très lié au nombre d’organismes présents sur la toile. Il ne doit pas être
confondu avec le nombre de pages Web ni le nombre de sites, sachant que les hébergeurs
ont de très nombreux sites Web gérés par un seul (ou une poignée) de serveurs Web.
Ces statistiques sont relativement simples à mettre en place puisqu’il suffit d’interroger
les ordinateurs de la toile et de leur demander s’ils font tourner un serveur Web. On
peut même avoir le nom du logiciel qui fait tourner le serveur. Ainsi Netcraft propose
régulièrement un état des lieux résumé dans la figure ci-dessous :
85
Fig. 5.16 – Nombre de serveurs Web branchés et actifs
5.3
Le commerce
Les chiffres concernant le commerce électronique sont encore plus difficiles à évaluer que
ceux sur les internautes ou sur les machines connectées. Ils ne reposent pas sur des données
centralisées, ils sont le plus souvent secrets et ne couvrent pas toujours le même domaine
suivant les sondeurs. Ainsi il est difficile de savoir ce que recouvre exactement les revenus
générés par Internet :
86
Chapitre 5
Fig. 5.17 – Revenus générés par Internet entre 1996 et 2002
source : ActivMedia
Ces revenus sont extrêmement importants.
À titre de comparaison, le commerce “traditionnel” mondial était de 6 186 milliards de
dollars en 2000 à l’exportation d’après les statistiques 2001 de l’OMC. Ces exportations
se répartissaient en 558 milliards de $ pour l’agriculture, 813 milliards pour les produits
des industries extractives (minerais, pétrole...) et 4 630 milliards pour les produits manufacturés.
En 2002, le journal Le Monde estimait qu’en 2006 «quasiment la moitié de la force de
travail américaine sera employée dans les technologies de l’information».
Par contre le Figaro du 31 janvier 2000 relativisait le poids du commerce électronique en
indiquant qu’il a été de 1,3 milliard de francs en 1999 soit 1% de la vente par correspondance et 0,05% du commerce de détail.
Les dépenses des internautes sont probablement encore plus difficiles à obtenir que
les chiffres globaux des revenus du commerce électronique pour des raisons de confidentialité, tant de la part des sites marchands que des banques.
87
Fig. 5.18 – Dépenses d’internautes sur des sites européens entre 1997 et 2002
source : Datamonitor
Fig. 5.19 – Dépenses d’internautes sur des sites allemands et anglais entre 1997 et 2002
source : Datamonitor
Cela étant, on peut penser que ces données sont cohérentes d’une année sur l’autre et
s’intéresser à la forme des courbes. On observe ainsi une forme de courbe exponentielle
classique dans le monde d’Internet pour les revenus générés. La seconde courbe semble
s’infléchir comme celle du nombre de serveur web présentée précédemment. Il est difficile
de savoir si cette inflexion est significative, si elle est un contre coup du crack boursier de
la nouvelle économie, car la plupart des autres courbes gardent un aspect exponentiel.
B2B, B2C Un des points important du commerce électronique concerne la répartition
de ce commerce entre le commerce inter-entreprises et entre les particuliers et les sites
marchands. Il s’agit du B2B, Business to Business, et du B2C, Business to Consumer. La
figure ci-dessous montre bien l’écart écrasant entre le B2B et le B2C. Pour l’internaute
lambda, la partie visible de commerce électronique n’est que la partie émergée de l’iceberg.
88
Chapitre 5
B2C eCommerce Worldwide, 1998−2003 (in billions)
$ 187.6
$200 billions
$120.8
$100
$77.7
$48.6
$20.1
$12.2
1998
1999
2000
2001
Source : eMarketer, 2000
2002
2003
www.eMarketer.com
Fig. 5.21 – Evolution du B2C entre 1998
et 2003
Fig. 5.20 – Répartition B2B et B2C aux
E-U entre 1998 et 2003
source : eMarketer, 2000
source : Forrester Research
La publicité est aussi considérée comme une donnée majeure du commerce électronique.
Son importance et les espoirs qu’elle a suscités seront abordés dans le chapitre sur “La
rentabilité d’un site commercial”. En attendant, voici deux figures aux valeurs difficilement conciliables mais qui montrent la part marginale de la publicité dans le commerce
électronique :
Fig. 5.22 – Le poids de la publicité sur Internet
source : Datamonitor à gauche, Forrester Research à droite
5.4
Les sociétés
On ne peut pas parler des chiffres du commerce électronique sans penser à l’eldorado
qu’ont représenté pour les boursiers les sociétés des nouvelles technologies. Quelques personnes sont devenues millionnaires en peu de mois à partir de pas grand chose, d’autres,
89
probablement plus nombreuses, ont perdu beaucoup dans l’explosion de la bulle Internet.
Avant ce qui s’est avéré être le vrai bug de l’an 2000 pour beaucoup, les e-sociétés pesaient lourd sur la bourse, leur capitalisation dépassait facilement celle de grandes sociétés
traditionnelles :
Fig. 5.23 – Les 10 plus grosses capitalisations d’Internet en juin 1999
La grande Cisco avait un cours à faire rêver (l’échelle est exponentielle) :
Fig. 5.24 – Cours de CISCO entre 1995 et 2000
Aujourd’hui Cisco revient à son cours de 99.
90
Chapitre 5
Fig. 5.25 – Cours de CISCO jusqu’en mars 2005
La chute de France Telecom a été spectaculaire. Elle a payé cher son euphorie et ses achats
d’autres sociétés au plus haut court.
Pour les start-up, les variations ont été vertigineuses. Umanis, ex Eurostat, star du second
marché, a vu son cours divisé par 100. Son cours en échelle linéaire reflète bien la montée
de la bulle et son explosion.
Fig. 5.26 – Cours de France Telecom entre
1998 et 2003
Les sociétés symbole de l’Internet
disparu et y ont gagné en crédibilité.
Fig. 5.28 – Cours de Yahoo
Fig. 5.27 – Cours d’Umanis entre 1999 et
2002
comme Yahoo, Amazon, AOL ou eBay n’ont pas
Fig. 5.29 – Comparatif Yahoo/Amazon
Fig. 5.30 – Cours de eBay
Fig. 5.31 – Cours d’AOL
(Time Warner Inc maintenant)
91
92
Chapitre 5
Chapitre 6
La rentabilité sur Internet
Une présence sur Internet doit-elle être rentable ?
Dans la majorité des cas non, voire même elle coûte de l’argent comme l’usage de tous les
outils de communication.
On peut déjà distinguer grossièrement les cas suivants :
– la présence carte de visite,
– la présence vitrine pour supporter une activité commerciale du monde “réel” à travers
la description des produits et d’autres informations,
– la présence pour vendre des produits déjà vendus par d’autres vecteurs,
– la présence pour créer une activité commerciale “virtuelle”.
Fig. 6.1 – The garlic store, http ://www.thegarlicstore.com/
Un site marchand
Dans les 2 premiers cas il s’agit d’utiliser Internet comme un média pour transmettre de
l’information. Les coûts seront naturellement supérieurs aux gains directs possibles, s’il y
en a.
Dans le cas de vente en ligne, la rentabilité d’Internet doit être mesurée selon les mêmes
critères que ceux utilisés pour le téléphone ou la poste par une entreprise de vente par
93
94
Chapitre 6
correspondance.
Dans le dernier cas, la rentabilité de la présence sur Internet est obligatoire puisqu’elle est
la raison d’être de la société.
6.1
Les coûts
Les coût sont de deux natures, les coûts sympathiques car prévisibles et les coûts plus
complexes à évaluer, essentiellement le temps humain lié à l’impact de cette présence sur
Internet.
6.1.1
La connexion
Dans les coûts prévisible, le premier coût est celui de la connexion qui dépend directement
de la qualité de service désirée. Cela peut aller de l’hébergement d’un site web et l’obtention
d’une boite au lettre pour quelques dizaines d’euros par mois à la machine hébergée chez
soit avec une LS à haut débit pour plusieurs milliers d’euros par mois.
Site Web
minimaliste
presque rien
ADSL particulier
(1 machine)
30 ¤
Hébergement
mutualisé
100 ¤
ADSL pro
(10 machines)
100 ¤
Hébergement
dédié
300 ¤
LS 10 Mbits
(beaucoup)
1 000 ¤
Tab. 6.1 – Prix mensuel d’une connexion et d’un hébergement en France en 2002
À ces prix il faut ajouter, pour l’hébergement un surcoût en cas de trafic important, un
serveur de secours chez un autre opérateur ou FAI, la sauvegarde, les alertes...
Pour la connexion, il peut être bon d’avoir aussi une solution de secours en cas de panne
de la connexion principale.
6.1.2
Le développement du site web
La conception et le développement d’un site web peut se faire en payant quelques centaines
d’euros un étudiant pour avoir un site statique avec deux trois pages de présentations, mais
atteint des sommes nettement plus élevées pour un “vrai” site commercial.
Pour avoir une idée de ces coûts, B2B Online présente trois cas fictifs de site Web, un
petit, un moyen et un grand, à différentes Web agencies en leur demandant un devis pour
chacun. Les sites sont les suivant :
95
Le petit site : Alpha and Gamma law partners is a law firm looking to start from
scratch with its Web site, which hasn’t been updated since 1998. It would like a Flash intro
to the site with some animation and sound. Then your standard items like an executive
bio section, contact page, press releases, etc. And they’d like this look and feel to carry
over to a new Intranet site which will allow the lawyers in the firm to create a library
of their case documentation, have links to the various online databases (Lexis, etc.) and
search for and access all the relevant files in this new knowledge base.
Services requested :
– Hosting
– Look and feel (design/site mapping)
– Flash development
– Intranet database development of case library
Le site moyen : Cranial Bomb is a software developer. It’s looking to create a new
site for one of its products which will feature secure (paid) downloads of its software, a
bulletin board system for registered users to interact with each other and staff tech-support
personnel. These will have to be multithreaded so that users can create their own threads
in on of several ”folders” like ”software issues,” ”hardware issues,” etc. The Tech support
staff will also maintain a library of documentation in word, acrobat and html, which users
can search. They’ll need to be able to post text for the html, and upload the related files.
– Secure hosting
– E-commerce engine
– Bulletin board area
– User registration system
– Database development for the support documents
Le grand site : Grubstuff.com is a mid-sized portal for the restaurant industry looking to roll-out the second phase of its site (it got its VC last year, thank you). Currently
it has an ASP-based portal site running on Windows 2000 with an SQL database, and it
would like to keep this architecture. It has 25,000 registered users. Besides links to sites
it has several news feeds with industry-related content, weather, stock ticker, etc. Now it
wants to build out the exchange portion of the site. It will need a full e-commerce solution
whereby users can register as buyers or vendors, manage their accounts, securely store
purchase information (credit cards or Purchase orders). Vendors will be able to update
the items in the catalogs they are selling. Buyers will be able to view and search the items
by vendor, price, part number, etc. and see specs and descriptions of the items. Finally,
it would like to allow users to set certain preferences in their profiles and receive email or
wireless updates when special offers on selected products come up, or when news or stock
information of interest comes across the feeds.
– Secure hosting
96
–
–
–
–
–
Chapitre 6
E-commerce engine/shopping cart
Catalog area, with back-end updating tools for the vendors
User registration/profile management system
Email list management/delivery system
WAP-based system for news and stock delivery to phones, pagers, etc.
Tab. 6.2 – Coût de développement d’un site web entre 96 et 2001
source : B2B Online, 2002
Le prix ont constamment varié de façon importante, en particulier pour les grands sites
qui ont chuté avec la maı̂trise de la technologie, remonté avec la pénurie liée à l’arrivée de
nombreuses entreprises sur Internet et enfin rechuté en 2001 avec l’explosion de la bulle
Internet.
6.1.3
La promotion
Pour qu’un site soit connu on a recourt le plus souvent à la publicité, qu’elle soit sur
Internet ou en dehors d’Internet. Ces campagnes de publicité pour des sites Web ont eu
des fortunes diverses.
En 1994, CDNOW a commencé une campagne de publicité omniprésente sur Internet qui
lui permis de devenir rapidement le leader dans la vente en ligne de CD. CDNOW à mis en
place en même temps un système d’affiliation permettant aux sites partenaires de renvoyer
les internautes directement aux CD recherchés.
6.1.4
Le coût humain
Le coût humain et les implications liées au sein de l’organisation de la société sont très
variables d’un cas à l’autre, mais sont souvent la partie la plus importante des dépenses.
Un site commercial implique
– de lui fournir du contenu,
97
– de l’adapter voire de le rénover régulièrement,
– de répondre au courrier qu’il suscite.
6.2
Les revenus
6.2.1
Les économies
Le journal québécois Le Devoir présentant le 5 mai 1997 les gains induits par Internet
pour la société Federal Express :
Premier succès d’envergure sur Internet, le système de suivi des livraisons
sur Internet de Federal Express fait économiser 2 millions de $ par année à
la compagnie. C’est sans compter la satisfaction des clients qui peuvent euxmêmes, au moment qui leur convient, vérifier où est le colis envoyé ou en attente. Implanté en 1994, le système s’est développé pour permettre aux clients
de FedEx de réaliser leurs commandes eux-mêmes en ligne. Déjà 400 000
clients réalisent 60 % de leurs transactions de cette façon. Cela représente
plus de 100 millions de transactions par jour ! Et ce n’est pas tout : la croissance des transactions réalisées par FedEx sur Internet serait de 10 à 12 %
par mois.»
6.2.2
La notoriété et la communication
Les sites web des entreprises sont une source importante d’information pour les journalistes.
D’après le USA Today (16 juillet 1997) :
Selon les résultats d’une enquête par Buck Consultants, les compagnies
dépensent de fortes sommes pour la conception et la gestion de leurs sites Web,
mais les coûts sont nettement supérieurs aux revenus générés. Une compagnie
type dépensera de 200 000$ US à 300 000$ US par année en salaires, bonus et
bénéfices pour un site Web alors que l’enquête démontre que seulement 15 entreprises sur les 104 étudiées utilisent leur site pour la génération de revenus.
La majorité des entreprises utilisent leur site pour la diffusion d’informations
financières et commerciales.
Un des répondants cite que le ”gros mythe de l’Internet” est qu’il stimule
les ventes alors qu’en fait, c’est surtout un moyen pour communiquer entre
les clients, les vendeurs et les employés. En dépit du manque de rendement
du capital investi, peu de compagnies comptent réduire les dépenses reliées à
leur site Web. Selon un directeur de l’information, les dépenses inhérentes
ne représentent pas une grosse somme lorsqu’on les compare aux coûts d’une
campagne de publicité majeure.
98
Chapitre 6
6.2.3
La vente en ligne
La vente en ligne se découpe en différentes catégories :
– la vente de produits matériels dont la commande s’effectue par Internet (Amazon, Grosbill, eBay, Boucherie Sanzot...),
– la vente de produits immatériels commandés et transférés par Internet (musique, logiciel,
article ou livre numérique...),
– la vente de services commandés par Internet, exécutés par ailleurs (billet d’avion, location...)
– la vente de services commandés et effectués sur Internet (bourse, gestion de compte
bancaire, calcul distribué,...)
Certains serveurs comme ceux de la vente de billet de voyage et des services bancaires ont
pleinement profité du potentiel d’Internet :
Fig. 6.2 – Revenus du voyage en ligne entre
1998 et 2001
Fig. 6.3 – Nombre d’utilisation des services
bancaires en ligne aux E-U
La Vente de contenu ou de services
L’analyse de l’étude IPSOS de mai 2002 indique que
La tendance vers des informations ou des services payants sur le web rencontre une opposition de principe chez un internaute sur deux.
Le lien entre prix et qualité n’est pas démontré et, pour bon nombre d’internautes, payer l’accès aux sites, c’est, payer deux fois puisqu’ils payent déjà
leur connexion à Internet. Prés de la moitié des internautes comptent plutôt
sur leur fournisseur d’accès pour leur procurer des contenus et services à valeur
ajoutée.
On peut distinguer 3 familles d’internautes vis à vis des contenus et services payants : 23% de souscripteurs actuels d’au moins un service, 22%
d’internautes ” ouverts ”, non souscripteurs mais ouverts à cette idée, et
55% d’internautes réticents à l’idée de payer pour l’un quelconque de ces
contenus ou services.
99
Le moins que l’on puisse dire est que ce n’est pas gagné.
L’un des freins à la vente de contenu est lié à l’absence de solution de micro-paiement,
indispensables pour les nombreux sites qui aimeraient vendre peu cher des informations
ciblées, un ancien article, une requête dans une base de données..., ainsi que des petits
services.
La solution actuelle passe par les abonnements mais reste très marginale auprès du grand
public. Elle est par contre acceptée par les professionnels habitués à ce genre de service.
Ainsi la plupart des bibliothèques universitaires sont abonnées aux sites d’archive des
revues scientifiques. On peut aussi citer l’exemple des portails qui proposent des dépêches
achetées à des agences.
6.2.4
La vente induite par le Web
Si la vente en ligne est encore marginale par rapport à la vente au détail, la première
ne représentant que quelques pourcentages de la seconde comme le montre la figure cidessous, elle induit des achats “hors ligne”. Ces achat “colatéraux” peuvent être liés à une
recherche sur Internet ou une promenade sur le Web. On estime que pour 1 dollar dépensé
en ligne, Internet gènère 6 dollars d’achat en magasin.
Fig. 6.4 – Achats induits par les sites en ligne
source : Technology Review, avril 2005
On note aussi qu’un achat en ligne génère souvent un achat en magasin lors du retrait du
premier, de son échange ou de son retour.
100
Chapitre 6
6.2.5
La publicité
Le dossier d’introduction au premier marché de Liberty Surf de mars 2000 indique à propos
de la publicité sur Internet :
Internet est devenu l’un des nouveaux supports les plus attractifs pour les
annonceurs. La publicité sur Internet permet aux annonceurs de cibler leur
public et de délivrer un message direct à une audience dont les caractéristiques
démographiques et les intérêts ont pu être circonscrits. Internet permet aussi
aux annonceurs d’inter-agir de façon plus efficace avec les consommateurs
et d’obtenir des informations précieuses sur leurs habitudes d’achats, leurs
préférences et leurs besoins. La publicité sur Internet permet également aux annonceurs de mesurer avec précision l’impact de leur publicité en ayant connaissance du nombre de pages vues ou du nombre d’apparitions de leurs publicités
sur les pages téléchargées par les utilisateurs. Du fait du caractère interactif
d’Internet, les annonceurs peuvent évaluer l’efficacité de leur publicité en mesurant les rapatriements d’utilisateurs que celle-ci génère par le biais de clics
menant à leur site ou les demandes d’informations additionnelles que ces derniers peuvent faire en cliquant sur la publicité de l’annonceur apposée sur la
page d’un site Internet. Les technologies permettant des services multimédia
plus performants, telles que Java, et l’amélioration de la capacité des annonceurs à analyser les profils démographiques des utilisateurs d’Internet devraient
permettre aux annonceurs de bénéficier d’annonces mieux ciblées, d’accroı̂tre
l’impact de leurs annonces et de contribuer encore à faire d’Internet un des
supports privilégiés pour la publicité.
Bien que l’on s’attende à ce que le marché publicitaire sur Internet en
Europe augmente rapidement dans les prochaines années, cette croissance ne
devrait pas bénéficier de façon égale à tous les sites. Certaines recherches indiquant que les internautes ne visitent régulièrement qu’une quantité limitée de
sites populaires, les sites les plus visités bénéficient d’une part prépondérante
des recettes publicitaires globales. En 1998, aux Etats-Unis, environ 70 % des
recettes publicitaires en ligne sont revenues aux dix premiers sites Internet.
Une évolution similaire est attendue dans les pays européens. Obtenir une base
large et active d’utilisateurs est donc l’un des critères clés d’évaluation des
perspectives financières d’un site Internet. La publicité est bien implantée sur
Internet même si des doutes sur son impact et sa rentabilité existent toujours.
On trouve dans cette présentation l’ensemble des avantages de la publicité sur Internet,
avantages que l’on peut résumer en :
1. sa capacité à cibler l’audience,
2. la possibilité d’une analyse précise de l’impact d’une annonce,
3. l’interaction liée aux liens hypertextes, permettant un complément d’information
voire un achat immédiat,
4. sa progression dépasse celle de tous les autres média (cf Fig 6.5 et ?? ),
101
5. les internautes ont en moyenne des revenus élevés 1 .
Fig. 6.5 – Comparaison de la progression de la radio, de la TV et d’Internet
Fig. 6.6 – Consommation 2004 européenne des principaux médias (en heures par semaine)
source : EIAA European Interactive Advertising Association, octobre 2004
1
mais cela devient de moins en moins vrai avec la démocratisation d’Internet
102
Chapitre 6
De fait, la croissance du chiffre d’affaire de la publicité sur Internet a suivi une courbe
exponentielle jusqu’à l’explosion de la bulle et présente un chiffre d’affaire intéressant :
Fig. 6.7 – Croissance des revenus de la publicité sur Internet aux Etats-Unis
source : IAB Internet Advertising Revenue Report, septembre 2004
Mais cela ne doit pas masquer le faible poids de la publicité sur Internet. Les 7.7 milliards
de revenus en 2002 doivent être comparés aux 1 234 milliards de revenus générés par
Internet. Dans le monde de la publicité, là encore Internet représente un pouième, 2.9%
de la publicité visant les entreprises aux Etats-Unis.
103
Fig. 6.8 – En 2001 Internet représente 2.9% de la publicité inter entreprises aux E-U
En 2004, Internet a représenté 2.6% du marché de la pubilicité Européenne d’après Euromonitor.
L’EIAA escompte un 7% fin 2008 en Europe.
Sachant qu’Internet a une audience de 11% parmi les médias au E-U, certains espéraient
la croissance indiquée ci-dessous :
Fig. 6.9 – Croissance de la publicité en ligne aux E-U
source : DoubleClick 2001
104
Chapitre 6
Si les chiffres 2004 de l’IAB, cf figure 6.7, montrent que cette croissance a été freinée par
l’explosion de la bulle Internet, la tendance semble repartie à la hausse ce qui peut laisser
espérer la progression indiquée ci-dessus avec un décalage dans le temps.
Enfin il faut noter que la part du gateau publicitaire va aux grands. Environ 75 % des
recettes publicitaires en ligne sont revenues aux dix premiers sites Internet.
Fig. 6.10 – Partage du marché de la publicité en ligne entre annonceurs aux E-U
6.2.6
Le prix de la pub
L’unité de base de la publicité est le CPM, cost per mil, qui correspond au prix pour mille
affichages d’une publicité. Il correspond au CPM des journaux. Il existe aussi des systèmes
de rémunération basés sur la performance comme le CPC, cost per clic2 , et le CPA, cost
per action (2$ si le logiciel de ma publicité est téléchargé par exemple).
Fig. 6.11 – Répartition des différents choix de pricing de la publicité
2
Il ne suffit pas de cliquer pour arriver, seulement 90% des clics arrivent à la page visée.
105
Depuis le crack boursier sur les sociétés des nouvelles technologies, le CPM chute comme
le montre la figure ci-dessous.
Les variations de pourcentage de publicité vendue souligne l’importance d’autopublicité
ou d’échange de publicité entre sites.
Fig. 6.12 – Variation du CPM et du % de publicités vendues sur 2001 et 2002
source : NetRatings, 2002
Les CPM varient de façon très importante suivant le type de site web qui les héberge (cf
le tableau 6.3) et suivant la qualité des sites.
Ainsi aux Etats-Unis, ContentZone offre un CPM fixe de 0.2 $ pour les sites délivrant
moins de 250 000 hits par mois. Pour ceux au dessus de ce chiffre le CPM monte à 0.4 $.
Pour Kuro5hin, un site connu au sein du public très restreint des linuxiens et autre zelotes
des logiciels libres, le CPM est estimé à 5 dollars. Slashdot, plus connus, doit rejoindre les
prix cités dans les tableaux ci-dessus.
En septembre 1999, donc avant le crack, france.internet.com présentait (cf tableau 6.4)
des chiffres similaires si l’on excepte les sites financiers qui sont en chute libre.
106
Chapitre 6
Tab. 6.3 – Variation du CPM suivant le type de site web
source : NetRatings, 2002
107
Secteur
Automobile
Culture
Actualité
Sport
Voyage
CPM
$30
$20
$25
$20
$25
Investissement
<400 000
>400 000
>800 000
>1,2 millions
>1,6 millions
CPM
$57
$55
$53
$51
$49
Sites Financiers Américains
Tab. 6.4 – Prix de la publicité sur Internet en septembre 99
6.2.7
Les mécanismes de la publicité sur Internet
Il existe différents niveaux d’accords publicitaires sur Internet liés à la grande variété de
sites Web allant de la page personnelle aux portails.
Pour les petits
Des sites commerciaux proposent à tous les internautes de leur faire de la publicité. Ainsi
le vendeur de matériel informatique GrosBill propose aux internautes de s’affilier.
Qu’est ce que l’affiliation ?
L’affiliation est une forme de promotion en ligne en plein essor, qui consiste
à être rémunéré en tant que site partenaire en fonction du nombre d’acheteurs
ou de visiteurs que vous envoyez sur le site d’un affilieur.
Comment ça marche ?
Il vous suffit de placer les bannières ou liens que nous vous proposons sur
votre site et vous serez rémunéré soit au nombre de clics soit au pourcentage
des ventes effectuées par les clients que vous nous envoyez par l’intermédiaire
de votre site.
Pour ce joli effort, GrosBill reverse au propriétaire du site 4 % du montant des ventes
générées par le site.
On a vu que ContentZone offre un CPM fixe allant de 0.2 à 0.4 $ suivant le poids du site.
Mais attention, il est interdit de tricher :
Il est donc plus généralement INTERDIT de tenter de multiplier les clics
de façon artificielle par un système quel qu’il soit. GrosBill se réserve le droit
de demander au membre hébergeur les statistiques de visites de ses pages, pour
contrôler le respect des taux de clics uniques, tout taux de clics supérieur à 5%
des affichages sur une période d’une journée entraı̂nerait l’élimination automatique du sponsor, ce taux étant irréalisable de façon légal sur une période
108
Chapitre 6
importante. Pour information, un site classique bien ciblé génère 1 à 2% de
clics par rapport au nombre d’affichage de la bannière et la moyenne constatée
sur le web et de 0,4%.
On notera le rapport estimé du CPM au CPC.
Pour les professionnels
Les sites les plus importants utilisent les services d’agence de publicité pour leur bandeaux
publicitaires. Ces sociétés, dont Double Click est le représentant le plus important, insèrent
les publicités à la volée au moment où la page du site est envoyée à l’Internaute. Pour
le responsable du site il s’agit d’une opération transparente, il ne sait même pas a priori
quelle publicité sera envoyé.
Fig. 6.13 – Fonctionnement de la distribution de publicité
Ce système a permis à Double Click de se tailler la part du lion dans le marché de la
distribution de publicité sur Internet.
109
Nombre de publicités délivrées
(en milliard)
185 181
168
162
161
172 171 168
149
125
77
44
30
5
7
9
13
Q1
Q2
Q3
Q4
1998
21
Q1
Q2
Q3
Q4
Q1
1999
Q2
Q3
Q4
2000
Q1
Q2
Q3
Q4
2001
Q1
Q2
2002
Chiffres trimestriels de Double Click
Fig. 6.14 – Nombre de publicités délivrées par Double Click
Aujourd’hui, en 2005, Double Click annonce distribuer plus de 60 milliards de publicités
par mois (180 par trimestre pour comparer au graphique ci-dessus).
Nombre de publicitaires utilisant Double Click
Nombre de sites diffusant les publicitées
5461
1968
1783
1658
4463
4363
1589
1442
1208
4927
4719
1716
3657
1304
3100
982
913
2300
750
1989 1992
651
1567 1437
490
360
342 255
Q1
1999
Q2
Q3
Q4
Q1
2000
Q2
Q3
Q4
Q1
Q2
Q3
Q4
2001
Q1
2002
Q2
Q1
1999
Q2
Q3
Q4
Q1
Q2
Q3
2000
Q4
Q1
Q2
Q3
2001
Q4
Q1
Q2
2002
Fig. 6.15 – Taille du réseau de Double Click
Pour les moteurs de recherche
Les moteurs de recherche ont mis en place une forme ciblée de publicité non plus basée
sur des bandeaux publicitaire mais sur des liens commerciaux inclus dans les réponses. Ce
système de publicité, très bien ciblé puisque lié à une recherche de l’internaute, représente
le support privilégié des annonceurs :
110
Chapitre 6
Fig. 6.16 – Type de support pour la publicité (aux Etats-Unis)
Ainsi Google, le principal moteur de recherche, propose son service AdWords où toute
personne désirant faire sa publicité peut indiquer combien elle est prête à payer, entre 15
cents et 50 dollars par clic, pour avoir son encart présenté (voir les détails sur la FAQ de
AdWords).
Fig. 6.17 – Les liens publicitaires des moteurs de recherche
Sachant que Google revendique plus de 200 millions de requêtes par jour, on constate
que ce marché est énorme, plus de 2 milliards de dollars par an d’après le Search Engine
Watch.
De son coté, Yahoo a mis en place début 2004, un moteur de recherche qui favorise les
sites clients qui paieront. Les sites paieront entre 10 et 49$ pour chaque page web indexée
111
et entre 15 cents et 1$ chaque fois qu’un utilisateur de Yahoo cliquera sur un site client
présenté. Des analystes estiment que ce système génèrera des revenus de 100 millions de
dollars par an pour Yahoo.
On peut aussi noter que le moteur AltaVista de HP avait aussi décidé il y a longtemps de
favoriser ses clients et que cela a fortement nuit à sa réputation. Ce moteur qui était le
plus important est passé au second plan aujourd’hui.
6.3
La rentabilité de la gratuité
La gratuité est un fait sur Internet. Il est possible d’avoir énormément d’information de
très bonne qualité gratuitement. Les journaux proposent des sélections d’articles voire leur
intégralité, les portails offrent souvent les annonces des agences de presse, la météo et des
informations financières. Les universités mettent à disposition du grand public des cours
de très bons niveaux, tant scientifique que pédagogique3 . Une multitude de particuliers
ont des pages personnelles remarquables sur leur passion.
Il existe aussi une longue tradition des services informatiques gratuits sur Internet. Ainsi
il est possible d’avoir un nom de domaine gratuit4 pour aussi longtemps qu’on le désire
sur www.eu.org, on peut avoir une connexion gratuite avec de nombreux fournisseurs dont
Free par exemple, ainsi qu’un espace pour héberger ses pages web. Le courrier gratuit est
devenu un classique ainsi que l’hébergement de listes de diffusion.
Mais cette gratuité à un coût, celui des rédacteurs lorsqu’il s’agit d’information et celui
des informaticiens lorsqu’il s’agit de services.
Ces coûts peuvent être déjà intégrés dans une autre activité, un chercheur est déjà payé
pour publier ses résultats, ou supportés par l’effet de bord généré par la notoriété du site
offrant de l’information ou des services gratuits.
Cet effet de bord est essentiellement la publicité vendue sur le site mais peut aussi être le
gain lié à une image de marque positive ainsi obtenue.
Ainsi Liberty Surf voyait un modèle économique dans la publicité (extrait de son dossier
d’introduction au premier marché en mars 2000) :
Solutions en matière de publicité.
A ce jour, les recettes des portails du Groupe sont essentiellement de nature
publicitaire. Sa large base d’utilisateurs actifs attire un large éventail d’annonceurs désireux de faire figurer leurs publicités sur ses sites. Les sites du
Groupe présentent ainsi des bandeaux, des boutons et d’autres formes de publicité spécifiques à Internet qui, lorsqu’un utilisateur clique dessus, les met
directement relation avec le site désigné par l’annonceur. Sur les six derniers
mois de l’exercice pour lesquels les résultats d’Objectif Net ont été intégrés aux
comptes consolidés Groupe, plus de 200 annonceurs ont fait figurer leurs publi3
4
Je ne résiste pas à l’envie de vous citer ce cours de génétique.
c’était la norme pour tous les domaines lorsque j’étais jeune !
112
Chapitre 6
cités sur ses sites Internet France et ont généré 2,3 millions d’euros de recettes
publicitaires totales.
Pour atteindre la masse critique qui permet d’être dans les sites les plus consultés, et donc
parmi ceux qui attirent la majorité de la publicité, il faut séduire les internautes ce qui
demande des moyens importants. Le groupe Liberty Surf comptait, fin 99, 254 employés
dont 70 en marketing/vente, 52 en assistance téléphonique, 51 pour gérer les portails et
43 techniciens.
Fig. 6.18 – Compte d’exploitation 1999 de Liberty Surf
Les comptes d’exploitation montrent le déséquilibre entre les revenus publicitaires et les
coût de fonctionnement.
L’aventure n’a pas été concluante puisque Liberty Surf a été racheté par Tiscali. Mais
la conjoncture a été on ne peut plus mauvaise et l’existence d’autres fournisseurs d’accès
gratuits ainsi que la reprise de cette option par Tiscali semble indiquer que la gratuité a
sa place dans l’e-commerce.
6.4
Plus
L’eLAB, http ://ecommerce.vanderbilt.edu/, propose de nombreux articles sur la publicité
sur Internet.
L’IAB-France, http ://www.iabfrance.com/, regroupe les annonceurs, les agences de publicité et ceux qui tournent autour, afin de structurer, et de favoriser le développement de
la publicité sur Internet.
Chapitre 7
Les outils du commerce
électronique
7.1
Pourquoi des outils
La réponse qui vient immédiatement à l’esprit, ou qu’il est conseillé d’avoir avec le grand
patron, est pour mieux vendre. Le taux de transformation surfeur / acheteur est en 2004
inférieur à 5% :
Fig. 7.1 – Réalisation de l’achat sur un site marchand
source : Double Click, rapport e-commerce 3e trimestre 2004
Une réponse plus approndie prend en compte la complexité d’un site web marchand, complexité d’auntant plus importante qu’il y a de personnes impliquées dans son élaboration
et sa mise à jour. Une personne ne pouvant pas gérer seule un tel site de taille raisonnable, il faut des outils permettant de simplifier la tâche et de coordonner le travail des
intervenants.
Les différentes tâches liées à un site commercial vont de la présentation des produits
113
114
Chapitre 7
à leur livraison en passant par la publicité, la fidélisation, le suivi des commandes, la
personnalisation, l’aide aux clients, l’internationalisation... Ces aspects impliquent du point
de vue de l’internaute un site Web bien ordonnancé et du point de vue des administrateurs
une sectorisation et des processus de mise en place du contenu bien définis.
Fig. 7.2 – Chaı̂ne d’édition d’un site commercial
source : Intershop
Fig. 7.3 – Elements internes d’un site marchand
D’un point de vue architectural, un serveur web commercial contrairement à une page personnelle, communique avec de nombreux autres serveurs pour générer de façon dynamique
les pages qu’il présente. Ces autres serveurs peuvent être des serveurs de base de données
Les outils du commerce électronique
115
liées aux produits vendus mais aussi des ERP, Enterprise Resource Planning, des CRM,
Customer Relationship Management, des serveurs extérieurs de fournisseur, d’entreprise
de livraison...
Mais un site commercial peut être plus qu’un serveur web commercial. Il peut aussi servir
de relais à d’autres serveurs web commerciaux que cela soit ceux de revendeurs ou de
galeries marchandes par exemple. Dans ce cas les communications entre serveurs doivent
se faire dans tous les sens comme le présentent les figures ci-dessous.
Fig. 7.4 – La vision d’Intershop du commerce électronique
Fig. 7.5 – Différents type de sites Web et leurs communications
source : Intershop
116
Chapitre 7
Enfin, un serveur commercial doit pouvoir générer toute sorte de sorties suivant qu’il
communique avec un client humain, une entreprise ou le serveur d’un revendeur. Cela
implique
– différents supports de sortie : le Web, le WAP, l’impression...
– l’internationalisation,
– les communications inter serveurs en XML, avec les fournisseurs, revendeurs...
Fig. 7.6 – Interface du Publication Manager d’Intershop Enfinity
Pour répondre à toutes ces contraintes, de nombreux logiciels de plus en plus perfectionnés
ont vu le jour. Ces logiciels sont très différents les uns des autres puisque ne visant pas le
même public. On peut les ranger en fonction de la taille du site commercial visé (ce qui
n’est pas directement lié à la qualité ou au potentiel des logiciels cités) :
– la solution de base consiste à coupler un serveur web avec un serveur de base de données.
Cela peut se faire à l’aide des logiciels Apache + MySQL ou PostgreSQL + PHP ou
Java via des Servlets,
– avec des environnements utilisant ces outils via une interface web afin de permettre à
des utilisateurs lambda de mettre à jour le site. Citons par exemple PHP-Nuke et Spip,
– il existe aussi des solutions libres qui intègrent le serveur, la base de données et l’interface
de création comme Zope,
– parmi les solutions commerciales on a ColdFusion, Visual Studio .net
– enfin il y a pour des serveurs vraiment importants ayant besoin de communiquer avec
d’autres entités, des grands logiciels du commerce électronique comme Intershop, Commerce Server ou Websphere.
117
Il est aussi possible d’intégrer une galerie marchande et d’y faire héberger son site avec
toutes les facilités qu’elle peut offrir allant des outils permettant la création et la mise à
jour de son site via une interface web à la prise en charge des paiements en passant par
les sauvegardes etc.
7.2
Yahoo ! Store
Yahoo ! Store est la galerie marchande la plus visible, offrant à ses utilisateurs une interface
de création de sites commerciaux simple et riche. L’intérêt, outre de disposer des outils
de Yahoo !, est l’hébergement et sa visibilité. Cette solution semble particulièrement bien
adaptée pour une petite boutique ou un premier essai de site commercial. Il est ainsi
possible de demander à Yahoo ! de s’occuper de la facturation des produits vendus. Si
l’affaire commerciale prend de l’importance, se complexifie en nouant des relations avec
d’autres serveurs, on aura alors probablement envie de rapatrier le site web chez soi et
d’utiliser une solution offrant un meilleur contrôle. Le système de facturation semble aussi
viser plus les petites boutiques :
Mise en marche
Herbergement
Coût par transaction
Tout contrat
Starter
Standard
Professional
Starter
Standard
Professional
50 $
40 $ / mois
100 $ / mois
300 $ / mois
1.5%
1%
0.75%
Tab. 7.1 – Prix 2005 de Yahoo ! Store
À l’usage, Yahoo ! Store se veut pédagogique. Le débutant appréciera de construire son site
à l’aide d’un assistant et de découvrir comment le modifier ensuite. Avec de l’expérience
il est possible de s’affranchir du look par défaut pour faire tout ce qu’on veut.
118
Chapitre 7
Fig. 7.7 – Construction assistée d’un site marchand chez Yahoo ! Store
7.3
Enfinity d’Intershop
L’histoire d’Intershop suit de près celle des sites web commerciaux et comme pour ces
derniers, Intershop a mal vécu l’éclatement de la bulle à tel point qu’Intershop a fermé en
2003 sa filiale française. Elle comptait en 2004 plus de 300 clients.
Fig. 7.8 – Historique d’Intershop
Aujourd’hui, en 2005, Intershop revient en France et présente une politique plus douce sur
les prix des licences comme l’indique le directeur associé de DataSolution, son nouveau
119
distributeur :
Enfinity Suite peut être désormais facturée à la transaction, avec un ticket
d’entrée de 5 000 ¤ HT par trimestre et un pourcentage sur le chiffre d’affaires généré. D’autre part, la version Express de la suite est limitée à trois
processeurs, mais elle permet de réduire les coûts de quatre à cinq fois.
Intershop étant une solution modulaire, cf ci-dessous, la baisse de prix est plus notable
lorsqu’on note que le module de “Procurement”, qui gère la gestion électronique des achats,
passe de 100 000 à 30 000 ¤ HT, et les modules d’e-commerce de 75 000 à 30 000 ¤ HT.
Le coût global d’Enfinity variera entre 50 000 et 300 000 ¤ suivant le nombre de CPU
et les besoins, donc le nombre de modules nécessaires. A cela il faut ajouter les frais de
maintenance et la formation.
Techniquement, Enfinity se compose de modules répondant aux différents besoins des
clients. Ces modules couvrent les les 6 “canaux” suivants :
– le canal “achat”,
– le canal “fournisseur”.
–
–
–
–
le
le
le
le
canal
canal
canal
canal
“contenu”,
“client” ou B2C,
“B2B”,
“partenaire”.
Fig. 7.9 – Enfinity d’Intershop
120
Chapitre 7
Fig. 7.10 – Outils graphiques de programmation d’Enfinity
I Suite à l’éclatement de la bulle, Intershop Les prix d’Intershop Enfinity sont à la mesure
des possibilités du produit, élevés.
Intershop Enfinity est porté sous Solaris et Windows 2000. Il s’appuie sur Oracle pour la
base de données.
7.4
WebSphere
La solution d’IBM WebSphere se compose de différents produits adaptés aux différents
aspects du commerce électronique. Ces produits communiquent entre eux pour gérer le
site commercial avec tous les à cotés évoqués au début du chapitre.
121
4 Foundation and Tools
– WebSphere Application Server
– WebSphere Studio
4 Reach and User Experience
– WebSphere Commerce
– WebSphere Portal
– WebSphere Everyplace
– WebSphere Personalization
4 Business Integration
– WebSphere MQ
– WebSphere Business Integration
– IBM CrossWorlds
– Adapters and Connectors
Tab. 7.2 – La plateforme WebSphère et ses composants
source : IBM
On retrouve les connexions avec les différents serveurs d’application :
Fig. 7.11 – Interconnexion entre Websphere et d’autres services
WebSphere Commerce Suite se conjugue sous 3 versions plus ou moins riches en composants. Elle est disponible sur les systèmes d’exploitation AIX, Solaris, Linux, Windows
NT, Windows 2000.
122
Chapitre 7
WebSphere Commerce Business Edition (per processor)
WebSphere Commerce Professional Edition (per processor)
WebSphere Commerce Professional Entry Edition (per processor)
125 000 $
80 000 $
20 000 $
Tab. 7.3 – Prix catalogue automne 2002 de WebSphere Commerce Suite
7.5
Commerce Server
Commerce Server 2002 est la solution de commerce électronique de Microsoft. Sa principale
caractéristique est d’être et de n’être qu’adapté au monde Microsoft. Ses caractéristiques
recoupent celles de Intershop et de Websphere.
Commerce Server 2002
Enterprise Edition
Commerce Server 2002
Standard Edition
Windows 2000 Server
$19 999 per processor
$1 199 per server
SQL Server
Commerce Server requires Microsoft SQL
Server 2000 to host the databases.
Commerce Server requires Microsoft Windows 2000 Server with Service Pack 2
Commerce Server requires SQL Server
2000 with SP2.
Tab. 7.4 – Prix du site Microsoft de la suite Commerce Server 2002
7.6
La post-installation
Un site commercial est un objet vivant qui doit s’adapter à l’environnement et aux nouvelles sollicitations. L’évolution du site provient et se répercute sur l’ensemble des intervenants. Parmi les sources de changement citons :
– les changements politiques ou de stratégie commerciale au sein de l’entreprise,
– les contraintes extérieures comme l’arrivée de nouveaux partenaires, fournisseurs, revendeurs. Cela peut aussi être des anciens partenaires qui décident de changer de technologie
et imposent d’utiliser leurs protocoles,
– les nouveautés technologique dont la mise à jour de systèmes existants.
En dehors de ces sources de perturbation, l’administrateur d’un site web se doit de surveiller son bébé. Cela comprend la surveillance du réseau et des performances du serveur
ainsi que leur optimisation.
123
Là encore, des nombreux outils ont été développés pour permettre à l’administrateur de
mieux appréhender les problèmes. Il est aussi possible de demander à une société extérieure
de juger les performances d’un site vues de différents points.
On trouvera tout ce qu’il faut comme références concernant ces outils sur le Web. Le livre
de Patrick Killelea, «Web Performance Tuning», cf [Kil02], en présente quelques uns dont
un test rapide de performance utilisable à partir de son site http ://www.patrick.met/.
Cet outil analyse les différentes étapes lors de la demande d’une page web et affiche le
résultat :
Fig. 7.12 – Pourcentage de temps passé sur chaque étape lors de la demande d’une page
L’analyse d’une autre page souligne un problème lors de la requête DNS (il s’agit bien
d’un problème de résolution du nom soumis dans ce cas) :
DNS
I spent a cumulative 5.3094 seconds resolving hostnames.
It took too long to resolve your names to IPs. Either your DNS server
took a long time to answer, or my DNS server is overloaded.
L’analyse doit aussi être faite sur l’ensemble des éléments de la chaı̂ne. On analysera la
performance de chaque logiciel (cf la fuite d’un SGBD ci-dessous) la charge des machines
et de la passerelle, les sources de connexions...
124
Chapitre 7
Fig. 7.13 – Système de gestion de Base de Données (SGBD) sans fuite et avec fuites
(oublis de fermeture de connexion)
source : Web Performance Tuning
Chapitre 8
Le paiement électronique
Le paiement électronique existe depuis de nombreuses années dans le monde réel. Que ce
soit par les cartes bancaires, plastic money, ou par les virements, l’argent virtuel est bien
entré dans les mœurs.
Et pourtant le monde virtuel de l’Internet est toujours à la recherche d’un moyen de
paiement simple, sûr et efficace.
Actuellement, le paiement sur Internet repose uniquement sur les cartes bancaires sans
puce ce qui pose de nombreux problèmes liés au fait que rien ne permet de différencier le
propriétaire d’une carte d’une personne qui a pu avoir connaissance du numéro et de la
date d’expiration de sa carte. Et il existe de nombreuses façons d’avoir ces informations :
– être un commerçant malhonnête ;
– ramasser un coupon négligemment abandonné auprès d’un distributeur (ne marche plus
normalement, les banques ayant modifiées les coupons) ;
– récupérer la base d’un commerçant qui garde ces numéros sur son serveur web ou sur
une autre machine connectée à l’Internet ;
– écouter les transactions lors de l’achat d’un produit et décrypter le codage s’il n’est
qu’en SSL 40 bits.
De plus le fonctionnement de la carte bancaire implique une commission bancaire ce qui
n’est pas fait pour plaire aux commerçants surtout lorsqu’il s’agit de petites sommes qui
sont en temps normal payées en liquide.
On peut ajouter à ces problèmes celui de l’anonymat violé lorsqu’on utilise sa carte ainsi
que l’impossibilité d’effectuer des transferts entre particuliers.
Pour toutes ces raisons des nouveaux moyens de paiements étaient à inventer1 et ont été
inventés par les très nombreuses sociétés attirées par les gains potentiels de cet énorme
marché même si aucun ne fait encore l’unanimité.
1
il ne semble pas souhaitable d’avoir un seul type de paiement ne serait-ce que pour préserver l’anonymat
dans certains cas et officialiser les auteurs d’une transaction dans d’autres cas.
125
126
8.1
Chapitre 8
Les moyens de paiement usuels
Les moyens de paiements usuels sont, par fréquence d’utilisation et en ordre inverse d’importance du montant moyen :
1. le liquide ;
2. les chèques ;
3. les cartes bancaires ;
4. les versements.
Ils font tous intervenir un payeur, un bénéficiaire et leur banquiers respectifs mais de
façons différentes comme le montre les schémas suivants.
Le paiement en liquide permet de
Banquier
Banquier
sauvegarder l’anonymat du payeur tout du payeur
du bénéficiaire
comme du bénéficiaire. Il permet les
transactions entre particuliers. Endépôt
retrait
fin il est bien adapté à de petites
sommes et permet aux parents d’enpaiement
voyer leur enfant acheter le pain.
Payeur
Bénéficiaire
(client)
(vendeur)
Son inconvénient principal est l’impossibilité d’annuler la validité du liFig. 8.1 – Paiement en liquide
quide perdu ou volé pour pouvoir être
remboursé. Cela le rend peu pratique pour le paiement de grosses sommes. On peut aussi
lui reprocher sa difficile divisibilité, à savoir la difficulté pour faire la monnaie.
Les chèques suivent le même schéma que le liquide avec l’avantage de laisser une trace
et de pouvoir toujours payer la somme exacte. Ils permettent les transactions entre particuliers et peuvent être annulés lorsqu’on les perd.
Le paiement par carte est celui
Banquier
qui progresse le plus dans notre société. du payeur
En 2001, on a estimé à 1.5 milliard
de cartes Visa et MasterCard en circulation.
Sa simplicité d’usage qui permet d’avoir
toujours l’appoint ainsi que sa sécurité
lié à la puce2 qui empêche un autre
de l’utiliser, en font une bonne alternative au chèque excepté pour les
paiements entre particuliers.
Payeur
(client)
en France
demande
d’autorisation
paiement
Bénéficiaire
(vendeur)
Fig. 8.2 – Paiement par carte bancaire
Ses faiblesses ont été décrites en introduction.
2
règlement
Banquier
du bénéficiaire
127
Les versements sont normalement le type de paiement le plus sûr. Ils sont dédiés aux
sommes importantes et surtout adapté au monde professionnel que ce soit pour payer les
employés ou payer une autre société. Grâce au Minitel ou à Internet, ils peuvent aussi être
utilisés par les particuliers ce qui les rend plus pratique mais augmente les risques.
Ils ne sont bien sûr pas adaptés aux
Banquier
courses du dimanche matin au marché. du payeur
On peut retirer des ces exemples une
liste des avantages potentiels d’un moyen
de paiement :
règlement
Banquier
du bénéficiaire
demande de
versement
– la simplicité d’utilisation ;
Payeur
Bénéficiaire
(client)
(vendeur)
– l’anonymat ou à l’inverse
l’enregistrement de la transaction ;
Fig. 8.3 – Versement interbancaire
– l’intégrité de ses économies si on
perd le moyen de paiement ;
– la transaction entre particuliers ;
– la divisibilité ou la possibilité d’avoir toujours la somme exacte ;
À cette liste on peut ajouter les qualités nécessaires pour un moyen de paiement sur
Internet :
– la garantie de l’intégrité de la transaction : soit le client est débité et le vendeur crédité,
soit rien ne se passe,
– la sauvegarde des transactions afin de pouvoir retrouver l’état des comptes en cas de
panne du système,
– la sécurité aux attaques de pirates, à la création de fausse monnaie, à la copie des billets
électroniques...,
– la portabilité qui permet à tous les systèmes (ordinateurs, assistant électronique, téléphone...)
de communiquer,
– la convertibilité qui permet d’être changé en un autre type de monnaie (vers de la
monnaie papier, vers une autre monnaie électronique...).
L’ensemble de ces différents modes de paiement peut être divisé en deux catégories :
– les paiements anonymes, pour les petites sommes le plus souvent ;
– les paiements nominatifs pour les sommes plus importantes.
8.2
Les monnaies complémentaires
Si on appelle système de paiement tout système organisé permettant de rémunérer un
service rendu ou l’“achat” d’un objet, il existe déjà de nombreux systèmes de paiement.
On a vu différents systèmes de paiement officiels, mais il existe aussi des systèmes mis en
place de façon autonome par des groupes de personnes. En France, les plus connus sont
les Systèmes d’Echange Locaux, SEL. A Bali il existe un second système monétaire basé
sur le temps que l’on consacre à différents services publiques (mise en place d’un festival,
construction d’une école...). Ces 2 systèmes coexistent en harmonie et on considère que
128
Chapitre 8
30% du temps des habitants de Bali entre dans le cadre de ce second système de paiement.
Aujourd’hui il existe plus de 4000 monnaies complémentaires dont un grand nombre sur
Internet, cf fig 8.4.
Fig. 8.4 – Nombre de systèmes monétaires complémentaires dans 12 pays
source : Bernard Lietaer, The Future of Digital Money, 5e Digital Money Forum
Bernard Lietaer, spécialiste du domaine, aborde ce sujet et ses conséquences, comme le
problème de la taxation des services ou de la vente payé par de telle monnaies, dans cette
interview sur les monnaies complémentaires.
8.3
Les micro-paiements
Les micro-paiements électroniques, peuvent être des 2 types : officiel ou complémentaire.
Si la norme est d’avoir des systèmes de paiement gérés par des banques ou des entreprises
en accord avec les lois en vigueur, il est simple de mettre en place des des systèmes
complémentaires.
Dans le cas qui nous intéresse, il s’agit d’avoir un système de micro-paiement électronique
pouvant remplacer la monnaie. On parlera de porte-monnaies électroniques.
Pour l’instant les systèmes mis en place sont poussés par des entreprises à but lucratif donc
respectueuses des lois. Ces entreprises désirant promouvoir leur solution de porte monnaie
électronique, elles apportent toutes les garanties demandées par les États concernés, comme
s’associer ou devenir une banque en France.
Parmi les très nombreuses solutions de porte-monnaie électronique qui ont vu le jour,
seules quelques-unes ont réussi à s’implanter dans le monde réel (cf table 8.1) et une
seule peut considérer avoir percé sur Internet. La solution qui se développe en France est
Monéo, héritière de la solution allemande Geldkarte. Elles reposent sur une carte à puce
129
et permettent de payer un trajet de bus, un café ou tout ce qui est normalement payé
en liquide. Sur Internet la solution qui semble le mieux réussir est PayPal. Elle permet
d’acheter des objets aux enchères mais aussi dans certains e-magasins et peut-être à terme
un article d’un journal, un petit service, une chanson...
Number of
devices1)
(millions)
Belgium
Germany
France 4)
Spain
Ireland 5)
Italy
Luxembourg
Netherlands
Austria
Portugal
Finland
Etats-Unis
7.0 2)
60.0 3)
0.02
8.1
n.a.
0.03 2)
0.3
20.0
4.8
3.4 7)
0.5
0.1
(% de la
population)
69% 2)
73% 3)
0.0%
20%
n.a.
0.1% 2)
60%
128%
60%
34% 7)
10%
0.0%
Number of
merchant
terminals
(thousands)
Volume of
daily
transactions
(thousands)
64
60
0
131
n.a.
4 6)
1
150
30
59
1
1
149
58
0.3
6
n.a.
1
1.6
n.a.
6
14
1
n.a.
Value of
daily
transactions
(EUR
thousands)
563
197
0.3
16
n.a.
3
6
n.a.
32
17
2
n.a
Average
value per
transaction
(EUR)
3.8
3.4
1.1
2.2
n.a.
2.7
3.6
7.5
5.3
1.2
1.7
n.a.
Tab. 8.1 – Statistique sur la pénétration de monnaie électronique en Europe et aux EU
Sources : Committee on Payment and Settlement Systems, Survey of electronic money developments , published by the Bank for International Settlements, May 2000 ;
national data ; Eurostat (population).
1) Unless indicated otherwise, this includes all devices, even those which had never
been loaded as at the reporting date.
2) Includes only those devices which had been loaded at least once as at December
1999.
3) Includes chips available on debit cards. These chips are able to carry out electronic
money functions which may not, however, be used in practice.
4) Schemes are in a pilot phase.
5) Only two small pilot schemes were in operation as at September 2000.
6) As at 31 December 1998.
7) Around 261,000 devices had been loaded as at September 1999.
Dans les deux mondes la difficulté liée au porte-monnaie électronique réside dans la facilité
avec laquelle on peut recopier une pièce de monnaie digitale puisqu’il ne s’agit que de 0
et de 1. Pour éviter les problèmes de fausse monnaie tout en gardant la facilité d’usage
du liquide, deux approches se dégagent en attendant la possibilité que les porte-monnaies
électroniques puissent être toujours connectés à leur banque lors d’un transfert :
– le coffre fort3 comme la carte à puce ;
3
le coffre fort utilise aussi la cryptographie mais pour s’authentifier.
Reporting
period
12/1999
08/1999
11/1999
1999
1999
12/1999
4-11/1999
1999
1999
1999
1997-1998
130
Chapitre 8
– la cryptographie qui garde une trace du propriétaire de la pièce et qui révélera son nom
en cas de fraude.
8.3.1
La carte à puce
La carte à puce, brevetée en 1975 par Roland Moreno, a fait ses
premiers pas en tant que carte téléphonique. Carte à mémoire, elle
est devenue depuis une carte à microprocesseur. On la retrouve dans
de nombreux domaines allant de la carte bancaire à la carte Vitale
en passant par les cartes professionnelles jusqu’aux dernières nées
comme les JavaCards permettant aux informaticiens lambda de les
programmer. L’association de fabricants de carte estime que 1,7 milliard de carte à puce
ont été créées en 2001.
La sécurité de ces cartes est basée sur la difficulté à violer la puce avec un mécanisme de
protection qui s’active en cas de tentative. Ainsi la puce d’une carte bleue se bloque si l’on
ne donne pas le bon code trois fois de suite.
Mais comme tout coffre fort, la sécurité n’est jamais totale comme cela a été démontrer
dernièrement lorsque la clé privée d’authentification de la véracité d’une carte bleue a
été diffusé sur Internet, rendant possible la création de fausses vraies cartes (cf l’affaire
Humpich et le dossier de Parodie.com).
D’un point de vue pratique, le point faible des cartes à puce est le besoin de lecteurs pour
communiquer. Cet aspect interdit les transferts d’argent entre particuliers4 .
Mais la carte à puce est le seul matériel si peu cher permettant d’avoir un porte-monnaie
électronique physique. De plus elle est simple d’usage et est déjà adoptée par des millions
de personnes.
La Geldkarte a été introduite en Allemagne en 1997. Ses principaux succès semblent
être comme mode de paiement pour les transport en commun et pour les parcmètres.
Sa progression a été la suivante :
4
ce qui de toute façon n’est pas au goût de la Banque de France qui craint des fraudes et son utilisation
pour le blanchiment de l’argent sale
131
Nombre de cartes actives (?)
Nombre de terminaux actifs (?)
Nombre de transactions
Valeur moyenne d’une transaction
1997
200 000
22 000
350 000
11 ¤
1998
410 000
52 000
1 100 000
6¤
1999
490 000
42 000
1 700 000
4¤
2003
200 000
40 000 000
2¤
Tab. 8.2 – Evolution de l’utilisation de la Geldkarte entre 1997 et 1999
source : Electronic Payment Systems Observatory newsletter No.3, nov.2000
(?) actif = au moins une transaction par mois
Il est possible d’utiliser sa Geldkarte pour effectuer des paiements sur Internet mais cela
semble tout à fait marginal.
Monéo est l’application française de la Geldkarte. Elle a été crée par un consortium de
banques françaises5 . Son déploiement, lancé à Tours en 1999, est arrivé à Paris et sa région
fin 2002 et couvrira l’ensemble du territoire en 2003.
Elle permet à l’utilisateur de payer des petites sommes, inférieures à 30 ¤, simplement et
rapidement.
Du point de vue financier, elle suit le modèle de la carte bleue. Elle coûte :
– entre 5 et 12 ¤ par an pour les particuliers,
– 0,6% des achats effectués pour les commerçants, à comparer aux 0,7% du carte bancaire
classique et au 0% du liquide.
À cela, on peut ajouter que l’argent liquide qu’on avait dans nos poches sera dans la carte
et donc dans les poche de nos banquiers. Si on ajoute à ce gain financier très important,
la réduction des coûts liés à la manipulation de la monnaie puisque la masse monétaire
baissera et donc les économies faites par les banques (moins de personnel, entretien des
distributeurs de billet réduit...), Monéo semble surtout être une bonne affaire pour les
banques.
Ces différents aspects ont générés la grogne des commerçants pas habitués à payer des
commissions sur les petites sommes et celle des associations d’utilisateurs inquietées par
le traçage des transactions et révolté par le coût d’utilisation de cette carte. L’UFC6 à
d’ailleurs renouvelé sa défiance dans un communiqué de février 2005 :
«Moneo demeure un produit sans grand intérêt pour les consommateurs, et cela tant qu’il
ne sera pas gratuit et totalement indépendant des banques.»
Fin 2004, le nombre de cartes Monéo a baissé de 1,3 en février à 1,2 million de cartes. En
5
le Crédit Agricole, la BNP (28,5 % chacun), les Banques Populaires, le Crédit Lyonnais, le Crédit
Mutuel (10 %), le CCF (7 %) et le CIC (6 %)
6
L’Union fédérale des consommateurs (UFC-Que Choisir)
132
Chapitre 8
février, Monéo annonçait 44 millions de paiements et 120 000 commerçants affiliés. On est
encore loin des 35 millions de cartes visés et de 45 millions de cartes bleues.
Techniquement, Monéo utilise l’algorithme de chiffrage triple DES pour valider les cartes,
probablement suivant le même principe de défi que les cartes bleues mais avec une clé plus
longue. Le SCSSI a certifié les composants de Monéo.
Pour des raisons de simplicité et de rapidité lors du paiement seule la vérification de
l’authenticité de la carte est faite. Aucune vérification n’est faite pour vérifier que le
porteur est bien le propriétaire de la carte. Il n’y a pas de code à taper.
Monéo n’a pour l’instant aucune vocation à être porté sur Internet pour permettre d’effectuer des micro-paiements.
8.3.2
La carte radio
L’un des inconvénients de la carte à puce est le besoin d’avoir un lecteur et d’y insérer la
carte pour effectuer une transaction. Ces lecteurs coûtent chers et la transaction est plus
lente que s’il suffisait de passer sa carte à proximité du lecteur. La carte radio7 répond à
ces 2 problèmatiques :
– un peu d’electronique suffit pour être un lecteur8 , assez peu pour pouvoir être intégré
dans un téléphone mobile, un PDA et bien sûr un ordinateur,
– la communication radio se fait sans contact, rapidement et simplement.
L’application la plus connue de telles cartes en France concerne les cartes Navigo utilisées
par la RATP dans le métro parisien.
La technologie des cartes radio peut aussi être intégrée dans les téléphones mobiles, les
PDA et pemettre ainsi la fusion de ces appareils et du porte monnaie en attendant le porte
clé, la carte d’indentité...
La norme NFC (Near Field Technology)
Comme pour la communication filaire, il existe une infinité de façon de communiquer via
les ondes. Comme pour la communication filaire, il n’y a pas d’interconnexion sans norme,
aussi trois acteurs majeurs, Nokia, Philips et Sony ont développé une norme pour les cartes
radio, la Near Field Technology qui permet :
– une connexion seulement à courte distance sur 13.56 MHz (moins de 20 cm) qui garantie
la connexion volontaire9
– le transfert de données à 106, 212 ou 424 kbit/s,
– une communication active ou passive suivant qu’on désire utiliser sa propre énergie ou
celle de l’autre appareil (au moins un des deux doit être actif),
7
la carte puise son énergie pour communiquer avec le lecteur dans le champ électromagnétique généré
ce dernier. Ce système rend la carte plus chère qu’une carte à puce.
8
la puce NFC devrait coûter quelques dizaines de cents
9
enfin normalement...
133
– un système d’amorçage permettant de s’authentifier puis rediriger la communication
radio vers le Bluetooth ou le Wifi (d’autres protocoles radio au débit plus important)
Une extension de cette norme, la Secure NFC, ajoute par dessus la NFC un système
d’authentification basé sur la cryptographie.
Parmi les utilisations de cette technologie, citons :
– la carte à tout faire FeliCa développée et commercialisée par NTT DoCoMo et Sony au
Japon,
– la carte de paiement PayPass de MasterCard et Motorola déjà utilisée dans plusieurs
états des Etats-Unis,
– la solution de Philips et Visa en cours de développement et qui devrait s’intégrer dans
tous les téléphones portables d’après leurs auteurs.
Plus : Pour la définition de la norme NFC, on se reportera aux documents de l’ECMA :
– ECMA-340 Near Field Communication Interface and Protocol (NFCIP-1),
– ECMA-352 Near Field Communication Interface and Protocol 2 (NFCIP-2)
8.3.3
Le téléphone mobile
Dans le domaine des paiments, les solutions les plus simples peuvent être les bonnes10 ,
pour peu que le marketing suive. Bouygues Telecom propose ainsi un système très simple
d’utilisation de son portable comme système de paiement 11 :
1. le client donne son numéro de portable au vendeur,
2. le vendeur l’entre dans son terminal relié à Bouygues ainsi que le montant de la
transaction,
3. Bouygues envoie un SMS sur le portable du client et lui demande de confirmer l’achat
en entrant son code secret,
4. le vendeur reçoit la confirmation de la vente et le terminal imprime le ticket.
Pour l’instant12 le déploiement de ce système de paiement semble très réduit.
8.3.4
Les micro-paiements logiciels
Les micro-paiements logiciels ne sont pas lié à leur support physique. Ils peuvent fonctionner sur tout appareil disposant de capacités de calculs comme un ordinateur, un ordinateur
de poche ou encore un téléphone portable ce qui les rend de plus en plus attrayant avec la
démocratisation de ces appareils. Ils permettent naturellement la portabilité de la monnaie.
10
On verra comment PayPal a gagné le marché des micro-paiements avec une solution toute simple
pour plus d’information, cf http ://www.paiementsurmobile.com/
12
fin 2004
11
134
Chapitre 8
Cela étant ils restent encore très marginaux même si la technologie a été mise au point dès
1993 par David Chaum créateur de la société DigiCash. En Europe, il n’existait toujours
pas de cas concret de leur utilisation fin juin 2000, et il est trop tôt pour savoir si la tentative13 de la Deutsche Bank 24 avec le produit d’eCash Technologie basé sur la technologie
de DigiCash sera la bonne.
Seul PayPal, basé sur une autre technique et visant essentiellement le marché de la vente
d’occasion, semble être un succès.
Les pièces à la DigiCash
La technique mise en œuvre repose principalement sur les algorithmes de cryptographie à
clé asymétrique et de cryptographie aveugle pour éviter
1. la création de fausses pièces ;
2. l’espionnage des transactions d’un client par sa banque.
Fig. 8.5 – Créations “anonyme” de pièces eCash
L’étape cruciale est la création des pièces qui doit garantir qu’il s’agit de véritables pièces
sans que la banque puisse savoir à qui elles appartiennent. Pour cela Alice crée une pièce
vierge avec un numéro de pièce unique qu’elle cache dans une enveloppe avant de l’envoyer
à sa banque en lui demandant de donner à cette pièce une valeur déterminée. Sa banque
marque la pièce de la valeur désirée et garantit son authenticité avec un message basé sur
la clé privée de la banque sans ouvrir l’enveloppe. Elle renvoie le tout à Alice qui extrait
la pièce marquée et la range dans son ordinateur.
Fig. 8.6 – Bob vérifie les pièces d’Alice auprès de la banque d’Alice
Pour éviter la duplication de pièces, la personne qui recevra la pièce d’Alice, Bob, devra
immédiatement l’envoyer à sa banque qui enregistrera le numéro de la pièce et donc verra
13
cf l’annonce du 11 septembre 2000, http ://www.digicash.com/pressroom/press/Release081100.asp.
135
immédiatement si une seconde pièce avec le même numéro est déposée. L’inconvénient de
cette méthode est bien sûr l’obligation de devoir être connecté à sa banque pour recevoir
de l’argent.
Bien sûr, Bob peut demander à la banque d’Alice des pièces neuves de la même somme
ou demander un virement sur son compte.
Enfin pour garantir que la banque ne surveille pas ses clients, il est important qu’elle
ne glisse pas un mouchard lorsqu’elle marque les pièces vierges qui lui sont envoyées.
C’est techniquement possible mais la seule façon de pouvoir le vérifier est de connaı̂tre
précisément l’algorithme utilisé par la banque afin de pouvoir écrire des programmes qui
vérifient l’absence de tels mouchards.
L’explication mathématique
L’exemple suivant de monnaie électronique respectant le schéma indiqué ci-dessus est
présenté par Lucre.
La banque crée et rend public (g, p, g k mod p) avec :
– p premier,
– (p − 1)/2 premier,
– g tel que g 2 mod p 6= 1 et g (p−1)/2 mod p = 1 (ces conditions sont nécessaires pour
protéger la clé privée k de la banque),
crée et conserve k, sa clé privée, avec k ∈ [0, (p − 1)/2[.
Alice veut créer une pièce. Pour cela elle génère un nombre x qui correspond à sa pièce.
Elle calcule avec une fonction pratiquement non inversible oneway,
y = oneway(x)
Cette fonction est telle que y (p−1)/2 mod p = 1.
Il s’agit maintenant pour Alice de faire valider cette pièce sans que sa banque ne puisse
savoir ultérieurement que cette pièce a été générée par Alice.
Pour cela Alice cache la pièce à l’aide de b ∈ [0, (p − 1)/2[ en envoyant à la banque y g b .
La banque certifie la pièce en la marquant de sa clé privée :
m = (y g b )k mod p
Il ne reste plus14 pour Alice qu’à décoder m pour avoir la signature de la pièce x :
m (g k mod p)−b =
14
((y k mod p) (g bk mod p)) mod p
= y k mod p = z
g bk mod p
en se souvenant que (a b) mod p = ((a mod p)(b mod p)) mod p
136
Chapitre 8
La pièce validée est (x, z).
Alice paie Bob avec sa pièce (x, z).
Bob fait suivre la pièce à la banque d’Alice pour être sûr de l’authenticité de la pièce.
La banque doit simplement vérifier à l’aide de sa clé privée que
z = oneway(x)k mod p
L’attaque par la Banque Avec le schéma proposé, la banque peut savoir lorsqu’elle
reçoit la pièce de Bob qu’il s’agit de la pièce d’Alice. Il lui suffit pour cela de tricher et de
chiffrer m avec k 0 . Dans ce cas, Alice aura pour valeur de z :
0
0
0
z = (y g b )k g −bk = y k g b(k −k) mod p
Et lors de la vérification, la banque calcule :
0
0
oneway(x) (z oneway(x)−k )1/(k −k) = y g b mod p
ce qui lui permet de savoir à qui était cette pièce en regardant dans ses archives qui lui a
envoyé y g b .
Une parade à cette attaque consiste à mieux cacher y lors de la demande de validation
de la pièce créée auprès de la banque.
Prenons des valeur by et bg et envoyons à la banque y by g bg .
Si la banque signe avec k, on retrouve z = y k mod p à l’aide de la formule basée sur
l’information publique g k :
z = (m (g k )−bg )1/by
Si la banque triche et renvoie m signé avec k 0 :
0
m = (y by g bg )k mod p
Alors la signature z de la pièce d’Alice sera :
z = (m (g k )−bg )1/by
by
bg k0
= ((y g ) g
= (y
k0 by
k0
= y g
g
(8.1)
−kbg 1/by
)
(k0 −k)bg 1/by
(k0 −k)bg /by
(8.2)
)
(8.3)
mod p
(8.4)
Ce que la banque ne pourra jamais vérifier car elle ne connaı̂tra jamais bg /by . Elle devra
refuser les pièces d’Alice ce qui va se voir...
137
La création de fausses pièces serait possible si Alice pouvait ne pas utiliser la fonction
oneway et envoyer x g b car alors elle pourrait faire de fausses signatures. C’est la raison
de la présence de cette fonction.
La création de vrais pièces d’un faux montant est possible si la banque n’a pas
de moyen de vérifier que la pièce qu’Alice fait signer est bien de 1 ¤ lorsqu’Alice annonce
qu’elle est d’1 ¤.
Une solution pour la banque est d’avoir autant de clé privée qu’elle offre de valeur de
pièce. Ainsi lorsque Bob lui donnera (x, z) en indiquant que cela vaut 10 ¤, la banque
utilisera sa clé privée 10 ¤ pour vérifier que z correspond à x.
PayPal
PayPal est une réponse simple au problème compliqué du micro-paiement sur Internet.
On oublie la monnaie électronique et on fait des virements de compte vers compte. Pour
simplifier encore le processus, PayPal propose à ses membres de payer un ami simplement
en lui envoyant un mail indiquant à ce dernier que son argent l’attend chez PayPal. L’ami
n’a plus qu’à ouvrir un compte chez PayPal quitte à demander un versement sur son
compte bancaire. Il peut aussi décider de le garder pour effectuer des transactions sur
Internet. Ce principe simple existe dans différentes banques qui proposent à leur clients
d’effectuer des virements interbancaires gratuitement via Internet. Mais PayPal à introduit
le système et surtout évite aux utilisateurs d’avoir à connaı̂tre les coordonnées bancaires
de leur créditeur. Cela lui a permit d’occuper la place de leader et d’être ce que les
investisseurs appelle un gorille dans son secteur.
Le seconde arme commerciale de PayPal est de profiter de son statut de numéro 1 du petit
paiement en ligne pour pousser les commerçants à utiliser le moyen de paiement PayPal.
Les commerçants y gagnent un nombre potentiellement important de clients et PayPal de
nouveaux clients désireux d’acheter chez ses commerçants.
Aujourd’hui15 PayPal revendique plus de 63 millions d’utilisateurs à travers 45 pays et
permet l’utilisation de 6 monnaies dont l’euro. Ce mode de paiement est devenu dès 2001
le principal mode de paiement sur le site de vente aux enchère E-Bay, lequel a acheté la
société PayPal pour 1,5 milliard de dollars environ durant l’été 2002.
Les revenus de PayPal qui prend une commission moyenne de 3.3%16 sur les transactions,
sont en constante progression, de 8.8 millions de dollars au dernier trimestre 2000, à 40.4
millions pour le dernier trimestre 2001 et plus de 60 millions pour celui de 2002. Avant
le rachat par E-Bay, les revenus su second trimestre 2002 de PayPal étaient d’environ 53
millions de dollars et ceux d’E-Bay de 266 millions de dollars.
Mais ce moyen de paiement a aussi ses problèmes de fraude voire des trous de sécurité. Pour
s’en protéger, outre un contrat qui les dédouane de tout et le fait qu’ils ne sont pas une
banque et n’en n’ont donc pas les obligations liées, PayPal applique une politique agressive
15
16
mars 2005
cf la présentation de PayPal au forum sur la monnaie numérique 2002 à Londres
138
Chapitre 8
de blocage de compte. Pour s’en convaincre il suffit de taper le mot PayPal dans le moteur
de recherche Google. La 2e, 3e et 5e réponses sont des sites qui se plaignent de la façon
qu’à PayPal de geler les comptes de leur clients sans avertissement, sans raison valable
et surtout de la difficulté de pouvoir faire entendre son point de vue voire simplement
d’obtenir un interlocuteur.
8.4
Les macro-paiements
Les macro-paiements, qui visent des sommes plus importantes que celles des micro-paiements,
ont l’avantage de pouvoir imposer des contraintes qui seront plus facilement acceptées.
Ainsi on peut accepter que ces paiements ne se fassent que connectés à un réseau informatique, Internet en l’occurrence.
Actuellement ces paiements passent par l’usage de la carte bleue mais avec une sécurité
relativement faible. En effet, outre la possibilité d’interception, le principe de la sécurité
repose sur l’honnêteté du vendeur qui actuellement connaı̂t assez d’informations bancaires
sur son clients, le numéro de la carte et sa date d’expiration, pour faire de faux achats.
Pour limiter ces risques, un nouveau système doit être mis en place garantissant au client
que le vendeur ni personne n’aura assez d’informations pour utiliser sa carte.
8.4.1
SET
Si comme pour les micro-paiements plusieurs systèmes de télépaiement ont été développés, il ne reste aujourd’hui que SET, Secure Electronic Transaction, résultat de la fusion
de divers projet et de l’union des grandes sociétés du domaine comme Visa, MasterCard,
CyberCash, Netscape, IBM, Microsoft et DigiCash. Ce système est aussi soutenu par
l’Europe et le fait qu’il soit un protocole ouvert garanti sa pérennité et sa possibilité
d’universalité.
Le fonctionnement de SET fait intervenir en plus du client, de sa banque et du vendeur, une
autorité de certification pour valider l’identité des partenaires et une passerelle de paiement
qui centralise les demandes de paiement SET de la part des vendeurs pour décrypter
l’identité bancaire du client et faire la demande à sa banque. Ce dernier partenaire permet
d’éviter que le vendeur puisse connaı̂tre les coordonnées bancaires du client. Pour le client
SET garantit sa vie privée vis-à-vis de sa banque en cachant le contenu de la commande
et vis-à-vis du marchand en cachant l’identité de sa banque (cf le schéma ci-dessous).
139
Banque du client
5 − vérification de
la cohérence entre
6 − demande d’autorisation
la demande & IP
Centre de paiement (cp)
7 − réponse
Tiers de confiance
4− demande
autorisation
+ [IP]_cp
1 − demande d’authentification
Client
8− réponse
+ bon de
vente
10 − demande
de paiement
avec bon de vente
2 − prouve son identité
Marchand
3 − envoi Commande + [InstructionPaiement]_cp
9 − réponse achat ok
Fig. 8.7 – Fonctionnement de SET
Les vérifications auprès du tiers de confiance sont faites
lors de la réception de chaque message pour en vérifier l’auteur
Les spécifications de SET précisent chaque étape de la procédure (les spécifications “Business” sont assez précises pour comprendre en détail les différentes procédures).
En France l’application la plus important de SET a été menée
par le GIE Carte Bleue qui à travers sa société Cyber-COMM a
promu ce système de paiement, d’autant plus intéressant pour
le GIE que 60% des plaintes des porteurs de Cartes Bleues sont
liées à des achats faits sur Internet.
Mais l’aventure de SET semble être finie, la sauce n’ayant pas prise comme l’indique
Cyber-COMM sur son site :
Au cours de l’année 2000, les grands émetteurs ont commencé à étudier des
solutions alternatives à ce protocole qui n’avait pas rencontré le succès escompté
aux USA. Enfin, dans le courant de l’année 2001, VISA et MasterCard ont
décidé d’abandonner le déploiement de SET.
Les lecteurs de cartes à puce conçus et développés par Cyber-COMM ne
sont donc plus utilisables actuellement dans le cadre du paiement SET sur
Internet.
140
8.5
Chapitre 8
Plus
Il existe de nombreux portails et autres sites sur la monnaie électronique dont
– le portail de Roy Davies, http ://www.ex.ac.uk/ RDavies/arian/emoney.html
– epaynews.com, http ://www.epaynews.com
– le ministère des finances présente une analyse de Moneo et des systèmes équivalent à travers le monde, cf http ://www.minefi.gouv.fr/minefi/ministere/documentation/revuesdeweb/moneo.htm
Troisième partie
La loi de l’Internet
141
143
Internet commence a être assez connu pour ne plus être perçu par les médias comme un
repère de hackers17 pédophiles révisionnistes doublé d’une zone de non droit.
Bien sûr son caractère sans frontière pose certains problèmes dès lors que les lois varient
d’un pays à l’autre, mais cela est aussi vrai pour les radios longues ondes ou les télévisions
par satellite. La voix de l’Amérique a arrosé de programmes subversifs bien des pays, les
télévisions satellites diffusent des images que la loi iranienne interdit.
La nouveauté réside dans la possibilité qu’a chaque citoyen de pouvoir s’exprimer et d’être
entendu par l’ensemble de la planète. C’est la première fois depuis la déclaration des
droits de l’homme en 1789 que son article 11, «la libre communication des pensées et des
opinions est un des droits les plus précieux de l’homme...», peut être pleinement appliqué.
Il ne s’agit plus d’un pouvoir réservé aux puissants ni même d’une possibilité technique
restreinte aux journalistes ou à des élites pour des raisons politiques ou économiques.
Pour une entreprise, le droit de l’Internet est surtout le droit de la publication relatif à
la création de sites Web, le droit de la vente, mais aussi les moyens légaux de défense
face aux attaques de pirates ou aux spams et autres virus. Il s’agit aussi, pour certaines
d’entres elles, de la défense d’une image de marque attaquée par des associations18 . Mc
Donalds, Total, Danone, Esso font partie des sociétés ayant eut l’honneur d’avoir des sites
associatifs ou d’indépendants dédiées à leur politique.
La portée du droit
Internet étant transnational, il n’est pas toujours simple de savoir quelles lois de quels
pays s’appliquent. Les premiers critères à prendre en compte sont :
1. la nationalité des 2 parties,
2. pour les Français, si une des parties est française,
3. l’existence d’une convention internationnale couvrant le sujet.
Dans le cas où les deux parties sont de même nationalité, le droit à appliquer est le droit
usuel du pays concerné.
Le cas français
Pour la justice française, une infraction commise sur son territoire relève de la loi pénale
française.
Art. 113-2 du code pénal
17
avec au passage une mécompréhension du mot hacker qui est bidouilleur génial et non pirate, lequel
est cracker
18
qui ne font que souligner des actions, qu’elles jugent peu glorieuses, de certaines entreprises !
144
La loi pénale française est applicable aux infractions commises sur le territoire de la République. L’infraction est réputée commise sur le territoire de
la République dès lors qu’un de ces faits constitutifs a eu lieu sur ce territoire.
La loi française s’applique aussi lorsque l’infraction19 est commise par un Français quelque
soit le lieu de l’infraction ainsi qu’en application d’une loi du pays où le Français a commis
une infration.
Article 113-6
La loi pénale française est applicable à tout crime commis par un Français
hors du territoire de la République.
Elle est applicable aux délits commis par des Français hors du territoire de
la République si les faits sont [aussi] punis par la législation du pays où ils ont
été commis.
Il est fait application du présent article lors même que le prévenu aurait
acquis la nationalité française postérieurement au fait qui lui est imputé.
Enfin, la loi française est encore applicable lorsque la victime est française.
Article 113-7
La loi pénale française est applicable à tout crime, ainsi qu’à tout délit
puni d’emprisonnement, commis par un Français ou par un étranger hors du
territoire de la République lorsque la victime est de nationalité française au
moment de l’infraction.
En Europe
La France faisant partie de la Communauté Européenne, les directives de cette dernière
s’y applique.
Une directive est un acte législatif européen dont les États membres sont
destinataires. Une fois cette législation adopte au niveau européen, chaque État
membre doit en assurer la transposition efficace dans son système juridique.
La directive prescrit un résultat final. La forme et les méthodes d’application
sont laisses à l’appréciation de chaque État membre. En principe, une directive
prend effet moyennant des mesures nationales d’application (législation nationale). Toutefois, il est possible que, même lorsqu’un État membre n’a pas encore
appliqué une directive, certaines des dispositions de celle-ci puissent avoir un
effet direct. Cela signifie que, si une directive confère des droits directs aux
personnes, des personnes peuvent arguer de la directive devant un juge sans
avoir attendre la transposition de cette directive dans la législation nationale.
De surcroı̂t, si les personnes estiment avoir subi un préjudice du fait que les
autorités nationales n’ont pas transposé la directive correctement, elles peuvent
19
Article 111-1 du Code Pénal : Les infractions pénales sont classées, suivant leur gravité, en crimes,
délits et contraventions.
145
être habilitées à engager des poursuites en dommages-intérêts. Ces dommages
ne peuvent être obtenus qu’auprès des tribunaux nationaux.20
Les conventions internationnales
Il existe un nombre très important de conventions internationnales pouvant s’appliquer à
des affaires liées à Internet. Parmi celles-ci citons (cf [dldl98], p.80 entre autres) :
– les conventions de Berne et de Genève en matière de droits d’auteur,
– la convention internationale de l’Unesco relative aux droits de l’enfant applicable aux
affaires de pédophilie,
– la convention de Rome traitant de la loi applicable aux obligations contractuelles,
– les conventions de Bruxelles et de Lugano sur le tribunal compétent,
– la convention de Vienne concernant le contrat de vente de marchandises,
– la convension de la Haye relative à la vente internationale d’objets mobiliers.
Ces conventions s’appliquent bien sûr aux infractions commises sur Internet.
Deux pays, deux lois et pas de convention internationale
Lorsque deux lois de deux pays s’opposent, il n’est pas simple de trouver un terrain d’entente. Le cas de la liberté d’expression est probablement le différend le plus classique entre
la France et les Etats-Unis sur Internet.
La LICRA et l’UEJF contre Yahoo !
La LICRA et l’UEJF ont porté plainte contre Yahoo ! France et Yahoo ! Inc. en mai 2000
pour diffusion d’objets nazis via leur site de vente aux enchères.
Concernant le site français, http ://www.yahoo.fr/, la loi française s’applique naturellement et Yahoo ! France a suivi les demandes du tribunal de retirer de son site la possibilité
d’atteindre sur son site de tels pages. Par contre les liens entre le site français et le site
américain continuaient d’exister, aussi dans le cas où la recherche de l’internaute risquait
de l’amener sur une page américaine sera en contradiction avec la loi française, Yahoo !
France avait ajouté l’avertissement suivant :
Poursuite de la recherche sur Yahoo ! US
Avertissement : en poursuivant votre recherche sur Yahoo ! US, vous pouvez
être amené à consulter des sites révisionnistes dont le contenu constitue une
infraction à la loi française et dont la consultation, si vous la poursuivez, est
passible de sanctions.
20
Extrait d’un guide de la Communauté Européenne.
146
Cet aspect franco-français étant réglé, le procès s’est consacré au problème de la consultation de pages web révisionistes situées sur le serveur américain de Yahoo ! Inc. mais
consultables par des Français.
Après consultation auprès d’experts, dont Vinton Cerf, qui ont indiqué une solution technique permettant de reconnaitre 70% des français, solution déjà utilisée par Yahoo ! Inc.
pour diffuser des publicités en français, le juge Gomez a rejeté l’exception d’incompétence
technique soulevée par Yahoo ! Inc. et l’a condamné à appliquer la loi française sur son
serveur américain, cf l’ordonnance de référé du 20 novembre 2000.
La société Yahoo ! Inc. s’appuyant sur le 1er amendement de la constitution américaine
a fait appel auprès de la cour de San Jose en Californie pour retirer l’épée de Damocles
qui pesait sur elle, la justice française s’étant donnée le droit de demander à la justice
américaine d’appliquer sa peine de 100 000 F d’amende par jour de retard dans la mise en
place des filtres demandés, avec effet rétroactif. La justice américaine, sans juger du fond de
l’affaire et des différences de cultures et de loi concernant la notion de liberté d’expression,
a donné raison à Yahoo ! Inc. en indiquant que la mise en place de tels filtres peu précis
serait en effet en contradiction avec le 1er amendement, cf le jugement du tribunal de San
Jose.
En février 2001, Yahoo ! Inc. a indiqué que pour des raisons commerciales et de publicité,
elle demande à ses utilisateurs de ne plus mettre aux enchères de tels objets :
it [Yahoo !] does not want to profit from items that glorified or promote
hatred.
Aujourd’hui il est toujours possible de trouver les objets à la base du procès sur les enchères
de Yahoo ! en entrant simplement le mot “nazi” dans le moteur de recherche. Par contre le
site de vente aux enchère de Yahoo ! France est fermé et renvoit les internautes vers eBay
France.
Il est a noter que suite à ce procès, eBay France, comme sa maison mère ne donnaient
aucune réponse avec le mot Nazi, alors que le mot était dans la base de donnée. De plus
eBay bloquait l’accès lorsqu’on cherche par catégorie, par exemple les objets de la seconde
guerre mondiale, et que cela semble en contradiction avec la loi du pays de l’internaute :
Dear User :
Unfortunately, access to this particular category or item has been blocked
due to legal restrictions in your home country. Based on our discussions with
concerned government agencies and eBay community members, we have taken
these steps to reduce the chance of inappropriate items being displayed. Regrettably, in some cases this policy may prevent users from accessing items that do
not violate the law. At this time, we are working on less restrictive alternatives.
Please accept our apologies for any inconvenience this may cause you, and we
hope you may find other items of interest on eBay.
Aujourd’hui il ne semble plus avoir de restriction !
147
Plus
On trouve sur internet de nombreux sites liés au droit dont
– le site officiel du journal officiel http ://www.legifrance.gouv.fr avec tous les textes depuis
1991,
– le forum des droits sur l’internet http ://www.foruminternet.org,
– Le Chêne et le Gland, Droit et Internet, http ://www.canevet.com/, pour des commentaires et des jurisprudences sur les lois relatives à l’Internet,
– L’internet Juridique, http ://www.internet-juridique.net/, pour les même raisons.
– Le code Celog, http ://www.celog.fr/cpi/ : Celog met à votre disposition un code annoté concernant le droit de l’internet et de l’informatique issu de la base de données
Legalis.net. Ce code est enrichi de plus de 1000 décisions jurisprudentielles.
Parmi les livres sur le sujet, citons celui de Valérie Sédallian, cf [Séd97], qui offre une photographie de la loi française en 1996, au début de l’Internet grand public. Les Éditions de
droit Lefèbvre proposent un ouvrage régulièrement mis à jour : «Informatique Télécoms
Internet», cf [Ben01], ainsi que les Editions Législatives qui proposent le «Guide Permanent Droit et Internet», cf [Lég02].
148
Chapitre 8
Chapitre 9
La liberté d’expression
Article 19 de la Déclaration universelle des droits de l´homme
Tout individu a droit à la liberté d’opinion et d’expression, ce qui implique le
droit de ne pas être inquiété pour ses opinions et celui de chercher, de recevoir
et de répandre, sans considérations de frontières, les informations et les idées
par quelque moyen d’expression que ce soit.
9.1
La liberté des uns s’arrête...
La liberté d’expression varie d’un pays à l’autre. Elle est totale aux États-Unis, 1er amendement de la constitution, elle est limitée au France comme le précise la seconde partie
de l’article 11 de la déclaration des droits de l’homme de 1789 : «tout citoyen peut donc
parler, écrire, imprimer librement ; sauf à répondre de l’abus de cette liberté dans les cas
déterminés par la loi.». D’autres pays limitant fortement la liberté d’expression filtrent
l’accès à Internet en émission comme en réception pour appliquer leur loi.
Les sujets interdits en France sont principalement :
–
–
–
–
–
l’apologie du racisme,
le révisionnisme (nier la shoah),
l’atteinte à la personnalité (outrage, propos choquants...)
l’atteinte à la vie privées (données, photos -droit à l’image-...)
l’atteinte aux entreprises (droit des marques, de la concurrence)
La loi Gayssot, très contestée car permettant aux révisionnistes de se dire victimes d’un
complot, et donc qu’“on nous cache quelque chose”, indique :
Art 1 - Toute discrimination fondée sur l’appartenance ou la non appartenance à une ethnie, une nation, une race ou une religion est interdite.
Modifications de la loi du 29 juillet 1881 sur la liberté de la presse
Art. 24 bis. - Seront punis des peines prévues par le sixième alinéa de l’article 24 ceux qui auront contesté, par un des moyens énoncés à l’article 23,
149
150
Chapitre 9
l’existence d’un ou plusieurs crimes contre l’humanité tels qu’ils sont définis
par l’article 6 du statut du tribunal militaire international annexé à l’accord de
Londres du 8 août 1945 et qui ont été commis soit par les membres d’une organisation déclarée criminelle en application de l’article 9 du-dit statut, soit par
une personne reconnue coupable de tels crimes par une juridiction française ou
internationale.
De fait, la liberté d’expression est totale sur Internet puisqu’autorisée aux États-Unis et
donc possible via les États-Unis. Des livres interdits en France y sont téléchargeables.
Cette liberté a ses conséquences1 :
– les discours de haine sont largement présents ne serait-ce que dans les forums2 ,
– le sexe est au cœur d’Internet, il est le mot le plus recherché. Il y a tous les types de
sexe sur Internet, dont la pédophilie, et visible par tous, dont les enfants,
– les groupuscules extrémistes et les sectes y ont un terrain de propagande et de recrutement rêvé,
– des informations dangereuses comme la construction de bombes, cf The big book of
mischief - the terrorists’handbook, de drogues ou de poisons s’y trouvent,
– la diffamation peut s’y répandre très facilement, même lorsqu’elle est condamnée,
– les secrets d’États ou industriels sont devenus facilement divulgables.
Chantres de la liberté d’expression absolue, même les Américains ont voté en 96 une loi, le
Communications Decency Act, CDA, pour empêcher la diffusion d’images pornographique
auprès des mineurs. Mais cette loi a été déclarée anticonstitutionnelle en 97 au motif que :
Conformément à la tradition en matière constitutionnelle et en l’absence de
preuve contraire, nous présumons que la réglementation par les pouvoirs publics
du contenu de la liberté de parole est davantage de nature à interférer avec
le libre échange d’idées qu’à l’encourager. L’intérêt qu’il y a à encourager la
liberté d’expression dans une société démocratique l’emporte sur les avantages
théoriques mais non avérés que peut présenter la censure.
En 98, le congrès a écrit une autre loi, la ”Child Online Protection Act”, plus réduite dans
sa portée puisqu’interdisant les sites commerciaux de mettre à disposition des mineurs du
matériel dangereux pour les mineurs. Cette loi n’a pas été cassée par la Cours Suprème
mais elle ne semble pas avoir été beaucoup appliquée.
9.2
La loi relative à la liberté de communication
La loi 86-1067 du 30 septembre 1986 relative à la liberté de communication, révisée le 2
août 2000, puis en 2004 a été pour sa partie Internet au cœur de nombreux débats.
L’article 1 indique :
1
2
cf le riche rapport de Paul Sturges sur La Liberté d’Expression et les Reseaux de Communication
cf alt.revisionism
151
La communication au public par voie électronique est libre.
L’exercice de cette liberté ne peut être limité que dans la mesure requise,
d’une part, par le respect de la dignité de la personne humaine, de la liberté
et de la propriété d’autrui, du caractère pluraliste de l’expression des courants
de pensée et d’opinion et, d’autre part, par la protection de l’enfance et de
l’adolescence, par la sauvegarde de l’ordre public, par les besoins de la défense
nationale, par les exigences de service public, par les contraintes techniques
inhérentes aux moyens de communication, ainsi que par la nécessité, pour les
services audiovisuels, de développer la production audiovisuelle.
Le chapitre VI du titre II, dispositions relatives aux services de communication en ligne
autres que de correspondance privée, concerne la publication de sites web. Il s’agit essentiellement de savoir qui est responsable de quoi parmi les personnes ayant un contrôle sur
le site.
Si, l’ancienne législation obligeait de déclarer un responsable de la publication par site web,
quelque soit le type de site, la révision d’août 2000 a allégé cette lourdeur administrative
de l’ère “pré-internetienne” :
L’article suivant spécifie les informations qui doivent être rendues publiques suivant le
type de site web :
Art. 43-10.
I. - Les personnes dont l’activité est d’éditer un service de communication
en ligne autre que de correspondance privée tiennent à la disposition du public :
- s’il s’agit de personnes physiques, leurs nom, prénom et domicile ;
- s’il s’agit de personnes morales, leur dénomination ou leur raison sociale
et leur siège social ;
- le nom du directeur ou du codirecteur de la publication et, le cas échéant,
celui du responsable de la rédaction au sens de l’article 93-2 de la loi no 82-652
du 29 juillet 1982 sur la communication audiovisuelle ;
- le nom, la dénomination ou la raison sociale et l’adresse du prestataire
mentionné à l’article 43-8.
II. - Les personnes éditant à titre non professionnel un service de communication en ligne autre que de correspondance privée peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination
ou la raison sociale et l’adresse du prestataire mentionné à l’article 43-8,
sous réserve de lui avoir communiqué les éléments d’identification personnelle
prévus au I.
Le fameux prestataire de l’article 43-8 est le fournisseur d’accès Internet, FAI. Sa responsabilité de censure est indiquée dans cet article 43-8 qui a connu de nombreuses versions :
Art. 43-8.
Les personnes physiques ou morales qui assurent, à titre gratuit ou onéreux,
le stockage direct et permanent pour mise à disposition du public de signaux,
d’écrits, d’images, de sons ou de messages de toute nature accessibles par ces
services, ne sont pénalement ou civilement responsables du fait du contenu de
ces services que :
152
Chapitre 9
- si, ayant été saisies par une autorité judiciaire, elles n’ont pas agi promptement pour empêcher l’accès à ce contenu ;
La loi prévoyait aussi de faire porter la responsabilité de censure aux FAI :
-ou si, ayant été saisies par un tiers estimant que le contenu qu’elles hébergent
est illicite ou lui cause un préjudice, elles n’ont pas procédé aux diligences appropriées.
mais cette disposition a été déclarée non conforme à la Constitution par décision du Conseil
constitutionnel n◦ 2000-433 DC du 27 juillet 2000.
Les évolutions de cette loi sont présentées sur le site d’IRIS.
9.2.1
La création d’un site Web
La loi sur l’audiovisuel de 1986 indiquait que tout service de communication audiovisuelle
est soumis à un régime de déclaration préalable. Un site Web entrait donc dans le cadre de
cette loi et devait être déclaré au procureur de la République avec le nom de son directeur
de la publication.
On a vu que cela n’est plus le cas suite à la modification de 2000 qui a simplifié la procédure
en reportant l’obligation d’enregistrement des coordonnées du responsable du site Web sur
les fournisseurs d’accès.
La loi de 1986 n’était de toute évidence pas respectée. La nouvelle loi dans le cas des
personnes physiques ou morales qui louent une connexion permanente à Internet ou un
hébergement leur évite toute démarche administrative. Par contre elle change radicalement
la donne pour les hébergeurs gratuits de sites comme Altern.org3 qui ne pouvant ni ne
voulant supporter cette charge a préféré fermer ses 48 000 sites. Elle sera probablement la
fin de ce type de service en France.
9.3
Critiques et atteinte à l’image de marque
De nombreuses entreprises se font écorner par des sites web de particuliers ou d’associations. Certaines se défendent en attaquant les auteurs des sites ou les intermédiaires
techniques devant les tribunaux.
Cette tactique peut être gagnante légalement et permettre la fermeture d’un site ou de
certaines parties, mais il n’est pas sûr qu’elle soit rentable au niveau de la communication.
Certaines personnes y voient une volonté d’arrêter toute critique en instaurant la crainte
généralisée de procès, toujours nettement plus douloureux pour un individu que pour une
société importante.
3
gratuit et sans publicité.
153
Les sociétés attaquent souvent sur ce qu’elles perçoivent comme une attaque contre leur
logo ou contre un symbole les représentant. Ainsi La Poste a porté plainte pour atteinte
à son image de marque suite à l’illustration de l’affaire du GIE Carte Bleue contre Mr
Humpich par une image de carte bleue de la Poste brisée. L’attaque dans ce cas a porté
contre l’hébergeur et non contre l’auteur du site, par ailleurs parfaitement connu (voir le
site incriminé et la présentation de cette histoire dans le document sur la “corégulation”
du député Christian Paul).
Fig. 9.1 – Des logos détournés
Danone a gagné en 2001 un procès contre le site web www.jeboyecottedanone.net en attaquant sur le détournement de son logo. L’ordonnance de référé rendue le 14 mai 2001 par
le juge Gomez indique :
...
Attendu, en revanche, que la reproduction sur le site du RÉSEAU, et à
l’identique, des marques semi-figuratives DANONE n’est en aucun cas indispensable à la satisfaction de ses objectifs, qui sont de faire connaı̂tre au plus
grand nombre les conséquences économiques et sociales des décisions du groupe
et d’inciter à un débat et une prise de conscience collectifs ;
Attendu que le recours à la reproduction des marques semi-figuratives DANONE excède donc les besoins de la liberté d’expression ; qu’il peut avoir
au contraire un effet d’affaiblissement desdites marques pour le plus grand
préjudice des salariés du groupe et sans gain avéré pour les salariés concernés
par les mesures de fermeture ;
Attendu donc que reproduction sans nécessité et sans autorisation constitue
bien une contrefaçon ;
Qu’il souvient, en conséquence, d’interdire au RÉSEAU VOLTAIRE de
faire usage de ces marques semi-figuratives sous astreinte de 1.000 francs par
infraction constatée passé un délai de six jours à compter de la notification de
la décision, et de le condamner à une indemnité sur le fondement de l’article
700 du Nouveau Code de Procédure Civile ;
...
En parallèle à sa demande d’interdiction d’utilisation de son logo détourné, la société
Danone a demandé l’interdiction du nom de domaine jeboyecottedanone.net pour détournement de nom de marque et a poursuivi la société GANDI et son gérant à titre
personnel pour ne pas avoir accepté de fermer le nom de domaine lorsqu’elle lui a demandé.
Le jour du procès, Danone a retiré cette dernière plainte de toute évidence abusive, mais
ni la société GANDI, ni son gérant, ne l’ont accepté et la société Danone a été condamnée :
154
Chapitre 9
Attendu que la Société GANDI et Monsieur Valentin LACAMBRE ayant
refusé d’acquiescer au désistement de la demanderesse à leur encontre, il peut
être constaté comme ces derniers en forment la demande que la procédure a
été introduite sens précaution aucune à leur encontre pour obtenir une mesure
à laquelle ils n’étaient pas en mesure de satisfaire puisque ni l’un ni l’autre
n’étaient l’hébergeur du site jeboycotte.net, et étant observé au surplus, en ce
qui concerne la Société GANDI, qu’il n’est pas démontré, ni même allégué
sérieusement que cette société aurait outrepassé les termes de sa mission d’enregistrement de noms de domaines conformément au contrat d’accréditation
passé avec l’ICANN ni qu’elle ait fourni les moyens permettant la réalisation
du délit de contrefaçon ;
Attendu qu’en conséquence il y a lieu de débouter la demanderesse de toutes
ses demandes à leur encontre et de la condamner à payer à chacun d’eux la
somme de 8.000 francs sur le fondement de l’article 700 du Nouveau Code de
Procédure Civile ;
En 2002, Esso a porté plainte contre Greenpeace pour sa campagne STOP E$$O et obtenu
que son logo ne puisse pas être détourné ni que les 2 S de ESSO puissent être des dollars
(cf http ://www.stopessofrance.org/ pour la copie du site tel qu’il a été condamné).
Par contre, toujours en 2002, Greenpeace n’a pas été condamnée dans un cas fortement
similaire de détournement de logo, comme ils l’indiquent dans leur communiqué de presse :
Paris, le 2 août 2002 - Dans l’affaire qui opposait Areva à Greenpeace pour
l’utilisation détournée du logo A de Areva, le Tribunal de Grande Instance de
Paris, qui s’est réuni le vendredi 26 juillet, a rendu un jugement défavorable
au lobby nucléaire en déboutant Areva de sa demande. Le juge a déclaré que
le litige ne pouvait pas se situer sur le terrain commercial compte tenu des
activités de Greenpeace, ”mais sur le terrain de la liberté d’expression, dans le
cadre du droit à la critique et à la caricature”.
Chapitre 10
Le copyright
10.1
Historique
La présentation Free culture de Lawrence Lessig1 retrace, dans sa première partie, l’histoire
du copyright. Elle est retranscrite sur
http ://www.oreillynet.com/pub/a/policy/2002/08/15/lessig.html.
10.1.1
Aujourd’hui aux Etats-Unis
Le site gouvernemental du copyright offre de nombreux documents dont la portée du
copyright :
Le propriétaire du copyright a le droit exclusif de faire et d’autoriser des tierces personnes
de faire
–
–
–
–
des copies,
des créations d’œuvres dérivées,
de distribuer l’œuvre en dehors de la sphère privée,
de faire des représentations publiques.
Et une FAQ avec des réponses à divers points :
* What works are protected ?
Copyright protects ”original works of authorship” that are fixed in a tangible
form of expression. The fixation need not be directly perceptible so long as it
may be communicated with the aid of a machine or device. Copyrightable works
include the following categories :
1. literary works ;
2. musical works, including any accompanying words
3. dramatic works, including any accompanying music
1
Lawrence Lessig est professeur de droit à l’université de Stanford
155
156
Chapitre 10
4. pantomimes and choreographic works
5. pictorial, graphic, and sculptural works
6. motion pictures and other audiovisual works
7. sound recordings
8. architectural works
These categories should be viewed broadly. For example, computer programs
and most ”compilations” may be registered as ”literary works” ; maps and architectural plans may be registered as ”pictorial, graphic, and sculptural works.”
* How long does copyright last ?
The Sonny Bono Copyright Term Extension Act, signed into law on October
27, 1998, amends the provisions concerning duration of copyright protection.
Effective immediately, the terms of copyright are generally extended for an
additional 20 years. Specific provisions are as follows :
* For works created after January 1, 1978, copyright protection will endure
for the life of the author plus an additional 70 years. In the case of a joint
work, the term lasts for 70 years after the last surviving author’s death. For
anonymous and pseudonymous works and works made for hire, the term will
be 95 years from the year of first publication or 120 years from the year of
creation, whichever expires first ;
* For works created but not published or registered before January 1, 1978,
the term endures for life of the author plus 70 years, but in no case will expire
earlier than December 31, 2002. If the work is published before December 31,
2002, the term will not expire before December 31, 2047 ;
* For pre-1978 works still in their original or renewal term of copyright, the
total term is extended to 95 years from the date that copyright was originally
secured.
L’amendement Mickey Mouse permet à Walt Disney d’éviter que la célèbre souris entre
dans le domaine publique.
10.2
La copie
La copie numérique est parfaite, sans perte d’information. Tant que les données protégées
comme la musique ou la vidéo demandaient des supports de taille nettement supérieure
aux outils informatiques existant comme pour le CD dans les années 80 ou les films dans
les années 90, le problème de la copie numérique n’existait pas.
Aujourd’hui les capacités de stockage et les algorithmes de compression permettent la
copie des CD comme des DVD. Internet permet de transporter efficacement ces données,
surtout pour ce qui concerne la musique, ainsi que d’en organiser la diffusion à l’aide d’un
service comme Napster.
Ce changement radical de situation et la nette augmentation de la copie qu’il a générée
a provoqué la colère des maisons de disque qui sont montées au créneau. Elles ont réussi
157
Le copyright
depuis à fermer Napster et à rendre le déchiffrage interdit via le DMCA2 .
Toutefois, il n’est pas certains que Napster et les échanges de musique aient réellement
pénalisé le marché de la musique. L’éditeur O’Reilly qui subit aussi le piratage des versions
numériques de ses livres indique que cela n’influence en rien ses ventes3 :
At O’Reilly, we publish many of our books in online form. There are people
who take advantage of that fact to redistribute unpaid copies. (The biggest
problem, incidentally, is not on file sharing networks, but from copies of our CD
Bookshelf product line being put up on public Web servers, or copied wholesale
and offered for sale on eBay.) While these pirated copies are annoying, they
hardly destroy our business. We’ve found little or no abatement of sales of
printed books that are also available for sale online.
Il semble même que la copie et la diffusion qu’elle génère offre une véritable chance d’être
connu pour la grande majorité des artistes. Elle permet à des musiques en dehors des
hit parades d’exister, de faire leur trou doucement. Il n’est pas exclu que les musiciens
arrivent un jour à mettre en place un autre système économique permettant la copie de
leur musique et basé sur les revenus des concerts, des radiodiffusions, de la télévision...
Fig. 10.1 – Napster et les maisons de disque
source : User Friendly
La réponse française au phénomène de la copie numérique de musique a été la même
que pour celle des cassette audio, à savoir la mise en place d’une taxe sur les CD vierges,
taxe devant être reversée aux auteurs.
Des taquins, comme il en existe partout, font remarquer que cette taxe de 4 F sur les CD
vierges est du même ordre de grandeur que ce que gagnent les musiciens peu connus par
CD vendu. Cela légitime-t-il la copie des CD musicaux ?
D’autres, ou les mêmes, font remarquer que l’on paye cette même taxe lorsqu’on utilise en
CD en tant que support de sauvegarde.
2
cf ci-dessous
cf son article Piracy is Progressive Taxation, and Other Thoughts on the Evolution of Online Distribution
3
158
Chapitre 10
Les CD n’étant pas le seul support numérique pouvant être utilisé pour copier de la
musique, certaines personnes désireraient étendre la taxe à tous les supports numériques
y compris aux ordinateurs.
Depuis cet été 2002, cette taxe concerne aussi les disques durs inclus dans certains décodeurs
TV numériques ou baladeurs, mais elle ne touche pas les disques durs des ordinateurs.
Prudent, le président de la commission en charge de réglementer la portée de cette taxe
indique à propos de la possibilité de taxer les disques durs que «la fixation d’une telle
rémunération excède le rôle de la commission».
Aux Etats-Unis, le Digital Millennium Copyright Act
Sec. 1201. Circumvention of copyright protection systems
(2) No person shall manufacture, import, offer to the public, provide, or
otherwise traffic in any technology, product, service, device, component, or part
thereof, that–
(A) is primarily designed or produced for the purpose of circumventing a
technological measure that effectively controls access to a work protected under
this title ;
...
Cet extrait est au cœur de protestations mais l’ensemble de la loi est contesté pour ses
effets pervers.
Dmitry Sklyarov, un cryptographe russe, a été la première victime du DMCA. Il a développé
pour sa société russe un traducteur du format eBook d’Adobe vers PDF. Pour cela, il a
dû casser les protections du format eBook ce qui était facile.
En juillet 2001, Dmitry Sklyarov a présenté lors d’une conférence les faiblesses du système
de protection de l’eBook. Il a été arrêté ensuite à son hôtel pour avoir développé un outil
permettant de violer les lois du copyright malgré le fait que son traducteur ne fonctionne
qu’avec des eLivres dûment achetés.
Ce cas, toujours pas jugé, a déjà valu à son personnage principal plusieurs semaines de
prison et 5 mois d’interdiction de quitter l’État de Californie avant d’être relaché sous
conditions.
Le professeur Ed Felten de Princeton s’est vu de son côté menacé de poursuite s’il présentait
ses travaux sur les faiblesses de système d’encodage.
Le système de décodage des DVD de Linux, DeCSS, indispensable pour pouvoir lire un
DVD, a valu à une centaine de personnes d’être poursuivies pour l’avoir diffusé.
Le DMCA touche aussi les intermédiaires techniques4 que sont les opérateurs du réseau,
les FAI et hébergeurs. En pratique les hébergeurs sont les plus touchés : ils doivent fermer
un site lorsqu’une personne indique que le dit site viole son droit d’auteur. L’auteur doit
4
cf l’article de Valérie Sédallian
Le copyright
159
ensuite porter plainte contre le responsable du site web sinon le site doit être réouvert au
bout de 14 jours.
Une autre victime de cette loi est le site norvégien http ://www.xenu.net/ dénonçant la
secte scientologique. Ce site s’est vu privé de référencement par Google, la secte faisant
valoir la violation de son copyright.
Bien sûr le responsable norvégien du site ne désire pas aller au Etats-Unis défendre son
cas contre la secte.
Google a remis ensuite la page d’accueil du site dans ces référencements, la page n’ayant
pas de texte violant le copyright. Le site est en 2e réponse lorsqu’on interroge Google avec
le mot “Scientology”.
Une version française du DMCA La Directive 2001/29/CE du 22 mai 2001 sur
l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société
de l’information, est à la source de discussion sur ce qu’on appelle déjà le DMCA Français.
La question est comment appliquer son article 6 qui demande de sanctionner les actes
de contournement des mesures techniques de protection en tenant compte de l’existant
juridique français et en utilisant la marge de manœuvre qu’offre l’article 5 permettant aux
états de mettre en place des exceptions et limitations.
L’exemple de la taxe sur les CD vierges montre le problème. Si la copie de CD est considérée
comme un contournement, elle devient interdite et alors la taxe sur les CD vierge doit
disparaitre en toute logique.
Les différents camps cherchent à profiter de l’occasion de la transcription de cette directive pour aller dans leur sens. Certaines entreprises aimeraient aller vers le DMCA, les
associations désirent en eviter les aspects néfastes.
L’association April demande ainsi que la future loi sur la contrefaçon
–
–
–
–
réaffirme le droit à l’interopérabilité entre les programmes informatiques ;
préserve explicitement la liberté de la recherche ;
transforme le régime d’exception de copie privée en un régime de droit à la copie privée ;
garantisse le domaine public de manière à interdire son appropriation par le biais de
mesures techniques.
EUCD.INFO de son coté souligne que le droit français dispose déjà d’un arselnal jurisdique
important qui de fait transpose déjà la directive. Elle considère donc inopportune une
nouvelle loi.
Pour plus de détail, on pourra regarder un dossier sur le sujet présenté par site Planète
Libre, avec en particulier la version du 5 décembre 2002 du projet de loi.
160
Chapitre 10
Fig. 10.2 – Environnement juridique des mesures techniques de protection
cf document de l’EUCD.INFO
10.3
Les noms de domaine
Les noms de domaine ont été à la source de nombreux procès et de grosses transactions
financières. Aujourd’hui le milieu du nom de domaine5 s’est assagi grâce aux nouvelles
règles de l’ICANN ainsi qu’aux diverses jurisprudences existantes maintenant.
Le cas le plus courant de litige concerne le “vol” d’un nom de marque, cf la fiche du Forum
Internet :
Le fait d’intégrer, avec ou sans intention rémunératrice, le nom d’une
entreprise ou de sa marque dans votre adresse internet peut constituer une
contrefaçon et/ou des agissements parasitaires susceptibles d’engager votre responsabilité civile. La contrefaçon de marque est également un délit puni, aux
termes de l’article L. 716-9 du Code de la propriété intellectuelle, de deux ans
d’emprisonnement et de 1 000 000 F d’amende. De même, la reproduction du
nom d’une personne célèbre peut contrevenir aux droits qu’elle possède tant sur
son nom patronymique que sur une marque qu’elle aurait déposée.
Ainsi, avant même d’enregistrer votre nom de domaine (en .com, .net,
.org, .fr ou autres) ou de créer un nouveau dossier au sein de votre site reproduisant ces noms, vérifiez auprès de leurs titulaires qu’ils vous autorisent
bien à vous en servir. Sachez que des vérifications sont effectuées par l’AFNIC pour l’enregistrement de votre nom de domaine en « .fr ». Pour fins de
preuve, veillez à vous ménager un écrit déterminant précisément l’usage pour
lequel les titulaires vous ont donné leur accord. De surcroı̂t, vous ne pouvez
5
à propos des noms de domaine, lire l’article de Laurent Chemla «Confessions d’un voleur»,
http ://www.chemla.org/textes/voleur.html
Le copyright
161
contourner l’obstacle en reproduisant un nom orthographié différemment de
celle d’une marque notoire. Le Tribunal de grande instance de Nanterre a, par
exemple, décidé que l’enregistrement du nom de domaine « lankom.com » et «
lankome.com » constituait une contrefaçon de la marque « Lancôme ».
Bien sûr, il est possible de réserver pasteur.net si l’on s’appelle Pasteur et cela même s’il
existe un Mr Pasteur célèbre et si un institut célèbre porte toujours son nom.
10.4
Les brevets
L’Organisation Mondiale de la Propriété Intellectuelle, l’OMPI, défend la propriété intellectuelle. Elle souligne dans sa Déclaration Mondiale sur la Propriété Intellectuelle :
Les droits de propriété intellectuelle sont un élément essentiel et indissociable des mesures visant à relever le défi fondamental du développement pour
tous qui, à la fin du XXe siècle, vient au premier rang des responsabilités
d’importance universelle de l’humanité.
Cette organisation indique dans sa FAQ ce que sont les brevets et quelle est leur portée :
Quelle forme de protection offre le brevet ?
La protection par brevet signifie que l’invention ne peut être réalisée, utilisée, distribuée ou vendue commercialement sans le consentement du titulaire
du brevet. Les droits de brevet sont normalement sanctionnés par une action
devant les tribunaux qui, dans la plupart des systèmes, ont compétence pour
faire cesser les atteintes aux brevets. En même temps, les tribunaux peuvent
aussi déclarer nul un brevet contesté par un tiers.
Quelles sortes d’inventions peut-on faire protéger ?
L’invention doit, de manière générale, satisfaire aux critères suivants pour
pouvoir être protégée par un brevet. Elle doit avoir une utilité pratique, comporter un élément de nouveauté, c’est-à-dire une caractéristique nouvelle qui ne
fait pas partie du fonds de connaissances existantes dans le domaine technique
considéré : ce fonds de connaissances existantes est désigné par l’expression
”État de la technique”. L’invention doit aussi impliquer une activité inventive c’est-à-dire qu’elle ne doit pas être évidente pour une personne ayant une
connaissance moyenne du domaine technique considéré. Enfin, son objet doit
être ”brevetable” selon la loi. Dans de nombreux pays, les théories scientifiques,
les méthodes mathématiques, les variétés végétales ou animales, les découvertes
de substances naturelles, les méthodes commerciales et les méthodes de traitement médical (par opposition aux produits médicaux) sont exclues de la protection par brevet.
162
Michel Rocard ferraille contre le brevet logiciel
LE MONDE du 17.02.05
Le député européen s’est fortement impliqué dans ce
débat juridique très technique. Il dénonce les pressions
que les grands groupes informatiques exercent sur la
Commission. Une directive trop laxiste pourrait stériliser
la création de programmes en Europe et entraver la circulation des idées.
La conférence des présidents de groupe du Parlement européen devait transmettre officiellement à la Commission, jeudi 17 février, une demande de réouverture du
débat en première lecture d’un projet de directive très
controversé sur la brevetabilité des logiciels. L’ancien premier ministre Michel Rocard, député européen et rapporteur à la commission des affaires juridiques du Parlement,
est à l’origine de cette initiative. Il explique les enjeux
”immenses” liés à la brevetabilité des ”inventions mises
en œuvre par ordinateur” et raconte trois ans de luttes
dans les instances de l’Union européenne.
Pourquoi la directive européenne sur la brevetabilité des logiciels - ou des ”inventions mises en
œuvre par ordinateur” - est-elle, depuis si longtemps, l’objet d’autant de polémiques ?
Il y a autant de polémiques parce que les intérêts en
jeu sont immenses. Je n’ai aucun moyen de vérifier ces
chiffres, mais on nous dit que, sur le continent européen,
l’enjeu - selon que la brevetabilité est généralisée à tous
les logiciels ou qu’elle est restreinte - se situerait entre 35
et 40 milliards de dollars par an de redevances.
Qu’une idée ne soit pas brevetable n’est contesté par personne. Qu’il s’agisse d’une suite de mots, d’un accord de
musique ou d’un algorithme. Einstein est crédité d’avoir
dit : ”Une formule mathématique n’est pas brevetable.”
Or qu’est-ce qu’un logiciel ? C’est un ensemble de formules mathématiques corrélées qui guide le fonctionnement d’un ordinateur. Il n’est donc pas brevetable en
tant que tel.
Pourtant, l’objectif de la Commission européenne
est bien de le rendre brevetable.
L’article 52 de la Convention européenne sur les brevets
de 1972 dit en substance que les logiciels ne sont pas brevetables. Pourtant, l’Office européen des brevets (OEB),
rémunéré grâce aux redevances, en a accordé une trentaine de milliers sur des logiciels depuis moins d’une dizaine d’années.
Aux Etats-Unis, il existe des lois générales sur le brevet,
mais rien de spécifique aux inventions mises en œuvre
par ordinateur. Il existerait aujourd’hui quelque 200 000
brevets américains sur des logiciels. Une demi-douzaine
de plaintes ont été déposées devant la Cour suprême pour
viol de la Constitution pour entrave à la liberté de circulation des idées - ce qui est pénalement terrifiant. La
Cour suprême n’a pas encore rendu d’arrêt et la rumeur
veut qu’elle attende la jurisprudence européenne.
Aujourd’hui, comment la jurisprudence définitelle les limites de la brevetabilité ?
Ce qui est brevetable, c’est ce qui a un caractère technique. Mais qu’est-ce qui justifie le caractère technique ?
Et la réponse jurisprudientielle généralement reçue, c’est
”l’emploi de moyens techniques” Nous sommes dans une
absolue tautologie. Or les tribunaux considèrent ”technique” ce qui est compliqué. Du coup, il n’y a plus de
limites.
Un logiciel qui sert de cas d’école, c’est celui qui pilote le freinage ABS. Il est évident que la mise au point
de ce logiciel exige un aller-retour entre les formules
mathématiques et l’expérience... Et que cela a exigé de
l’énergie, de l’outillage, etc. A l’évidence, la brevetabilité
est nécessaire pour en permettre la rémunération. En revanche, dans le cas de ces logiciels qui servent à guider
la main du chirurgien dans certaines interventions, il est
clair qu’ils ne relèvent que d’un traitement logique de
gestion des obstacles et que le coût de production d’un
tel logiciel est nul.
Où en sont les débats sur ce sujet dans les instances de l’Union européenne ?
Chapitre 10
La démarche initiale de la Commission, début 2002, visait à ”mettre de l’ordre dans un champ légal chaotique”.
Cependant, le texte ne contenait aucune disposition juridique pour établir la ligne rouge entre le brevetable et
le non-brevetable. Le Parlement s’est saisi de ce texte en
première lecture. Nous avons proposé des amendements
visant à ne laisser breveter que les logiciels dont la mise
au point implique l’usage des ”forces de la nature”. Sans
cela, pas de brevetabilité. Ce concept définit un champ
restreint qui devrait permettre de breveter de 15 % à 20
% des logiciels aujourd’hui produits. Le vote du Parlement, le 24 septembre 2003, a adopté ces amendements
par 361 voix pour, 157 contre et 28 abstentions. Cela a
mis la Commission en fureur et a déclenché une tornade
de courriels émanant d’une quinzaine de grands groupes
dont Microsoft est le chef de file.
Des entreprises américaines auraient exercé des
pressions ?
Pas seulement américaines ! Nokia et Alcatel, par
exemple, sont largement impliquées. Elles ont réussi à
convaincre la Commission de reprendre le problème et
de relancer l’offensive. Nous avions d’ailleurs appris au
passage que, pour mettre au point le premier projet de directive, la Commission européenne s’était attaché les travaux d’experts extérieurs parce que c’était un problème
assez nouveau pour elle. Or plusieurs de ces experts
extérieurs venaient de Microsoft et d’autres firmes informatiques. Il n’y a pas de fumée sans feu. Tout cela ne
pas fait très joli dans le tableau...
Nous n’avons jamais pu parler un langage commun avec
les représentants des grands groupes que nous avons rencontrés - et notamment ceux de Microsoft. Leur parler de
libre circulation des idées, de liberté d’accès au savoir,
c’est leur parler chinois. Dans leur système de pensée,
tout ce qui est ôté au champ du profit immédiat cesse
d’être un moteur pour la croissance. Ils ne semblent pas
pouvoir comprendre qu’une invention qui n’est qu’un pur
produit de l’esprit ne peut être brevetable. C’est tout
simplement terrifiant. Beaucoup d’entre nous, au Parlement, conviennent que jamais ils n’ont eu à subir une
telle pression et une telle violence verbale au cours de
leur travail parlementaire. C’est une énorme affaire.
Quel a été le résultat de ces pressions ?
Le 18 mai 2004, la Commission saisit le conseil des ministres d’un nouveau texte porteur d’une conception encore plus extensive de la brevetabilité que le premier. La
contre-offensive est d’une brutalité inouı̈e. Le conseil des
ministres de l’industrie a délibéré très vite, en à peine
une heure trente. Et ne fait aucune référence aux amendements votés en 2003.
Du coup, ce nouveau projet, durci, est adopté dans le
principe. Pour l’adopter formellement, en droit, il y a
une procédure expéditive qui est l’”inscription en point
A” à un conseil des ministres. Dans ce cas, le conseil se
prononce sans discussion. Les présidences irlandaise et
néerlandaise nous ont fait trois fois le coup du point A,
dont deux fois lors du conseil des ministres de l’agriculture, consacré à la pêche ! C’est simplement scandaleux.
A chaque fois l’adoption formelle du texte a été évitée de
justesse, grâce aux interventions de la Pologne.
Quant à la France, elle se tait. Jacques Chirac s’était
prononcé contre la brevetabilité extensive des logiciels
pendant la campagne présidentielle. Mais le ministre de
l’industrie, Patrick Devedjian, présent au conseil des ministres du 18 mai 2004, ne s’est pas élevé contre le texte.
Le 2 février, la commission des affaires juridiques du Parlement a été auditionnée par le nouveau commissaire en
charge du dossier, Charlie McCreevy. Nous avons demandé à la présidence du Parlement de requérir un nouveau débat sur le texte pour que nous puissions établir
une nouvelle version en première lecture.
Nous en sommes là.
Propos recueillis par Michel Alberganti et Stéphane Foucart
Tab. 10.1 – Michel Rocard ferraille contre le brevet logiciel, LE MONDE du 17.02.05
Le copyright
10.4.1
163
Le brevet logiciel
La limite entre le copyright et le brevet est liée à l’abstraction de la découverte. On
considère que les brevets touchent ce qui est matériel, une invention technique, quand le
droit d’auteur est lié à l’immatériel, une œuvre littéraire par exemple. Toute la difficulté
se trouve pour les découvertes se situant entre les deux.
Concernant les logiciel, «le droit d’auteur s’attache à
l’expression, au code vu comme un langage ou un texte,
dont l’ensemble des éléments sera protégé contre la reproduction ; le brevet va davantage s’attacher aux fonctions que remplit l’invention et aux résultats qu’elle permet d’atteindre, et en protégera les éléments nouveaux
apportant une solution technique.»6 .
Le point crucial est de déterminer si en plus du droit
d’auteur, il est souhaitable que les logiciels puissent être
protégés par un brevet. Les arguments sont d’un coté l’harmonisation avec le reste du
monde, la défense des investissements industriels, de l’autre le risque de pénaliser la libre
concurrence et notamment la possibilité pour les petites entreprises de concurrencer les
entreprises déjà bien établies ainsi que la durée inadaptée des brevets, plus de 10 ans, dans
un domaine qui évolue aussi rapidement.
La déclaration suivante de Bill Gates sur les brevets logiciels résume la position des personnes contre :
If people had understood how patents would be granted when most of today’s
ideas were invented and had taken out patents, the industry would be at a
complete standstill today.
Ce à quoi il a ajouté :
The solution is patenting as much as we can. A future startup with no
patents of its own will be forced to pay whatever price the giants choose to
impose. That price might be high. Established companies have an interest in
excluding future competitors.
L’alliance EuroLinux souligne les abus que peuvent donner cette situation à travers des
exemples.
Brevets sur des techniques logicielles Quelques exemples de brevets américains sur
des techniques logicielles évidentes telles que «utiliser des instructions vides pour ralentir
un processus » ou « faire des corrections sur un document en utilisant deux couleurs
différentes ». L’utilisation de la fonction OU exclusive (XOR) pour l’inversion bitmap
(US4197590) a été déposée dans au moins 3 pays européens (FR2338531, DE2701891,
DE2760260, DE2760261, GB15419) en contournant la loi et disant que : ”la fonction xor
est utilisée à l’intérieur d’une invention composée d’un périphérique d’affichage”.
6
cf l’article de Jean-Paul Trialle du 27 février 2002, «Brevets et logiciels : la Commission européenne
propose une directive d’harmonisation»
164
Chapitre 10
Cf. http ://www.base.com/software-patents/examples.html
Brevets Internet Quelques exemples de brevets attribués par l’USPTO ou l’OEB sur
des méthodes évidentes comme le « One-Click », les enchères sur Internet, l’affiliation, la
publication d’une base de données sur le Web, ou l’utilisation d’un cache pour le WAP.
Cf. http ://www.freepatents.org/examples/
Brevets sur des méthodes éducatives Quelques exemple de brevets sur des méthodes
éducatives essentiellement évidentes, qui obligeraient les écoles à payer des droits à des
sociétés multinationales pour mettre en œuvre certaines pratiques éducatives basées sur
l’utilisation de l’ordinateur.
Cf. http ://www.freepatents.org/examples/education.html
Pour EuroLinux et l’ensemble des partisans des logiciels libres, la notion de brevet logiciel
est aussi une menace de destruction des logiciels libres dont les auteurs n’ont ni le réflexe,
ni la volonté et souvent pas les moyens de breveter leur travail.
10.4.2
La situation actuelle en Europe
Les conséquences de la brevabilité des logiciels sont importantes. Elles sont considérées
comme bloquées pour l’instant par la position de l’Europe qui constitue un trou important
dans le dispositif de protection des brevets logiciels au niveau mondial.
Sur le plan des textes, la brevetabilité des logiciels et inventions connexes en Europe
est actuellement déterminée principalement par l’article 52, paragraphes (2) (c) et (3)
de la Convention de Munich sur le brevet européen (CBE), selon lequel les programmes
d’ordinateur « en tant que tels » (de même que les méthodes pour l’exercice d’activités
économiques et certaines autres inventions) ne peuvent pas être brevetés.
Néanmoins, depuis l’entrée en vigueur de la CBE de 1973, malgré cette exclusion de principe, il apparaı̂t en réalité que plus de 30 000 brevets en rapport avec des logiciels ont été
accordés. et une jurisprudence considérable a été produite sur le sujet par les chambres
de recours de l’Office européen des brevets et les tribunaux des États membres7 . De nombreuses personnes demandent que soit condamné cet office qui a clairement outrepassé ses
droits.
Le 20 février 2002, la Commission européenne a présenté une proposition de directive
concernant la brevetabilité des « inventions mises en œuvre par ordinateur ».
Toujours d’après l’article de Mr Trialle, la proposition de directive distingue deux types
d’inventions :
1. les inventions dont la mise en œuvre implique l’usage d’un programme informatique
7
cf l’article de Jean-Paul Trialle
Le copyright
165
et qui offrent une ”contribution technique” - en d’autres termes, qui contribuent à
l’État de la technique dans le domaine technique - pourront être brevetées ;
2. mais, conformément à la CBE, les programmes informatiques en tant que tels ne
pourront pas être brevetés, ni d’ailleurs les méthodes pour l’exercice d’activités
économiques (”business methods”) qui sont fondées sur des idées technologiques
existantes et les appliquent, par exemple, en matière de commerce électronique.
En vertu de la proposition, une invention mise en œuvre par ordinateur devra, dans les
États membres, être considérée comme appartenant à un domaine technique (article 3).
Cette invention sera brevetable à la condition qu’elle soit susceptible d’application industrielle, qu’elle soit nouvelle et qu’elle implique une activité inventive (article 4.1) ; c’est là
la règle de base dans le domaine du droit des brevets.
La troisième condition fait l’objet de trois dispositions spécifiques clés qui l’explicite :
1. pour impliquer pareille activité inventive, une invention mise en œuvre par ordinateur
devra apporter une «contribution technique» (article 4.2.) ;
2. une contribution technique est définie comme «une contribution à l’État de la technique dans un domaine technique, qui n’est pas évidente pour une personne du
métier » (article 2.b) ;
3. enfin, cette contribution technique devra s’évaluer en prenant en considération la
différence entre l’objet de la revendication de brevet considéré dans son ensemble,
dont les éléments peuvent comprendre des caractéristiques techniques et non techniques, et l’État de la technique (article 4.3.).
Une invention mise en œuvre par ordinateur, qui apporte une contribution à l’État de
la technique dans un domaine technique, et qui n’est pas évidente pour une personne du
métier, est autre chose qu’un programme informatique « en tant que tel » et pourra donc
être brevetée. Elle pourra l’être, selon les cas, en tant que produit ou en tant que procédé.
Pour l’alliance EuroLinux, cette proposition de directive de la CE est extrêmement peu
claire et tend à valider le principe de brevabilité des logiciels.
166
Chapitre 10
Chapitre 11
La vie privée sur Internet
La Convention Européenne de sauvegarde des Droits de l’Homme et des Libertés fondamentales indique que :
Article 8
Toute personne a droit au respect de sa vie privée et familiale, de son
domicile et de sa correspondance.
Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit...
Il est à noter que
– le droit à la vie privée peut entrer en conflit avec le droit d’expression et en particulier
la liberté de la presse,
– la protection de la vie privée entre en conflit avec les besoins d’investigation des polices,
– l’informatique décuple les possibilités de fichage et de recoupement des informations
personnelles.
Il s’agit donc pour le législateur de trouver un équilibre entre les droits et les besoins.
11.1
La collecte de données nominatives
Il existe principalement 2 façons d’identifier un surfeur :
– en lui demandant de remplir un formulaire ;
– en utilisant les cookies et autres informations qu’envoie son navigateur (adresse mail,
version du système d’exploitation...) (cf JunkBuster)
Autant la première est claire, autant la seconde est pernicieuse, à tel point que la circulaire
gouvernementale relative aux sites Web de l’administration (section 2.4 sur la vie privée)
demande de ne pas les utiliser.
Dans tous les cas, si cette identification mène à la création d’une base contenant des
données personnelles et nominatives (ou simplement qui permettent de reconnaı̂tre une
personne), alors, selon la loi française Informatique et Liberté, cette base nominative doit
167
168
Chapitre 11
être déclarée auprès de la CNIL. Il est aussi demandé de préciser à vos clients ou aux surfeurs qui remplissent vos formulaires leur droit de correction sur toute donnée les concernant.
En France ces obligations sont généralement respectées.
En cas de difficulté à exercer ses droits liés à la loi Informatique et Liberté1 , il entre dans
les compétences de la CNIL de recevoir les plaintes de tout citoyen comme elle le précise
sur son site :
La CNIL reçoit et instruit les plaintes, réclamations et pétitions dont peut
la saisir, par simple lettre, tout citoyen.
Elle apprécie la suite à leur réserver : classement, avertissement, saisine
du Parquet.
Pour imposer le respect de la loi, la CNIL préfère la concertation à la
répression et s’efforce de régler les litiges par des solutions amiables. Dans la
plupart des cas, elle obtient, par sa simple intervention, une solution satisfaisante pour les parties.
Au niveau européen la directive 2002/58/CE du Parlement européen et du Conseil du
12 juillet 2002 traite des données à caractère personnel et de la protection de la vie privée
dans le secteur des communications électroniques. Elle complète la directive 95/46/CE de
1995.
La directive de 95 spécifie :
Article 6
1. Les États membres prévoient que les données à caractère personnel doivent
être :
a) traitées loyalement et licitement ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne
pas être traitées ultérieurement de manière incompatible avec ces finalités. Un
traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas
réputé incompatible pour autant que les États membres prévoient des garanties
appropriées ;
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;
d) exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables
doivent être prises pour que les données inexactes ou incomplètes, au regard
des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont
traitées ultérieurement, soient effacées ou rectifiées ;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des
La loi informatique et liberté a été entièrement mise à jour le 6 août 2004 (loi n◦ 2004-801). La
principale différence avec la précédente est un net retrait dans le contrôle des fichiers de l’Etat mais un
renforcement pour les autres accompagné d’un renforcement des pouvoir de la CNIL, toujours vis à vis de
tout ce qui ne touche pas l’Etat.
1
169
finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées
ultérieurement. Les États membres prévoient des garanties appropriées pour
les données à caractère personnel qui sont conservées au-delà de la période
précitée, à des fins historiques, statistiques ou scientifiques.
2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1.
Article 10 Informations en cas de collecte de données auprès de la personne
concernée
Les États membres prévoient que le responsable du traitement ou son représentant
doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en
est déjà informée :
a) l’identité du responsable du traitement et, le cas échéant, de son représentant ;
b) les finalités du traitement auquel les données sont destinées ;
c) toute information supplémentaire telle que :
- les destinataires ou les catégories de destinataires des données,
- le fait de savoir si la réponse aux questions est obligatoire ou facultative
ainsi que les conséquences éventuelles d’un défaut de réponse,
- l’existence d’un droit d’accès aux données la concernant et de rectification
de ces données, dans la mesure où, compte tenu des circonstances particulières
dans lesquelles les données sont collectées, ces informations supplémentaires
sont nécessaires pour assurer à l’égard de la personne concernée un traitement
loyal des données.
Aux États-Unis une loi a été votée en 2000 afin de protéger les enfants, le Children’s
Online Privacy Protection Act. Elle interdit la collecte de données personnelles d’enfants
de moins de 13 ans.
Un accord avec l’Europe, le U.S. Safe Harbor Agreement permet aux entreprises américaines
de respecter la directive 95/46/CE. Cet accord concerne les entreprises américaines en relation avec des entreprises ou des clients européens. Inversement, les entreprises européennes
désirant travailler avec des entreprises américaines doivent leur demander de respecter cet
accord.
En dehors de ces lois, les bases de données nominatives sont utilisées commercialement
sans aucun contrôle. L’Electronic Privacy Information Center (EPIC) a ainsi dénoncé la
création d’une telle base par l’agence de publicité DoubleClick (cf cookies et base nominative de DoubleClik).
Cependant, conscients de la mauvaise publicité que se font les sites utilisant les données
personnelles de leurs surfeurs comme des produits commerciaux quelconques, près de 90%2
des grands sites Web commerciaux ont défini une charte de confidentialité (privacy policy)
indiquant leur politique en la matière. Malheureusement force est de constater que ces
chartes, trop complexes, trop longues et trop changeantes, sont rarement lues.
2
en 2002, contre 14% en 2000
170
Chapitre 11
L’exemple récent du changement brutal de la charte d’Amazon qui considère dorénavant
que ses fichiers client sont des biens vendables, n’est pas fait pour rassurer. Il est à souhaiter
que la lettre ouverte au procureur général de JunkBuster et de l’EPIC, soulignant la
trahison et le risque lié à la vente par une société d’information sur les choix de lecture de
ses clients, sera entendue.
11.1.1
Les données enregistrées par les FAI
L’une des conséquences de l’attaque des tours du WTC le 11 septembre 2001 aura été
la réduction des libertés dans l’ensemble des démocraties occidentales3 . La France n’y
échappe pas avec sa célèbre loi sur la sécurité quotidienne, la LSQ.
Concernant Internet, cette loi touche principalement l’archivage des journaux (logs) et la
cryptographie. Suivant la LSQ les journaux, devront être gardés 1 an par les FAI4 ainsi
que les données personnelles de leurs abonnés.
Article 29
II. - Pour les besoins de la recherche, de la constatation et de la poursuite
des infractions pénales, et dans le seul but de permettre, en tant que de besoin,
la mise à disposition de l’autorité judiciaire d’informations, il peut être différé
pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre
anonymes certaines catégories de données techniques.
Le 7 décembre 2001 l’Assemblée Nationale a voté un amendement à la loi de finance
rectificative qui étend l’accès aux données de connexion aux agents des douanes et aux
enquêteurs de la Commission des opérations boursières (Cob). La semaine suivante, le
Sénat en a profité pour proposer un nouvel amendement ”qui étend ce droit aux agents
de l’administration fiscale”.
Le parlement Européen a aussi voté le 30 mai 2002 pour la rétention des données privées
avec l’amendement 46, 2e partie, dédié à Internet et à la conservation des journaux5 .
Ce vote est surprenant car en contradiction avec le vote du 13 novembre 2001 en première
lecture. Il semble qu’entre temps les 2 principales formations du parlement européen, le
PSE et le PPE, aient été rappelées à l’ordre par les gouvernements des différents pays
lesquels ont subit les foudres des américains et du G8 pas contents.
Selon The European Voice, un journal en langue anglaise édité à Bruxelles,
Bush a écrit une lettre au premier ministre belge Guy Verhofstadt, actuel
président de l’UE, il y a une quinzaine de jours. Il y explique que les États-Unis
s’opposent au principe de l’effacement automatique des données de connexion,
un principe pourtant inscrit dans le projet de directive “Vie privée et protection
des données personnelles dans les communications électroniques”6
3
Le site de Reporters Sans Frontière, Libertés immuables, montre l’ampleur du phénomène.
3 ans après cette loi faite dans l’urgence face au terrorisme, les décrets d’application de cette loi ne
sont toujours pas publiés.
5
contre le plus souvent 3 mois avant
6
extrait d’un article de ZDNet du 6 novembre 2001
4
171
Le même article ajoute :
Les députés européens, favorables à une limitation des droits de surveillance
policiers, ont été confortés dans leur opinion par un rapport du Service juridique du Conseil des 15, rendu le 12 octobre et évoqué par Statewatch. Ce rapport explique que les gouvernements de l’UE ont déjà les pouvoirs nécessaires
pour intercepter les télécommunications en vue de combattre le terrorisme. Toutefois, il indique que ces pouvoirs ne doivent pas être étendus aux enquêtes
criminelles ”classiques”.
« Bush ne demande pas simplement un pouvoir contre les terroristes, il
réclame quelque chose de plus général », explique Tony Bunyan, directeur de
l’organisation britannique Statewatch.
Un exemple de liste de données à conserver est décrite sur le site de la réunion des ministres
de la Justice et de l’Intérieur du G8 avec en particulier :
Serveur de courriel
journal SMTP (Protocole de transfert de courrier simple)
–
–
–
–
–
–
–
–
–
–
–
11.2
date et heure de connexion du client au serveur
adresse IP de l’ordinateur d’envoi
message-ID (msgid)
expéditeur (login@domain)
destinataire (login@domain)
indicateur de situation
journal du POP (Post Office Protocol) ou du IMAP (Protocole d’accès
message Internet)
date et heure de connexion du client au serveur
adresse IP du client connecté au serveur
ID utilisateur
dans certains cas, renseignements sur le courriel récupéré
Le réseautage
Il est classique d’avoir des réseaux d’amis et de collaborateurs. Ses réseaux permettent
de rencontrer d’autres personnes et d’étendre ses relations ou de répondre à un besoin
ponctuel. Cela marche le plus souvent par bouche à oreille.
Avec Internet tout cela peut être mis en forme, en forme de graphe. Ainsi on dispose d’un
outil qui indique que telle personne connait une personne que je connais et donc que si je
veux entrer en contact avec elle, le plus simple est que je demande à notre connaissance
commune de nous mettre en contact, ce qui sera bien plus efficace qu’un contact direct.
En se basant sur ce principe, divers sites web propose de rejoindre leur graphe de relation
en se faisant invité par une des personnes du graphe, puis en remplissant son CV afin
172
Chapitre 11
qu’une personne en cherchant une autre suivant des critéres précis, puisseavoir une liste
et savoir à combien de connaissance se trouve la cible. Ainsi :
– Ortuk a crée un réseau d’amis, qui permet à une personne de chercher, par exemple, le
geek au yeux bleu le plus proche en terme d’amis intermédiaires,
– LinkedIn a crée un réseau professionnel qui permet de selectionner des personnes suivant
des critères professionnel puis de savoir quels contacts activer pour être présenter à ces
personnes.
Si ces services présentent a priori une aide réelle, la question est de savoir qui gère toutes
ces données intimes et dans quels buts ?
11.3
La concentration des moyens
Google dispose :
– d’un moteur de recherche qui permet de savoir quelle machine cherche quoi,
– de l’archive des formums (usenet) qui permet de savoir qui poste quoi depuis quelle
machine,
– d’une agence de publicité qui peut permettre de suivre les internautes sur les sites qui
diffuse les publicités gérées par Google,
– d’Ortuk, le réseau d’amis.
Il y a-t-il un danger pour la vie privée des internautes ?
11.4
L’usage de la cryptographie
La cryptographie est la seule façon de protéger une communication sur Internet. Elle est
importante tant pour les personnes que pour le commerce. Il a fallu attendre 1999 pour
que soit autorisé l’utilisation de clé de 128 bits pour les navigateurs alors que dès l’été 95
SSL 40 bits était cassé.
Décret no 99-199 du 17 mars 1999 définissant les catégories de moyens et de
prestations de cryptologie pour lesquelles la procédure de déclaration préalable
est substituée à celle d’autorisation
...
2 - Matériels ou logiciels offrant un service de confidentialité mis en oeuvre
par un algorithme dont la clef est d’une longueur supérieure à 40 bits et
inférieure à 128 bits. (la déclaration se substitue à l’autorisation pour la fourniture, utilisation et importation)
173
Authentification
Signature
Intégrité
Clé de chiffrement inférieure
ou égale à 40 bits
Clé de chiffrement strictement supérieure à 40 bits et
inférieure ou égale à 128 bits
Clé de chiffrement strictement
supérieure à 128 bits gérée par
un tiers de confiance (3)
Clé de chiffrement strictement
supérieure à 128 bits
Utilisation
Libre
Fourniture
Déclaration simplifiée
Importation (1)
Libre
Libre
Déclaration
Libre
Libre (2)
Déclaration
Libre (2)
Libre
Autorisation
Autorisation
Autorisée (4)
Autorisation
Autorisation
Tab. 11.1 – Réglementation française en matière d’utilisation, de fourniture et d’importation de moyens de cryptologie en France
source : DCSSI
(1) uniquement des pays extérieurs à l’Union européenne.
(2) soumise à Déclaration seulement si le fournisseur ou l’importateur ne l’a pas déjà déclaré et si
le moyen de cryptologie n’est pas exclusivement destiné à usage personnel.
(3) un tiers de confiance est une organisation agréée par la DCSSI pour gérer les clés de chiffrement
des utilisateurs. Ce tiers de confiance doit remettre les clés aux autorités judiciaires et de sécurité
sur requête de leur part.
(4) à condition que lesdits matériels ou logiciels aient fait l’objet d’une autorisation de fourniture
en vue d’une utilisation générale. Sinon, une demande d’autorisation d’utilisation personnelle doit
être adressée à la DCSSI
Cependant, après une décision difficilement arrachée pour la libération de la cryptographie,
la France semble vouloir faire marche arrière. La cryptographie est reprise en main par
l’article 31 de la LSQ7 :
Article 31
Art. 11-1. - Les personnes physiques ou morales qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité sont tenues
de remettre aux agents autorisés dans les conditions prévues à l’article 4, sur
leur demande, les conventions permettant le déchiffrement des données transformées au moyen des prestations qu’elles ont fournies. Les agents autorisés
peuvent demander aux fournisseurs de prestations susmentionnés de mettre
eux-mêmes en oeuvre ces conventions, sauf si ceux-ci démontrent qu’ils ne
sont pas en mesure de satisfaire à ces réquisitions. Le fait de ne pas déférer,
dans ces conditions, aux demandes des autorités habilitées est puni de deux
ans d’emprisonnement et de 30 000 Euros d’amende.
7
Le décret d’applications a été publié le 16 juillet 2002
174
Chapitre 11
En clair, cela implique que les logiciels de cryptographie devront avoir une porte dérobée
pour permettre de décoder n’importe quel message avec tous les risques que cela implique.
11.5
La protection par l’anonymat
Plutôt que d’interroger directement les sites web, l’internaute a la possibilité de demander
à des sites anonymiseur de le faire à sa place. Parmi ces sites, citons :
– http ://www.anonymizer.com/
– http ://anonymizer.autistici.org/english/, voir le howto pour l’utiliser.
La résistance des anonymiseurs ne doit jamais être considérée comme garantie comme on
a pu le constater dès 1995 lorsque l’église de la scientologie obtint l’identité de l’auteur
d’un message anonyme la concernant.
11.6
Une solution technique : P3P
Fig. 11.1 – Le modèle P3P
source : Joint Research Center P3P Resource Center
La Platform for Privacy Preferences, P3P, introduite par le W3C, est une des réponses
proposées pour permettre de retrouver la confiance des internaute. Son but est d’aider le
surfeur à garder le contrôle des traces qu’il laisse sur les différents sites, avec une attention
particulière pour les données personnelles.
Elle repose sur un protocole compréhensible par la machine pour décrire les chartes de
175
Fig. 11.2 – Choix des préférences du filtre Privacy Bird
confidentialité des sites web. Cela permet de créer des agents chargés de faire le travail de
lecture et de comparer la charte d’un site avec les préférences de l’utilisateur, afin d’avertir
ce dernier en cas de désaccord et éventuellement de bloquer la diffusion d’information. P3P
permet en particulier de refuser des cookies qui ne rempliraient pas les conditions choisies
par le surfeur (cf figure 11.1).
D’un point de vue pratique, P3P se présente pour le serveur comme un ensemble de fichiers
XML et d’en-têtes HTTP permettant de décrire les données collectées, dans quels buts et
dans quel contexte. Aujourd’hui rares sont les sites respectant P3P. Le W3C en propose
une liste.
Pour le client, il nécessite un navigateur compatible afin de déchiffrer les fichiers XML de
P3P. Pour l’instant seul Internet Explorer est compatible P3P. Son extension Privacy Bird
d’AT&T permet de régler simplement ses filtres et d’afficher la charte d’un site.
Malgré un effort louable, P3P n’est pas la solution miracle. Les critiques sont essentiellement de trois natures :
– Technique : P3P est mal fait, avec en particulier le manque de catégories et de précision
dans les catégories. Ainsi il est difficile de savoir comment classer les questions de
cosmétique. De même lorsqu’on collecte de l’information dans un but de marketing,
176
Chapitre 11
Fig. 11.3 – Fin du résumé d’une charte compatible avec les choix du surfeur, le fond est
vert
cela entre dans la catégorie ” Recherche et développement ”.
– L’efficacité : P3P ne garantit en rien la protection de la vie privée, sous entendu il faut
une protection législative ce qui n’est pas le cas aux Etats-Unis.
– Le danger : À l’inverse du point de vue américain précédent, l’Europe peut craindre
que la configuration des agents ne soit pas aux normes européennes et donc abaisse le
niveau de protection de fait comme l’indique le groupe de travail sur la protection des
données personnelles de la C.E. :
Étant donné que la plupart des internautes n’est guère susceptible de modifier des paramètres préconfigurés sur leur logiciel de navigation, la configuration “par défaut” des choix de l’utilisateur en matière de respect de sa vie
privée influera considérablement sur le niveau global de protection de la vie
privée en ligne.
L’article de Karen Coyle, “P3P : Pretty Poor Privacy ?” complète ces critiques. Le Center
for Democracy and Technology a publié une réponse à ces critiques, réponse disponible à
partir de l’article d’origine.
Plus
La commission européenne dispose d’un site web dédié à la protection des données.
On regardera aussi les travaux du groupe Article 29 de la directive 95/46/CE sur la
protection des données.
En France et ailleurs des associations veillent :
– la FIL, Fédération Informatique et Liberté,
– “Souriez vous êtes filmés”,
– Privacy International
Fig. 11.4 – Les Big Brother Awards Français
177
178
Chapitre 11
Chapitre 12
Risques et devoirs de l’entreprise
en ligne
12.1
La vente
Le commerce électronique est de la vente à distance, le régime de protection des consommateurs prévu pour ce type de vente y est donc applicable. Aussi on n’abordera pas les
aspects de rétractation, de délai de livraison, de conformité du bien et les autres obligations
pour lesquelles Internet n’a pas d’influence.
12.1.1
Contrat à distance
Un contrat peut se définir comme un acte juridique formé par l’accord de 2 ou plusieurs
volontés individuelles.
Le problème sur Internet est la matérialisation de cette volonté.
Un simple clic ne semble pas pouvoir être la manifestation de cette volonté étant donnée
l’habitude de surfer (butiner) des internautes1 . On ne doit pas pouvoir être engagé par
inadvertance. L’entreprise qui s’en contenterait pour livrer de la marchandise pourrait
se voir reprocher de faire des envois forcés. La page de confirmation de l’acte semble un
minimum.
Une technique classique consiste à demander au client une confirmation par mail. Cela
permet en plus d’avoir une meilleure garantie sur l’identité du client.
L’identification de l’âge
Les mineurs ne peuvent pas agir juridiquement sans l’intermédiaire d’un représentant légal.
1
cf art 11 de la directive européenne du 8 juin 2000 dite sur le commerce électronique.
179
180
Chapitre 12
Cependant la jurisprudence admet que le mineur puisse effectuer certains actes de la vie
courante comme des achats de coût limité (jeux, vélomoteur). Mais les parents ne sont pas
tenus des obligations des contrats passés par leurs enfants mineurs, si l’enfant n’est pas
solvable par exemple.
Un autre cas important concernant l’identification de l’âge sur Internet est la diffusion
de matériel pornographique. Le vendeur risque alors 3 ans de prison et 500 000 francs
d’amende.
12.1.2
Les produits vendus
Certains produits et services ne peuvent être vendus en France que par certaines personnes ou sous certaines conditions (cf [FL02]). Est ainsi réglementée la vente de produits
pharmaceutiques, de voyage, d’enseignement privé, ou les services d’avocats par exemple.
D’autres produits ont une réglementation concernant leur publicité :
–
–
–
–
–
–
le tabac et les boissons alcoolisées (loi Evin),
produits de contraception,
produits diététiques et de régime,
produits financiers d’assurances,
les prêts d’argent,
les armes à feu, etc
12.1.3
La TVA
A l’entrée dans l’Union européenne, tous les colis d’une valeur inférieure à 150 F bénéficient
d’une franchise de droits de douane (en général peu élevés). Mais le paiement de la TVA
(19,6%, le plus souvent) à la douane reste dû pour les envois de faible valeur qui résultent
de la vente par correspondance (via Internet ou non)2 .
Le représentant en France de la société étrangère de vente par correspondance acquitte
mensuellement au bureau de douane les droits et taxes dus pour tous les colis importés
durant cette période.
Pour la vente intra-communautaire, la TVA est celle du pays d’origine. Elle est incluse
dans le prix.
Si légalement tout est bien défini, Internet pose un problème spécifique : comment taxer
la vente de produits immatériaux comme un logiciel, un CD..., achetés et téléchargés par
Internet ?
La TéléTVA Il est à noter que la TVA peut être payée par Internet à l’aide de la
TéléTVA mise en place par la direction générale des impôts suite à l’arrêté du 4 juillet
2001 qui indique :
2
cf le site des douanes sur le commerce électronique pour toute information pratique.
Risques et devoirs de l’entreprise en ligne
181
Art. 2. - Ce traitement a pour finalité de permettre aux redevables de la taxe
sur la valeur ajoutée et des taxes assimilées de transmettre par voie électronique
les informations contenues dans les déclarations de ces taxes ainsi que dans
leurs annexes et d’effectuer les paiements correspondants.
Ce télépaiement de la TVA est obligatoire pour les entreprises réalisant plus de 15 millions
d’euros de chiffre d’affaires annuel ainsi que pour celle indiquées dans l’article 1649 quarter
B quarter du code général des impôts.
12.2
La signature électronique
Le décret du 30 mars 2001, publié un an après la loi modifiant le droit de la preuve3 permet
d’utiliser la signature électronique sécurisée comme preuve de sa volonté. Cette étape est
très importante pour le commerce électronique qui pourra s’appuyer sur des bases solides
avec la garantie de non répudiation4 .
La loi spécifie que la signature électronique sécurisée doit répondre au exigences suivantes :
– être propre au signataire ;
– être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;
– garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de
l’acte soit détectable.
Le dispositif de signature électronique implique souvent une autorité de certification. Le
dispositif comme l’autorité doivent être validé par la DCSSI.
En pratique, on pourra suivre la démarche suivie pour la validation de GnuPG faite avec
succès par la Free Software Foundation européenne pour la partie dispositif.
Le ministère des finances propose aussi une liste de systèmes validés ou en cours de validation, cf les certificats des impôts.
Pour plus d’information, le site du premier ministre présente la signature et la certification
électronique.
12.3
Le courrier électronique
Outre les aspects de signature des mails que l’on a évoqués ci-dessus, le mail est source de
deux préoccupations :
– la surveillance des mails au sein de l’entreprise,
– l’utilisation du mail pour faire sa promotion.
A cela s’ajoute bien sûr le problème des virus que l’on n’abordera pas ici.
3
4
cf http ://www.internet-juridique.net/cryptographie/preuve.html
cf l’analyse de la chambre des notaires de Paris
182
Chapitre 12
12.3.1
La surveillance du courrier
La question de la surveillance du courrier de ses employés est délicate car le mail est un
outil de travail mais aussi un outil qui peut être utilisé pour un usage personnel. Aussi un
employeur qui ouvrirait le courrier de ses employés sans prendre gare peut être poursuivit
pour violation de la correspondance privée.
La démarche à suivre si un employeur désire avoir un droit de regard sur le mail de ses
employés5 , il doit respecter les règles suivantes comme l’indique le ministère des finances
dans sa page sur la cybersurveillance :
la légalité des contrôles pratiqués dans les entreprises (contrôle des connexions
à Internet et à la messagerie) dépend du respect par l’employeur de quatre
conditions :
– la preuve fournie par les enregistrements est illicite si les salariés n’ont
pas été informés des controles pratiqués,
– le comité d’entreprise doit avoir été préalablement consulté,
– les contrôles susceptibles d’être pratiqués doivent faire l’objet d’une déclaration
auprès de la CNIL,
– l’employeur doit respecter le principe de proportionnalité (article L 120-2
du code du Travail), c’est-à-dire que l’employeur ne peut prendre connaissance d’un fichier intitulé ”Personnel” sans abuser de son pouvoir et doit
reconnaitre à ses employés le droit, même au temps et lieu de travail, au
respect de l’intimité de sa vie privée.
On trouvera aussi des informations à ce sujet sur le site du forum de l’internet (agence
financée par l’Etat) : www.droitdunet.fr.
12.3.2
Le spam
Pour une entreprise, le courrier électronique est un outil merveilleux puisque d’un coût
pratiquement négligeable et surtout pouvant multiplier un mail à l’infini sans surcharge
de travail pour la personne en charge de la communication. Aussi il est tentant d’utiliser
le mail pour faire du mailing.
Le risque est de ne pas faire du mailing mais du spamming en envoyant des mails à des
personnes qui n’ont rien demandé.
Les spams sont par définition les mails non sollicités. Ils sont très peu appréciés par les
destinataires pour la gène qu’ils occasionnent. En plus de l’aspect déplaisant d’avoir ses
véritables mails perdus au milieu d’immondices, les spams occupent de l’espace disque et
peuvent ainsi bloquer le mail d’une personne en remplissant sa boite, ils utilisent de la
bande passante et du temps de connexion. La Commission européenne a estimé, dans un
rapport de février 2001, le coût de cette gène technique à 10 milliards d’euros par an.
Les spams sont illégaux en Europe et dans 19 États américains.
5
ne serait-ce que pour récupérer un document de travail alors que l’employé est en vacance.
183
Article 25 de la loi «informatique et liberté»
La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite
est interdite.
Article 6 de la directive européenne «protection des données à caractère
personnel»
1. Les États membres prévoient que les données à caractère personnel doivent
être :
a) traitées loyalement et licitement ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne
pas être traitées ultérieurement de manière incompatible avec ces finalités. Un
traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas
réputé incompatible pour autant que les États membres prévoient des garanties
appropriées ;
...
En collectant des adresses mails sur des sites Web, dans des forums, des listes de diffusion
et partout où ils peuvent, les spammeurs constituent de façon déloyale des bases de données
nominatives clandestines.
Bien sûr, une adresse mail est une donnée personnelle ce que confirme la CNIL suivant la
définition de la directive européenne :
Article 2 de la directive européenne «protection des données à caractère
personnel»
Définitions
Aux fins de la présente directive, on entend par :
a) «données à caractère personnel» : toute information concernant une
personne physique identifiée ou identifiable (personne concernée) ; est réputée
identifiable une personne qui peut être identifiée, directement ou indirectement,
notamment par référence à un numéro d’identification ou à un ou plusieurs
éléments spécifiques, propres à son identité physique, physiologique, psychique,
économique, culturelle ou sociale ;
...
La commission européenne a tenu à être encore plus claire avec sa directive du 12 juillet
2002 :
Paragraphe 40 de la directive européenne 2002/58/CE
Il importe de protéger les abonnés contre toute violation de leur vie privée
par des communications non sollicitées effectuées à des fins de prospection
directe,en particulier au moyen d’automates d’appel,de télécopies et de courriers électroniques, y compris les messages courts (SMS). Si ces formes de
communications commerciales non sollicitées peuvent être relativement faciles
et peu onéreuses à envoyer, elles peuvent,en revanche imposer une charge
et/ou un coût à leur destinataire. En outre, dans certains cas,leur volume
peut poser un problème pour les réseaux de communications électroniques et
184
Chapitre 12
les équipements terminaux. S’agissant de ces formes de communications non
sollicitées effectuées à des fins de prospection directe,il est justifié d’exiger de
l’expéditeur qu’il ait obtenu le consentement préalable du destinataire avant de
les lui envoyer...
Opt-in, Opt-out Cette directive de la CE confirme ce qui était déjà en application
dans certains pays européen, à savoir l’obligation d’avoir l’accord explicite d’une personne
avant de pouvoir lui envoyer un mail commercial non sollicité.
En jargon, cet accord explicite s’appelle l’Opt-in. Cela correspond à l’acte de cocher une
case dans un formulaire pour recevoir ultérieurement du courrier en relation avec la page
visité. Lorsque cette option est cochée par défaut dans le formulaire, il s’agit de l’Opt-out,
ce qui n’est pas considéré comme loyal par la CE et ne doit donc plus être utilisé.
Spam professionnel En mars 2005 la CNIL a surpris en changeant de position vis à vis
du spam. Elle considère aujourd’hui que le spam entre professionnels devrait être autorisé :
Se prononçant sur l’interprétation à donner à la loi pour la confiance dans
l’économie numérique, la CNIL a estimé, lors de sa séance du 17 février 2005,
que des personnes physiques peuvent être prospectées par courrier électronique
à leur adresse électronique professionnelle sans leur consentement préalable,
si le message leur est envoyé au titre de la fonction qu’elles exercent dans
l’organisme privé ou public qui leur a attribué cette adresse.
On retrouve cette tendance dans le commité de lutte contre le spam mis en place par le
premier ministre. Il semble qu’à quelques exceptions pret, les membres de ce commité sont
surtout désireux de trouver une façon de rendre acceptable le spam6 .
Les protections Il existe deux façons de se protéger : contre-attaque via les moyens
légaux en poursuivant les spammeurs et filtrer. Voici quelques liens relatifs à ces deux
façons :
–
–
–
–
le Collectif Anti Spam, comme son nom l’indique,
la coalition européenne EuroCAUCE lutte aussi contre le spam,
le site http ://spam.abuse.net est dans la même veine mais au niveau mondial,
le logiciel Spam Assassin note les mails en fonction de critères qui lui font “penser” qu’il
s’agit d’un spam. Il ne reste plus qu’à lui indiquer à partir de quelle note le mail va à
la poubelle,
– Tagged Message Delivery Agent (TMDA) est un autre système de filtrage de spam,
– dspam que votre serviteur utilise,
– ce moteur de recherche d’adresse IP dans les listes noires permet de tester les dites listes
noires.
6
comme dire que le mauvais spam vient de l’étranger alors que le spam français est
du bon nécessaire à la survie de nos petites entreprises, cf l’article de Georges Fischer sur
http ://www.domaines.info/chronique.php ?chronique id=50
185
Des condamnations de spammeurs ont déjà lieu comme le cas d’un FAI anglais contre
spammer US) ou en France celui d’ un spammeur qui a porté plainte contre des fournisseurs
qui l’avaient censuré, plainte considérée comme abusive et qui s’est donc retournée contre
le spammeur.
De son coté, la CNIL après avoir demandé aux internautes de lui faire suivre leurs spams, a
fait une analyse de ces spams et a porté plainte en octobre 2002 contre 5 sociétés spécialisée
dans l’envoi de spam.
12.4
Le piratage et malveillances
Du point de vue légal, l’intrusion dans un système informatique est un délit défini dans le
code pénal, quoi qu’on fasse une fois entré, et quelle que soit la sécurité du dit système.
La modification de données, après l’intrusion, constitue une circonstance aggravante.
Code Pénal - Des atteintes aux systèmes de traitement automatisé de données
(loi Godfrain révisée par la Loi sur l’Economie Numérique du 21 juin 2004)
Article 323-1 :
Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie
d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 ¤ d’amende.
Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la
peine est de trois ans d’emprisonnement et de 45 000 ¤ d’amende.
Article 323-2 :
Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de
75 000 ¤ d’amende.
Article 323-3 :
Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement des données
qu’il contient est puni de cinq ans d’emprisonnement et de 75 000 ¤ d’amende.
L’organisme chargé d’enregistrer les plaintes concernant ces délits est la Brigade d’Enquêtes
des Fraudes aux Technologies de l’Information (BEFTI) de la Police Judiciaire pour Paris
et la petite couronne. Son équivalent pour la province est l’Office Central de Lutte contre
la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC).
186
Chapitre 12
Fig. 12.1 – Organigramme de la Police avec la répartition Province/Paris
BEFTI
163 av d’Italie, 75013 Paris,
Tél : 01 40 79 67 39
Fax : 01 40 79 77 21
Porter plainte en partie civile augmente significativement les chances de voir le parquet
décider de poursuivre l’auteur du délit une fois identifié.
Les limites de l’intrusion Le simple fait de surfer a failli être considéré comme une
intrusion. Le rédacteur de Kitetoa l’a appris à ses dépens en montrant avec son navigateur
que la société Tati ne protégeait pas les données nominatives qu’elle avait recueillies suite
à un sondage, cf la jurisprudence Kitetoa vs Tati.
Si le tribunal a reconnu la culpabilité de la société Tati qui n’a pas protégé ces données
nominatives, article 226-17 du Code pénal, celle ci ne peut plus être poursuivie, les faits
étant prescrits.
Le Parquet Général ayant fait appel de ce jugement, l’affaire a été rejugée le 30 octobre
2002 et Kitétoa innocenté au motif qu’
il ne peut être reproché à un internaute d’accéder, ou de se maintenir dans
les parties des sites qui peuvent être atteintes par la simple utilisation d’un
logiciel grand public de navigation
Chapitre 13
Régulation, co-régulation et
autorégulation
13.1
La régulation technique
La création d’Internet s’est faite sur un nombre important de règles d’usage, les protocoles. Sans protocoles adoptés par tous, pas d’interopérabilité. Sans interopérabilité, pas
d’interconnexion et sans interconnexion pas d’Internet.
Le régulateur historique d’Internet est l’Internet Engineering Task Force (IETF) dont
les protocoles sont adoptés par l’ensemble des intervenants, du constructeur à l’administrateur, afin de conserver cette interopérabilité vitale. Aujourd’hui on retrouve ce même
schéma au niveau du Web avec le W3C, la différence principale résidant dans le fonctionnement de ces organisations.
Cette régulation de l’IETF au niveau d’Internet a deux caractéristiques inédites :
– des règles mondiales sont misent en place sans que les États soient impliqués,
– l’organisme responsable, l’IETF, n’a pas de statut, il ne s’agit que de listes de diffusion
regroupant des volontaires.
A coté de cette régulation technique, des règles d’usage se sont développées. Une de ces
règles implicites était l’interdiction d’utiliser Internet comme outil de promotion commerciale. Cette règle date bien sûr de l’époque universitaire d’Internet, avant 1995.
Une autre règle bien pratique consistait à maintenir à jour la base whois qui permet de
savoir qui est le propriétaire d’un nom de domaine. il semble qu’aujourd’hui que la majorité
des données dans cette base soit fausse, volontairement ou périmées.
Aussi l’ICANN a joué son rôle de régulateur en demandant aux registrars de faire de sorte
que cette situation soit corrigée pour novembre 2003, cf le Whois Data Reminder Policy.
D’autres règles, dont la Netiquette, concernaient l’utilisation des ressources communes et
en particulier celle des forums.
187
188
Chapitre 13
13.2
RFC 1855 : la Netiquette
Dans le passé, la population des gens qui utilisait l’Internet avaient ”grandi”
avec l’Internet, était techniquement attentif et comprenait la nature du transport et des protocoles. Aujourd’hui, la communauté des utilisateurs de l’Internet
compte des gens qui sont nouveaux dans cet environnement.
Cette introduction de la Netiquette, écrite en 1995 sous forme de RFC, souligne la difficulté
d’autorégulation d’un média comme Internet lorsqu’il est ouvert au grand public.
Le problème est intrinsèque à la possibilité qu’offre Internet de se faire entendre auprès
d’un nombre potentiellement immense de personnes avec des risques de représailles très
faibles1 Il s’agit d’une forme de puissance qu’il n’est malheureusement pas toujours simple
à maı̂triser. D’un certain point de vue on retrouve sur Internet le syndrome de l’automobiliste, aimable en dehors de son véhicule, agressif à l’intérieur.
Les forums
Usenet, le réseau des forums,
appelé aussi les news, est probablement l’exemple d’autorégulation de plus visible
sur Internet.
Son fonctionnement repose
sur un ensemble de serveurs
de news qui se transmettent
entre eux les messages que
les internautes leur envoient.
Lorsque Pierre écrit dans le
forum fr.soc.politique depuis chez lui, son message
est transmis au serveur de
news de son fournisseur d’accès lequel le relaie à d’autres
serveurs, lesquels feront suivre à d’autres serveurs de leur connaissance et de fil en aiguille,
l’ensemble des serveurs qui diffusent le forum fr.soc.politique recevra le message de
Pierre. Ainsi, Nathalie pourra lire le message de Pierre quel que soit son serveur de news.
On voit que ce système dépend des relations qu’ont entre eux les serveurs de news. De plus
comme chaque serveur est une machine privée, rien oblige son gestionnaire à diffuser tel
forum ou à avoir des accords de diffusion avec tel autre serveur de news. Les gestionnaires
des serveurs de news ont le pouvoir de faire ce qu’ils veulent sur leur machine. En contre
partie, n’importe qui peut installer un serveur de news sur sa machine et avoir des accords
de diffusion avec d’autres serveurs.
D’un point de vue pratique, les gestionnaires des principaux serveurs de news s’entendent
1
Ce problème était moins aigu lorsque l’ensemble des internautes appartenaient au même monde de la
recherche et se rencontraient régulièrement. L’expérience des associations sur Internet montre que le ton
des mails des listes de diffusions change lorsque les personnes se sont rencontrées physiquement.
Régulation, co-régulation et autorégulation
189
entre eux et suivent les procédures officielles de gestions des forums2 . Ils délèguent ainsi
la gestion d’arborescences des forums à des gardiens du temple3 qui gèrent la création et
la fermeture des forums, ils mettent en place des robots chargés d’effacer immédiatement
des messages hors charte comme les spams ou les images dans un forum interdit d’images.
Les forums sont donc gérés par des parties privées comme l’est un groupe de discussion
sur un site web. La régulation est ce que les gestionnaires des serveurs veulent.
Si le fonctionnement semble peu démocratique, à l’usage Usenet est au contraire un espace
très démocratique, les gestionnaires n’intervenant que pour éviter les débordements qui
pénalisent le fonctionnement des forums et suivant la volonté exprimée lors de votes par
les utilisateurs.
Ce mode de fonctionnement n’exclut pas pour autant la possibilité d’une intervention de
la justice, en cas de texte dont le contenu est illégal par exemple.
13.3
L’ICANN et l’UDRP
Internet a aussi un organisme structuré et soutenu par les États, l’ICANN, qui gère le
nœud central de l’Internet à savoir la distribution des adresses IP et des noms de domaine
ainsi que le fonctionnement du DNS.
Cet organisme a mis en place des règles concernant la résolution des conflits dans l’attribution des noms de domaines. Il a ensuite imposé à ses sous-traitants, les registrars,
d’appliquer ces règles.
Il s’agit de l’Uniform Domain Name Dispute Resolution Policy
Ainsi le contrat du registrar Gandi précise à propos des conflits possibles lors de la
réservation d’un nom de domaine :
VIII. RESOLUTION DES CONFLITS
1. Avant toute action judiciaire, le Client et Gandi s’engagent à tenter de
résoudre tout différend à l’amiable.
2. La loi applicable au présent contrat entre le Client et Gandi est la loi
française. Les tribunaux compétents pour connaı̂tre de tout litige en rapport
avec le présent contrat sont les tribunaux de Paris ou ceux dont dépend le
domicile du détenteur du Nom de Domaine.
3. En cas de contestation sur l’utilisation des services de Gandi, les parties
conviennent que les enregistrements effectués par les équipements de Gandi
de l’utilisation des services d’enregistrement et particulièrement l’usage des
identifiants et codes d’accès personnels du Client, vaudront preuve entre les
parties.
4. Le Client reconnaı̂t avoir lu et compris et s’engager à respecter la charte
de résolution des conflits de l’ICANN (”Uniform Domain Name Dispute Resolution Policy” - UDRP), quel que soit son Nom de Domaine, disponible à
2
3
cf http ://www.usenet-fr.net/ pour la partie française
penaud dans le cas de fr.*
190
Chapitre 13
l’adresse suivante : http ://www.icann.org/udrp/udrp-policy-24oct99.htm (en
anglais) sur laquelle il pourra trouver des explications à l’adresse suivante :
http ://www.icann.org/udrp/ (en anglais)
Une copie de cette charte est disponible sur le site de Gandi à l’adresse
http ://www.gandi.net/docs/udrp-policy-24oct99.htm pour la version anglaise
et à l’adresse http ://www.gandi.net/docs/icannrules-fr.pdf pour la version
française (traduction effectuée par l’OMPI mais non spécifiquement approuvée
comme officielle par l’ICANN).
L’UDRP-DB tient le compte des litiges liés au noms de domaine résolus suivant l’UDRP.
Les statitsques depuis la mise en place de ce système donnent sur 9969 cas :
13.9% : le domaine n’était pas enregistré de mauvaise foi voire pas enregistré du tout,
30% : le domaine était enregistré dans le but de le revendre avec profit,
14.1% : le domaine était enregistré afin d’empècher le propriétaire légitime d’en profiter,
9.1% : l’enregistrement du domaine avait pour but d’interrompre l’activité d’un concurrent,
B 39.3% : le domaine enregistré avait pour but de créer la confusion avec une marque
connue pour attirer des clients,
B 15.1% : d’autres évidences de mauvaise foi.
B
B
B
B
13.4
Relations de la France avec Internet
En découvrant Internet dans le milieu des années 90, certains politiques ont eut un choc
et se sont fait fort de maı̂triser la bête. Il faut dire qu’à l’époque Internet était encore un
repère de hackers pédophiles nazis !
Le premier pas a été tenté en 1996 par le Ministre de Télécommunication d’alors, M.
Fillon, en voulant instaurer un conseil de surveillance de l’Internet.
Depuis quelques rapports forts intéressants sur la façon dont l’Etat pourrait, devrait ou
ne devrait pas intervenir sur Internet ont été écrits, dont le rapport du Conseil d’Etat de
1998 intitulé «Internet et les réseaux numériques» et celui du député Christian Paul «Du
droit et des libertés sur Internet» écrit en juillet 2000.
Ce dernier rapport suggérait en particulier la création d’un forum des droits sur l’internet
afin de se pencher sur la corégulation de l’internet où coexistent autorégulation des acteurs
privés et régulations des divers acteurs publics.
Ce forum indépendant subventionné par l’État est un lieu riche en informations.
13.5
Plus
L’article d’Eric Brousseau sur la Régulation d’Internet, cf [Bro01], est un texte très
intéressant sur le sujet.
Quatrième partie
La société de l’Internet
191
Chapitre 14
L’e-État
Derrière ce titre se cache la question de l’implication de l’État dans le développement de
l’Internet et l’impact de cet outil sur le fonctionnement de l’État. Il s’agit de deux aspects
bien distincts, abordés de façon différente suivant les pays.
Du point de vue français, ces deux aspects semblent avoir été traités à reculons. L’arrivée de
l’administration française sur Internet s’est effectuée suite à l’affaire du Journal Officiel. Il
a fallu qu’une initiative personnelle de mettre les textes officiels sur Internet gène la société
privée ayant l’exclusivité de la distribution de ces textes sur Minitel, pour que l’Etat se
décide à demander à cette société de faire ce travail de mise en ligne d’une loi que nul n’est
censé ignorer. Concernant le développement de l’Internet et son accès à tous pour réduire
la fracture numérique, là encore il est difficile de parler de volonté tangible de l’État qui
semble préférer s’en remettre au secteur privé et au mouvement associatif.
14.1
Internet Service Public
Le meilleur FAI ne serait-il pas l’ISP ?
14.1.1
La fracture numérique
La fracture numérique, après la fracture sociale, souligne l’inquiétude légitime de voir
une partie de la population exclue de l’usage d’Internet et des services associés. Cette inquiétude est d’autant plus importante qu’Internet offre un avantage éducatif et économique
très important à ses utilisateurs qui sont actuellement déjà les personnes les plus avantagées socialement.
La fracture numérique est un fait en France avec moins de deux millions de Français ayant
un accès au haut débit (cf fig 5.1.2). Ce choix de ne tenir compte que des connexions
haut débit n’est pas un snobisme d’informaticien mais est lié au fait que seul un abonnement à haut débit est forfaitaire et donc indépendant de l’usage. Il permet d’utiliser
“gratuitement” Internet ce qui change radicalement l’approche d’Internet. En plus seuls
les abonnements à haut débit offrent à leur clients la possibilité d’avoir leur machine
193
194
Chapitre 14
toujours connectée et donc de créer des serveurs visibles en permanence par les autres
internautes1 .
Bien sûr ce petit million ne prend pas en compte les millions de personnes qui ont un accès
professionnel, mais ce sont essentiellement des cols blancs et jamais des enfants.
La première condition pour réduire la fracture numérique est d’offrir à toute personne un
accès à haut débit à Internet. De ce point de vue un taux de pénétration dans les foyers
du couple ordinateur/Internet équivalent à celui de la télévision serait le véritable succès.
Le second point sensible concernant la fracture numérique est l’éducation. L’utilisation
d’Internet ne demande pas seulement de savoir utiliser un ordinateur mais demande aussi
de comprendre ce média, ses possibilités tout comme ses pièges. Pour cela il est nécessaire
d’apprendre et de comprendre le fonctionnement d’Internet, d’avoir les bases permettant
de suivre son évolution pour ne pas s’y sentir perdu. Mais surtout, l’éducation est la seule
sauvegarde possible face à un média ouvert à tous, sur lequel aucune censure protectrice
ne peut être efficacement mise en place2 . Il s’agit de donner les clés permettant de s’en
sortir face à des textes mensongers ou violents, face à des images traumatisantes.
On notera que les adultes sont les principales victimes de la barrière technico-psychologique
interdisant l’entrée dans le monde de l’Internet, quand les enfants sont les plus vulnérables
face aux pièges qui s’y trouvent. Si des centres d’apprentissages comme les Espaces Publics Numériques peuvent permettre aux premiers de franchir la barrière, l’école à l’énorme
responsabilité de préparer les seconds, cf le rapport «Comment protéger les jeunes Internautes ?» de S. Heller, [Hel00].
14.1.2
L’exemple suédois
La Suède est un pays très étendu qui a toujours favorisé les communications et télécommunications. Elle est le 4e pays exportateur de matériel de télécommunication. Elle est
aussi l’un des pays le mieux connecté à Internet et semble être bien partie pour le rester au
vue de ses ambitions précisées dans un rapport de 1999 «A future-proof IT infrastructure
for Sweden» du ministère suédois de l’industrie :
The vision is for everyone in Sweden to have, within five years, a
dedicated Internet connection of at least 5 Mbit/s costing no more
than a bus pass.
Every user, anywhere in Sweden, has at least five different Internet Service
Providers (ISP) to choose from. The user can choose freely between different
service providers and services and can always obtain good performance and
high-quality services. An infrastructure making this vision possible is based on
the existence of fibre capacity throughout the country - within 100 metres of
every building.
1
il est préférable dans ce cas d’avoir une adresse IP fixe mais si cela n’est pas obligatoire. Le fournisseur
d’accès Nerim offre une telle IP fixe à ses abonnés.
2
sauf à utiliser des mesures extrêmement coercitives ce qui n’est pas envisageable dans nos démocraties
L’e-État
195
Pour arriver à ce but la Suède a lancé en 2000 un programme de construction d’un nouveau
réseau de fibre optique. Comme le précise le Conseil Economique et Social dans son rapport
sur le haut débit de juin 2001, celui-ci comprendra trois composantes :
– la partie nationale (10 000 km), reliant entre elles les deux cent quatre vingt neuf villes
principales de chaque ” kommun ” (collectivité locale regroupant un certain nombre de
communes au sens français du terme). Le coût estimé est de 2,5 Mds de couronnes (280
millions d’Euros soit 1,8 Mds de francs) à la charge de l’exploitant public du réseau
électrique national (Svenska Kraftnät). La réalisation s’achèverait en décembre 2002 ;
– la partie régionale, desservant chaque ville au sein des ” kommun ”, dont il est supposé
qu’elle intéressera moins les opérateurs privés , et qui serait subventionnée par l’Etat
à hauteur de 2,6 Mds de couronnes (300 millions d’Euros soit 2 Mds de francs) sur un
coût de 5,2 Mds de couronnes (600 millions d’Euros soit 4 Mds de francs) ;
– la partie locale, devant raccorder chaque foyer, dont l’Etat soutiendrait la réalisation à
hauteur de 3,2 Mds de couronnes (360 millions d’Euros soit 2,4 Mds de francs) sur un
coût total estimé à 9,6 Mds de couronnes (1,1 Md d’Euros soit 7,2 Mds de francs).
L’apport de l’Etat s’élèverait donc à 8,3 Mds de couronnes (930 millions d’Euros soit 6,2
Mds de francs) sur quatre ans pour un investissement total estimé à 17 Mds de couronnes
(1,9 Mds d’Euros soit 12,7 Mds de francs). Le complément serait notamment apporté par
les collectivités territoriales, par les entreprises privées concernées et prélevé dans certaines
régions sur les fonds structurels européens dont elles bénéficient.
Les villes sont donc directement impliquées dans ce projet. En fait les villes ont même
changé le concept de la distribution d’Internet en transformant la connexion au particulier
de dernier kilomètre à premier kilomètre. Il ne s’agit plus de poser les dorsales3 puis de
tirer les filins depuis ces dorsales vers les particuliers, mais de relier les particuliers à travers
la ville puis de proposer à des opérateurs d’amener la dorsale qui permettra de raccorder
tous les habitants à Internet.
La ville de Tierp a ainsi décidé de se câbler entièrement et propose aujourd’hui un accès
10 Mbits à ses habitants. Elle offre des services municipaux en ligne, un accès aux écoles,
bibliothèques, elle permet à des industriels de mettre en place de services dont bien sur la
connexion à Internet, la téléphonie sur IP, la télévision numérique à la carte...
De nombreuses autres villes ont suivit cet exemple, elles se sont rassemblées dans l’Association suédoise des réseaux métropolitains (SSNf). dont l’objectif est de «fournir de
manière conjointe une infrastructure solide au bénéfice de toute la Suède (...) Les réseaux
des membres de la SSNf consistent en un ensemble de réseaux de tous types, depuis le
backbone jusqu’au réseau d’accès, et sont ensemble en passe d’atteindre une couverture
nationale.»
Enfin, le gouvernement suédois a mis en place en 1997 un système de défiscalisation des
PC offerts par les entreprises à leurs employés. Ce système à permis de distribuer 850 000
ordinateurs personnels ce qui a touché 2,4 millions de personnes soit plus du quart de la
population. Il semblerait que les ouvriers aient été les premiers bénéficiaires de ce programme.
3
câbles de très haut débit formant le squelette du réseau Intenet.
196
Chapitre 14
Cette action est liée à la volonté de connecter l’ensemble de la population, tout comme le
sont les actions de formation mises en place parallèlement.
Aujourd’hui, près d’un million de foyers suédois ce qui signifie qu’un habitant sur 5, est
relié a un reseau de larges bandes. L’augmentation du cnombre de connexions a été de 9%
pendant le premier trimestre 2003. Si ce boom se confirme, un tiers de la population sera
connecté d’ici la fin de l’année 4 .
14.1.3
En France
Le Conseil économique et social considère, pour sa part, que les évolutions
constatées depuis un an prouvent que le jeu du marché ne suffit pas à entraı̂ner, pour tous les territoires, leurs populations et leurs entreprises, un accès
équitable aux TIC. Seule une action publique volontariste peut permettre d’y
parvenir.
Conseil économique et social, nov. 2002
Lorsque France Télécom annonce pour fin 2002, «un taux de couverture nationale de
74% », il s’agit d’une couverture en nombre de personne et non en espace.5 Bref, l’ADSL,
puisque c’est la technologie haut débit proposée, n’est pas encore dans les campagnes.
De plus le haut débit offert par l’ADSL a un débit des dizaines de fois inférieur au
haut débit suédois. Par contre l’ADSL permet d’avoir une tarification forfaitaire, donc
indépendante de l’usage, et donc permettant d’avoir une connexion permanente, ce qui est
un point très important, voire le plus important, lorsqu’il s’agit d’utiliser pleinement les
possibilités d’Internet.
Ainsi la France s’équipe doucement en haut débit et permettra peut être à l’ensemble de
la population d’avoir une connexion permanente à Internet pour un coût raisonnable «à
l’horizon 2007 » comme le souhaite le gouvernement. Pour aller plus loin, vers la vision
suédoise par exemple, il faudra se reposer sur des initiatives locales, comme celle de la
ville de Pau avec son projet de déploiement fin 2003 d’un réseau local à 10Mbits, le Pau
Broadband Country6 .
Cependant il semble que le gouvernement ait le désir d’aider cette vision suédoise à voir le
jour. Il a lancé fin 2001 le projet d’un réseau national de fibres optiques sur lequel pourront
se connecter toutes les villes de plus de 7 000 habitants et la moitié de celles de 5 000 à
7 000 habitants. Ce réseau utilisera le réseau existant de fibres optiques doublant le réseau
des lignes électriques à très haute tension et très nettement sous exploité7 (cf fig 14.1). Le
Réseau de Transport d’Electricité, RTE, permettra de couvrir l’ensemble du territoire ce
que ne semble pas vouloir faire France Télécom.
4
étude realisee par Mediavision (qui interroge env. 700 personnes par semaine, entre 15 a 74 ans)
Il ne s’agit malheureusement pas d’une spécialité française mais d’une réalité économique qui devrait
donner au niveau européen pour 2005 une possibilité d’accès au débit de 2 Mb/s pour 85 % de la population,
mais seulement 20 % du territoire (étude IDATE).
6
depuis juin 2001 les villes peuvent déployer des réseaux en fibre optique ce qu’interdisait la loi auparavant, protégeant ainsi le monopole de France Télécom.
7
cf la présentation du projet par la RTE dans son dossier de presse de juin 2002.
5
L’e-État
197
La première application de cette volonté a été annoncé en juillet 2003 :
Forts de leur volonté politique de permettre l’accès à tous aux télécommunications
à haut débit, les pouvoirs publics ont ouvert la possibilité aux collectivités territoriales de recourir aux infrastructures du réseau public de transport d’électricité
pour déployer des fibres optiques dans les zones les moins accessibles du territoire.
Le Conseil général de la Manche a été la première collectivité territoriale
à saisir cette opportunité. C’est donc dans le département de la Manche que
RTE vient d’installer sur son réseau électrique le premier tronçon de fibres
optiques devant être mises à disposition d’une collectivité territoriale.
14.2
L’administration électronique
L’administration électronique est nettement plus simple à mettre en place qu’un réseau
national. Il ne s’agit que de changer le mode de fonctionnement de l’administration...
On commence par le plus simple : créer un site web qui permette d’informer les administrés.
Il s’agit d’un exercice classique pour les mairies qui ont pour la plupart leur journal
municipal. Pour les administrations nationales, la tâche était plus difficile et historiquement
les deux qui s’en sont sorties le mieux sont le ministère des affaires étrangères, contaminé
par l’ambassade des Etats-Unis probablement, et le ministère des finances, poussé par l’un
des rares ministres sensibles à ce nouveau média et aux services qu’il peut rendre.
Aujourd’hui l’administration française est bien présente sur Internet comme on peut le
constater via Annuaire des services de l’administration ou à travers son portail Service
Public.
Mais tous les ministères ne font pas preuve d’une même motivation. Alors que le ministère
des finances fait preuve d’une volonté d’avoir un site toujours plus utile, via l’usage des clés
signatures électroniques par exemple, la Documentation Française semble encore chercher
le profit quand sa mission est l’information. Ainsi le rapport de la CNIL est proposé à
la vente sur une de ses pages sans préciser qu’il est téléchargeable gratuitement sur son
site, mais à une autre page. Il est par contre bien précisé sur la page permettant de le
télécharger que l’on peut aussi l’acheter :
– en vente : http ://www.ladocumentationfrancaise.fr/catalogue/5664700000/index.shtml
– téléchargeable : http ://www.ladocumentationfrancaise.fr/brp/notices/024000377.shtml
D’autres sites cherchent à impressionner avec des images et présentations animées sans
penser que cela demande une connexion rapide et surtout qu’un site sans mode texte
n’est pas lisible par des aveugles ou des personnes mal-voyantes. D’autre produisent des
URL temporaires ou cachées dans des frames ce qui rend difficile voire impossible leur
référencement.
Malgré ces remarques, la marche vers une administration électronique semble bien partie.
Des villes aux ministères, que cela soit à travers des sites web d’information, via le mail,
198
Chapitre 14
la signature électronique ou les formulaires électronique, l’internaute a au bout des doigts
un contact avec l’administration qu’il était difficile d’avoir auparavant.
14.3
Plus
Les sites suivants sont directement concernés par le câblage à haut débit et en particulier
des municipalités :
– Fondation Internet Nouvelle Génération
– Villes Internet
– Créatif, le Collectif des Réseaux d’Accès aux Technologies de l’Information en France
Des sites de l’administration française :
– Le site Internet de l’administration française, présentant l’action de l’état en la matière,
– Service Public, le portail de l’administration française,
– l’e-ministère ou la vision des services que projette de rendre le ministère des finances.
199
L’e-État
Réseau de Transport 400 kV
S E L L INDG E
AVE L G E M
GR AVE LINE S
LE S
ATTAQUE S
WAR ANDE
MANDAR INS
AC HE NE
WE PPE S
GAVR E LLE
AVE LIN
MAS TAING
CHOOZ B
CHE VALE T
PE NLY
TOLLE VAS T
PALUE L
ME NUE L
R OUGE MONTIE R
TE R R E TTE
LA MAR TYR E
TOUR BE
TILLE UL
LE CHE S NOY
VILLE CHE TIVE
DIS TR E
COR DE MAIS
LA
PICOCHE R IE
CHAINGY
VE R GE R
S T-AVOLD
BE ZAUMONT
MAR LE NHE IM
NE UVE S -MAIS ONS
ME R Y
S E INE
BOCTOIS
GATINAIS
VIGY
BLE NOD
R E VIGNY
HOUDR E VILLE
CR E NE Y
E IC HS T E T T E N
VINCE Y
LOGE LBACH
MUHLBACH
S E R E IN
VILLE R BON
CHANCE AUX
VE S LE
VILLE VAUDE
S AUS S E T
VILLE JUS T
MOR BR AS
DAMBR ON
MOULAINE
S E UIL
PLE S S IS -GAS S OT
CHAMBR Y
LE S QUINTE S
LOUIS FE R T
CATTE NOM
LA HE R S E
CIR OLLIE R S
DOMLOUP
UC HT E L F ANG E N
LONNY
LATE NA
LA
VAUPALIE R E
R E MIS E
TE R R IE R
CE R GY
ME ZE R OLLE S
LAUNAY
PLAINE -HAUTE
AR GOE UVE S
BAR NABOS
LE HAVR E
FLAMANVILLE
R E VIN
MAZUR E S
TABAR DE R IE
MAMBE LIN
AS P HAR D
VIE LMOULIN
LAR CAY
AVOINE
L A UF E NB UR G
S IE R E NTZ
GAUGLIN
MAR MAGNE
S T-E LOI
B AS S E C OUR T
LE S JUME AUX
VALDIVIE NNE
GR OS NE
BAYE T
E GUZON
GR ANZAY
PLAUD
Poste 400kV
R ULHAT
PR E GUILLAC
Ligne à
1 terne
LE BR E UIL
CUBNE ZAIS
LE
MAR QUIS
Interconnexion
France-Angleterre
270 kV en
courant continu
CHAR PE NAY
MIONS
E CHALAS
PIVOZ COR DIE R
BR AUD
Ligne à
2 ternes et plus
GR E PILLE S
LA
BOIS S E
C.E .R .N.
C HA MOS ON
BOIS
-TOLLOT
VE R BOIS
COR NIE R
GE NIS S IAT
S TR ONDIS S ONE
VULBAS
ALBE R TVILLE
CR E YS
G. ILE
LE
CHAFFAR D
LE
CHE YLAS
LA COCHE
VILLAR ODIN
PR AZ S T.
CHAMPAGNIE R VAUJANY ANDR E
VE NAUS
R UE YR E S
COULANGE
S AUCATS
LE TR ICAS TIN
DONZAC
CANTE GR IT
LE S QUIVE
JONQUIE R E S
VE R FE IL
TAMAR E AU
IS S E L
CAZAR IL
AR AMON
TOR E -S UPR A
LE BR OC CAR R OS
BOUTR E
R E ALTOR
MAR S ILLON
HE R NA NI
TAVE L
AGAS S E S
NE OULE S
LA GAUDIE R E
BAIXAS
VIC H
Conception et réalisation :
C S 4-02
J A NV IE R 2002
GESTIONNAIRE DU RÉSEAU DE TRANSPORT
CENTRE NATIONAL D'EXPERTISE RÉSEAUX
SEMIA/DIG
IMMEUBLE AMPÈRE - LA DÉFENSE 6
34-40, RUE HENRI-RÉGNAULT
92400 COURBEVOIE
Tél. : 01 41 02 12 12 . Fax : 01 41 02 12 47
E-mail : [email protected]
© Copyright RTE service d'EDF-2001
Fig. 14.1 – Le Réseau de Transport d’Électricité de très haute tension pourrait servir de
squelette à un Internet service public
200
Chapitre 14
Chapitre 15
L’e-mafia
Internet en tant qu’outil de communication simplifie aussi les activités illégales. Ce côté du
miroir est bien sûr difficile à observer mais il est clair qu’il existe et est important. Le fait
que le mot le plus recherché par les moteurs de recherche soit sex donne une indication sur
l’importance de la demande et laisse imaginer la taille des organisations qui se sont mises
en place pour y répondre, avec bien sûr les risques usuels de débordement vers l’illégalité.
Internet permet aussi l’achat de produits interdit et de ce point de vue là encore les
chiffres sont impressionnants. Media Metrix estime qu’en 2002, le poids du marché noir
est équivalent à celui du commerce électronique légal aux États-Unis, 36,5 milliards de
dollars pour le premier, 39,3 pour le second.
Citons parmi ces activités illégales présentes sur Internet :
–
–
–
–
la pornographie impliquant des mineurs,
les paris et plus généralement les jeux d’argent,
les drogues et la délivrance illégale de médicament,
les arnaques.
Il en existe bien d’autres bien sûr, comme la création de faux papiers ou le piratage
informatique, qu’il s’agisse d’intrusion dans des systèmes distants ou de copie d’œuvres
protégées par le copyright1 .
Toutes ces activités suivent le rythme d’Internet et progressent de façon exponentielle.
Une des raisons supplémentaires de leur succès est la relative sécurité qu’elle apporte aux
clients. Il est nettement moins risqué légalement et moins dangereux physiquement pour
un particulier d’acheter de la drogue sur Internet ou de télécharger un film illégal que de
trouver un revendeur dans la rue.
1
ce dernier point soulève bien des débats car ces copies servent aussi clairement les éditeurs de logiciels
ou d’œuvres musicales si l’on en croit les progressions des ventes.
201
202
15.1
Chapitre 15
La pornographie infantile
La pornographie infantile est légalement interdite tant à la production qu’à la consommation dans la grande majorité des pays. Mais la Russie et l’Indonésie n’ayant pas de lois
sur la pornographie infantile, ces pays servent de refuge aux sites web. Cependant il existe
d’autres lois, en particulier concernant le viol, qui peuvent être appliquées et qui l’ont été
dans l’affaire «Blue Orchid» impliquant des Russes et des Américains.
Cette pornographie dérive le plus souvent de la pornographie d’adultes comme l’a montré
l’«Opération avalanche» qui a permis l’arrestation de plus de 100 internautes à travers
différents pays et mis au jour le rôle d’une entreprise américaine de pornographie adulte
apparemment mais de pornographie infantile aussi. Avec 250 000 abonnés, cette société
générait 1,4 millions de dollars par mois de bénéfices liés à la pornographie infantile2 .
L’ASACP, l’une des nombreuses associations luttant contre la pornographie infantile, indique que depuis sa création en 1996,
– elle a reçu 50 000 rapports de sites suspects,
– elle a fait suivre 10 600 de ces rapports au FBI,
– 58% des sites indiqués ont été fermé par les autorités.
Rien qu’en septembre 2002, l’ASACP a rapporté 504 sites aux autorités et 328 d’entre eux
ont été fermés. Les douanes américaines ont estimé que 100 000 sites web étaient liés de
près ou de loin à la pornographie infantile en 2001.
15.2
Le jeu en ligne
Avec plus de 4 milliards de dollars joués dans les casinos en ligne en 2002, le marché du
jeu se porte bien même s’il est illégal dans de nombreux pays dont la France. On estime
à 4.5 millions d’internautes joueurs à travers le monde.
Le problème du jeu en ligne est sa simplicité. Il est trop simple de s’inscrire dans un casino
ou sur un site de parieur, de jouer sans limites3 . Cette simplicité a mené à la ruine et au
suicide des personnes prises dans l’engrenage. L’association des joueurs anonymes estime
à 375 000 les personnes en Angleterre4 ayant des problèmes liés au jeu. Elle indique aussi
qu’il n’est pas rare que des joueurs endettés se suicident.
Dans un casino physique, ce genre d’aventure est plus difficile car il faut faire l’effort de se
déplacer, d’acheter des jetons et le casino se doit de surveiller les clients déraisonnables.
2
Les responsables de la société ont été condamné à la prison à vie pour l’un et à 14 ans de prison pour
l’autre.
3
d’autant plus que les cartes de crédit permettent justement de s’endetter facilement
4
les jeux d’argent et les paris sont légaux en Angleterre
L’e-mafia
15.3
203
L’achat de drogues et de médicaments
La loi concernant la vente de drogues et de médicament varie fortement d’un État à
l’autre. Ainsi le site WorldWideSeeds qui vend des graines de cannabis est hébergé aux
Pays Bas. Mais même lorsqu’une drogue est illégale dans l’ensemble des pays occidentaux,
il est toujours possible d’en acheter sur Internet. Il en est de même pour les médicaments
normalement délivrés que sur ordonnance, les amphétamines et autres produits dopants.
On considère qu’il y a aujourd’hui plus de 400 pharmacies en ligne qui délivrent tout type
de médicaments sans ordonnance. Pillbox a été l’une d’elle jusqu’à ce qu’elle soit fermée
en 2001 pour vente sans ordonnance d’antalgiques. Durant les années 2000 et 2001, cette
pharmacie en ligne avait attiré plus de 5000 clients et vendu pour 7.7 millions de dollars
de médicaments.
A coté de ces pharmacies, on peut aussi trouver des produits dopant via les nombreux
sites de body building. Il semble relativement simple de s’y procurer des produits illégaux
via les sites de discussion liés à cette activité. Dans ce cas, le plus grand risque est la
mauvaise utilisation de ces drogues qui a abouti dans de trop nombreux cas à la mort de
l’internaute qui les avait commandées.
Internet est aussi une bibliothèque qui permet de trouver les recettes de différentes drogues.
L’un des exemples récents est liée à ce qu’on appelle la “drogue du viol”. Cette drogue,
le GHB, inodore et invisible, se verse dans un verre, rend inconsciente la victime pendant
plusieurs heures puis disparaı̂t sans laisser de traces. Le GHB est illégal mais le GBL
qui permet de fabriquer du GHB suivant des recettes indiquées sur Internet, est légal au
Canada. Aussi un réseau de distribution du GBL a été monté au Canada et exportait en
toute illégalité son produit jusqu’à ce qu’il soit démantelé en septembre 2002. La police
canadienne a fait une prise de GBL dont la valeur aurait atteint 170 millions de dollars
sur le marché noir. Ce réseau exportait dans 20 pays et recevait 160 commandes par jour
ce qui générait un chiffre d’affaire de 45 000 dollars par jour.
Le plus grand danger semble être dans la mise à disposition de tout le monde d’informations
sur la création de drogue à partir de produit légaux ou facilement procurables. Ce danger
est d’autant plus important qu’il n’est pas vraiment possible de lutter contre.
15.4
Les arnaques
Les arnaques pourraient être la partie la plus amusante de ce chapitre si elles ne menaient
pas elle aussi à la ruine de certaines personnes voire à leur mort.
Ces arnaques commencent le plus souvent par un mail promettant à son destinataire monts
et merveilles. La plus en vogue en ce moment est l’arnaque nigériane :
FROM : Mr. Ben Ahore
Central Bank of Nigeria
Lagos, Nigeria
[Phone Number]
204
Chapitre 15
Dear Sir :
I have been requested by the Nigerian National Petroleum Company to
contact you for assistance in resolving a matter. The Nigerian National Petroleum Company has recently concluded a large number of contracts for oil
exploration in the sub-Sahara region. The contracts have immediately produced
moneys equalling US$40,000,000. The Nigerian National Petroleum Company
is desirous of oil exploration in other parts of the world, however, because of
certain regulations of the Nigerian Government, it is unable to move these
funds to another region.
You assistance is requested as a non-Nigerian citizen to assist the Nigerian
National Petroleum Company, and also the Central Bank of Nigeria, in moving
these funds out of Nigeria. If the funds can be transferred to your name, in
your United States account, then you can forward the funds as directed by the
Nigerian National Petroleum Company. In exchange for your accomodating
services, the Nigerian National Petroleum Company would agree to allow you
to retain 10%, or US$4 million of this amount.
However, to be a legitimate transferee of these moneys according to Nigerian
law, you must presently be a depositor of at least US$100,000 in a Nigerian
bank which is regulated by the Central Bank of Nigeria.
...
En général la demande d’argent vient de façon plus subtile après quelques mails échangés
voire des conversations téléphoniques. Dans certain cas il est demandé à la personne de
venir en Afrique où elle peut être enlevée puis éventuellement tuée.
Si ce procédé peut sembler trop énorme, il a malheureusement pour ses victimes, fonctionné
plus d’une fois et parfois dans des dimensions extraordinaires comme ce cas d’une comptable d’un cabinet d’avocat qui a versé 2.1 millions de dollars depuis différents comptes
du cabinet.
Le site Nigerian 4-1-9 Scam décrit en détail le fonctionnement de ce type d’arnaque.
Chapitre 16
Le monde virtuel
Internet change les relations entre les personnes comme a pu le faire le téléphone.
L’étude de France Telecom sur l’usage d’Internet par les français présente l’intérêt d’Internet pour les utilisateurs occasionnels ou les internautes assidus. On note que pour ces
derniers, les échanges tiennent une part nettement plus importante que pour l’ensemble
de la population :
Fig. 16.1 – Utilisation d’Internet par les français
source : Baromètre France Telecom, février 2002
Pour les internautes, Internet sert avant tout à échanger du courrier. On notera au passage
que pour les non-internautes, l’intérêt du courrier électronique est limité puisqu’ils ne sont
205
206
Chapitre 16
que 60% à imaginer l’utiliser1 . Cet aspect souligne la différence entre le Minitel, produit
de consommation familier aux Français, et Internet, outil de communication. D’ailleurs,
même si les internautes français se disent friants du courrier électronique, l’e-mail est
encore peu utilisé au sein de sa tribu par rapport à d’autres pays européens :
Fig. 16.2 – Intensité de l’utilisation du courrier électronique
On considère dans cette étude, une intensité élevée de communication par courrier électronique
lorsque plus des 3/4 des amis et parents d’un internautes ont un adresse électronique.
Si la notion de communauté virtuelle n’est pas immédiate, elle s’impose à l’usage.
Les niveaux de relation au sein d’Internet sont :
1. les amis proches avec lesquels on communique par mail voire via irc ou d’autres
formes de discussion interactive,
2. les relations professionnelles pour lesquelles le mail est encore l’outil le plus utilisé
suivi des listes de diffusion,
3. les contacts en direct mais le plus souvent passagés, à la Minitel rose, qui recouvre
irc ou encore ICQ,
4. les personnes partageant un intérêt commun qui se retrouvent dans des forums (newsgroup) ou dans des listes de diffusion, le plus souvent rattachées à un site web.
Ce dernier point est à l’origine des communautés virtuelle sur Internet. Parmi ces communautés certaines sont devenues célèbres, la plus célèbre étant celle des logiciels libres.
Ainsi la figure ci-dessous, illustre les contacts que se sont forgé les développeurs de logiciels
libres à travers Internet. Il est à noter qu’il s’agit des relations de développement qui sont
nettement plus restreintes que ne l’est la communauté des utilisateurs.
1
L’ensemble de la population comprend les internautes qui représentent 47% de la population d’après
cette étude
207
Le monde virtuel
Fig. 16.3 – Nombre de contacts réguliers entretenus par les développeurs de logiciels libres
entre eux en pourcentage
source : Free/Libre and Open Source Software : Survey and Study, juin 2002.
16.1
Le logiciel libre
16.1.1
GNU’s not UNIX
Le projet GNU a été lancé en 1984 par Richard M. Stallman
afin de créer un système d’exploitation libre. Le système devait être similaire à UNIX sans en être un, d’où la maxime
GNU’s Not Unix !2 .
Ce système, Hurd, n’a pas vu le jour, ou du moins sous la
forme annoncée par Stallman, mais le projet GNU a permis
la création de nombreux logiciels libres donc le compilateur
C gcc et a ainsi permis la création de Linux. De nombreux
autres projets libres doivent leur existence au projet GNU
soit en s’appuyant sur des logiciels libres du projet GNU,
soit en reprenant la philosophie et la licence GNU, la GPL.
Fig. 16.4 – RMS
Mais l’aspect principal du projet GNU est sa portée politique. Les logiciels, comme la
2
avec une définition récursive de GNU
208
Chapitre 16
connaissance, doivent être libres d’accès.
16.1.2
L’aspect politico-économique des logiciels libres
Pour un chercheur, un logiciel dont on ne dispose que de l’exécutable est un produit
inexploitable. Il ne permet pas de comprendre son fonctionnement ni de développer des
extensions ou de l’intégrer à un projet.
Pour un utilisateur lambda, un logiciel commercial est un objet dont l’utilisation est strictement réglementée et la copie et diffusion interdites.
A l’inverse un logiciel libre permet
–
–
–
–
de le lire dans le texte,
de le modifier,
de l’offrir,
et bien sûr de l’utiliser comme on veut.
Cet aspect primordial dans le cas de la recherche est aussi des plus importants lorsqu’on
touche les institutions publiques. Pour de nombreuses personnes, les logiciels libres doivent
être la norme pour
– le milieu éducatif Les enfants doivent apprendre et comprendre des concepts et non
l’utilisation de tel produit commercial,
– l’administration Les documents et autre outils utilisés par l’administration doivent
être librement accessibles par tous c.a.d. sans avoir besoin d’acquérir des outils commerciaux pour les comprendre. La lettre à Microsoft du Dr. Villanueva Nuñez, membre du
congrès du Pérou, précise toutes les raisons qui justifient qu’un gouvernement choisisse
les logiciels libres pour son administration.
On peut aussi mettre en avant l’aspect solidaire des logiciels libres en particulier vis-à-vis
des personnes et des pays pour lesquels le coût de licence logiciel est prohibitif.
Enfin d’un point de vue économique, les logiciels libres apportent une solution élégante liée
à la gratuité des coûts de copie et de diffusion des logiciels. En rendant libre son travail,
un développeur le met gratuitement à la disposition des autres. Sachant qu’un très grand
nombre de développeurs en font de même, chacun récupère tout le travail des autres en
échange de son travail personnel, ce qui compense plus que largement le travail offert.
Si l’on pouvait avoir la copie et la distribution des aliments gratuits, il suffirait, en appliquant le principe des logiciels libres, qu’une personne cultive une douzaine de carottes
pour que tout le monde ait sa douzaine de carottes, qu’un autre produise un gateau au
chocolat pour que chacun ait son gateau au chocolat autant de fois qu’il veut.
Bien sûr il n’est pas possible de dupliquer les petits pains, mais puisque c’est possible
avec les logiciels, l’idée des défenseurs des logiciels libres est que le système économique
classique n’est peut-être pas le mieux adapté au développement des logiciels et à tout ce
qui est numérisable.
Le monde virtuel
16.1.3
209
Les mouvements du libre
La communauté des logiciels libres est probablement la plus importante sur Internet. On
estime à plus de 20 millions les personnes utilisant des logiciels libres à travers Linux. Elle
est très active et dispose aujourd’hui de nombreux relais à travers les forums et sites web
dédiés, des journaux spécialisés, des organisations, des individualités dont des hommes
politiques, etc...
En reprenant cet ordre, on peut citer les forums *.comp.*.linux, des sites web comme
Da Linux French Page en français ou un site pilier au niveau mondial, Slashdot.
Parmi les principales organisations qui œuvrent pour le développement des logiciels libres
on a entre autres :
–
–
–
–
La Free Software Foundation, la FSF, et sa délégation européenne la FSF Europe,
LOpen Source Initiative,
les associations AFUL et APRIL au niveau national,
l’ABUL pour Bordeaux et de nombreuses autres associations locales à travers la France
dont les LUGs (Linux Users Groups),
Enfin citons ces quelques hommes politiques français :
Lionel Jospin :
L’administration montre l’exemple en ayant recours à des solutions technologiques innovantes, tels les logiciels libres qui, bien souvent, favorisent la
pérennité et la sécurité des systèmes d information.
Christian Pierret :
J’ai déjà soutenu personnellement les logiciels libres [...] Je suis heureux de
voir des éditeurs français de logiciels libres comme MandrakeSoft réussir aux
Etats-Unis. Je soutiens Linux et les logiciels libres parce qu’ils permettent à
l’administration d être plus rapidement en ligne.
Michel Sapin :
Je veux saluer pour conclure ce qui constitue finalement, de mon point
de vue, l’apport le plus important de la communauté du libre à notre société.
Il s’agit de la démonstration, faite chaque jour par le développement d’outils comme Apache, Zope ou Linux, de la force et de l’efficacité du modèle de
développement coopératif qui est le propre des logiciels libres.
16.2
L’internet politique
Comme tous les médias, Internet sert à propager les idées politiques et comme souvent,
Internet sert plus spécifiquement à exprimer les idées politiques directement liées à Internet
à savoir liées à l’impact des ordinateurs et des réseaux sur notre société.
On retrouve dans ce cas le même schéma que pour la communauté des logiciels libres
avec des discussions au niveau du mail et de listes de diffusion, des forums et la création
210
Chapitre 16
d’organisations virtuelles.
16.2.1
Computer Professionals for Social Responsibility
Le CPSR a été crée en 1982 pour surveiller l’usage des ordinateurs en particulier par les
militaires. Cette association a ainsi souligné l’impossibilité technique d’un point de vue
informatique du projet de guerre des étoiles de Ronald Reagan.
Le CPSR a augmenté son champ d’action en créant en 1986 le Privacy and Civil Liberties
Project situé à Washington afin d’apporter son expertise informatique aux organismes
en ayant besoin. Au début des années 90 le CPSR a poussé l’administration américaine
à développer Internet auprès du grand public. En 1994, la délégation à Washington du
CPSR est devenu l’EPIC, The Electronic Privacy Information Center.
Depuis le CPSR intervient tant sur l’impact d’Internet sur la vie privée que sur la gouvernance d’Internet ou la propriété intellectuelle.
16.2.2
Les associations d’utilisateurs
L’ISOC, mais aussi en France l’Association des Utilisateurs d’Internet, l’AUI, ou le chapitre
français de l’ISOC, ont dès leurs débuts abordés les problèmes politiques liés à Internet en
plus de leurs aspects d’information, de réflexion technique, de défense des consommateurs...
Il entre dans leurs buts le plus souvent, d’intervenir auprès des politiques de leur pays pour
faire évoluer les lois ayant un impact sur Internet dans le sens qu’elles jugent préférable.
Ainsi en 1996, l’AUI a obtenu que le conseil constitutionnel casse la loi Fillon instaurant
un conseil de surveillance de l’Internet.
Ces associations forment aussi des réseaux virtuels entres elles et le cas échéant créent des
associations d’association afin de défendre un point précis comme c’est la cas pour The
Global Internet Liberty Campaign.
Annexes
A - Adresses juridiques
Fax : 01 45 51 93 20
CIRA (Centre Inter-Ministériel de Renseignements Administratifs)
Tel : 01 40 01 11 01
APP (Agence pour la Protection des
Programmes)
119 rue de Flandres 75019 Paris
Tel : 01 40 35 03 03
Fax : 01 40 38 96 43
Mél : [email protected]
http ://app.legalis.net
http ://www.legalis.net/iddn
CLUSIF (Club de la Sécurité Informatique
Francais)
2, Rue de la Chaussée d’Antin, 75009 Paris
Tel : 01 42 47 92 28
Mel : [email protected]
http ://www.clusif.asso.fr/
ART (Autorité de Régulation des Télécommunications)
7, square Max Hymans 75730 Paris Cedex
15
Tél : 01 40 47 70 35
Fax : 01 40 47 71 98
http ://www.art-telecom.fr
BCRCI (Brigade centrale de Repression de
la Criminalite informatique)
101 rue des Trois Fontanot 92000 Nanterre
Tel : 01 40 97 87 72
01 40 97 83 12 Idem
Fax : 01 47 21 00 42
Bibliothèque juridique Cujas
2 rue Cujas 75005 Paris
Tel : 01 44 07 79 87
Fax : 01 44 07 78 32
http ://cujas.univ-paris1.fr/
CNIL (Commission Nationale de l’Informatique et des Libertés)
21 rue St Guillaume 75340 Paris cedex 07
Tel : 01 45 44 40 65
Fax : 01 45 49 04 55
3615 CNIL
http ://www.cnil.fr
Chambre Arbitrale de Paris
Bourse du Commerce 75001 Paris
Tel : 01 42 36 99 65
Conseil Constitutionnel
2 rue Montpensier 75001 Paris
Tel : 01 40 15 30 00
Fax : 01 40 20 93 27
http ://www.conseil-constitutionnel.fr
Conseil Supérieur de la Magistrature
15 quai Branly 75007 Paris
CADA (Commission d’Accès aux Docu- Tel : 01 42 92 82 00
ments Administratifs)
CSC (Commission Supérieure de Codifica31 rue de Constantine 75700 Paris
tion)
Tel : 01 47 05 99 51
211
212
57 rue de Varenne 75700 Paris
Tel : 01 45 75 81 59
Tel : 01 45 58 93 93
Fax : 01 45 58 94 00
Conseil Superieur du Notariat
31, Rue du Général Foy, 75008 Paris
Tel : 01 44 90 30 00
Fax : 01 44 90 30 30
Liste Robinson Système Stop-Publicité
(pour être radié des fichiers Commerciaux)
U.F.M.D. - 60, rue de la Boétie 75008 Paris
Cour de Justice de la République
21 r Constantine 75007 Paris
Tel : 01 44 11 31 00
Fax : 01 44 11 31 39
Direction
de
la
Documentation
Française
29 & 31 quai Voltaire 75340 Paris Cedex 07
Tel : 01 40 15 70 00
Fax : 01 40 15 72 30
36 15/16 Doctel
http ://www.ladocfrancaise.gouv.fr
Direction des Journaux Officiels
26 rue Desaix 75015 Paris
01 40 58 75 OO Répondeur
Tel : 01 40 58 76 00
Fax : 01 40 58 75 74
http ://www.journal-officiel.gouv.fr
Mediateur de la République
53 avenue Iéna 75116 Paris
Tel : 01 45 01 86 56
Tel : 01 45 02 72 72
Fax : 01 45 00 47 91
http ://www.mediateur-de-la-republique.fr
Ministère de la Justice
13 place Vendôme 75001 Paris
Tel : 01 44 77 60 60
http ://www.justice.gouv.fr
Ministère de l’Intérieur
7 rue Nélaton 75015 Paris
Tel : 01 40 57 57 57
http ://www.interieur.gouv.fr/
Ordre des Avocats de Paris
11 Place Dauphine 75001 Paris
Tel : 01 44 32 48 48
Fax : 01 46 34 77 65
01 44 32 47 70 Accueil du public
Palais de Justice
4 boulevard du Palais 75001 Paris
01 44 32 50 50 Cour de Cassation
01 44 32 51 51 Tribunal de Grande Instance
01 44 32 52 52 Cour d’Appel de Paris
01 43 54 22 60 Parquet du Procureur de la
Editions Législatives
80 Avenue de la Marne 92546 Montrouge République
Cedex
SCSSI (Service Central de la Securité des
Tel : 01 40 92 68 68
Systèmes d’Information)
Fax : 01 46 56 00 15
18 rue du Docteur Zamenhof 92131 Issy-lesMoulineaux Cedex
Européenne de Données
Tel : 01 41 46 37 00
164 ter rue d’Aguessau
Fax : 01 41 46 37 01
92100 Boulogne-Billancourt
Tel : 01 46 05 29 29
SEFTI (Service d’Enquête des Fraudes aux
Fax : 01 46 05 42 55
Technologies de l’Information)
Juris-Data
(Éditions
du
Juris- 163 Avenue d’Italie 75013 Paris
Tel : 01 40 79 67 50
Classeur)
Fax : 01 40 79 77 20
141, rue de Javel 75747 Paris cedex 15
Editions du Juris-Classeur
141 rue de Javel 75015 Paris
Tel : 01 05 05 06 07
Fax : 01 45 58 94 00
213
Tribunal de Commerce
1 quai Corse 75004 Paris
Tel : 01 43 29 21 24
01 44 41 54 54 Greffe
08 36 29 11 11 Infogreffe
atteindre près de 10 FF/minute.
Source : Cette liste a été construite à partir de celle du site juridique de Jérôme Rabenou.
A voir :
Note : Les numéros commençant par 08 36 – Le site Le Jargon Français. où tout ces
correspondent à des services accessibles par
sigles sont décrits.
Minitel (V.23) à des tarifications pouvant – Le portail de l’administration française
B - Modèle de lettre de plainte pour spam
Ce modèle de lettre est proposé par la CNIL dans son dossier relatif au spam.
Objet : Plainte relative à l’envoi de courriers électroniques non sollicités constitutif d’une infraction
à la loi "Informatique et Libertés" du 6 janvier 1978
Monsieur le procureur de la République,
J’ai l’honneur de porter à votre connaissance les faits suivants : (exposer les faits : date de réception
du courrier électronique, démarche effectuée, etc.).
La CNIL a, de façon constante, admis qu’une adresse électronique est une information nominative
dans la mesure où elle permet directement ou indirectement d’identifier une personne physique.
Dès lors, les personnes qui en sont titulaires bénéficient des dispositions protectrices de la loi du 6
janvier 1978. Or, la pratique du ’spamming’ viole les dispositions de la loi ’informatique et libertés’
sur au moins trois points.
1. La collecte illicite des adresses servant à des opérations de ’spamming’.
Il apparaı̂t que les entreprises à l’origine de spams recourent, le plus souvent, à des outils, appelés
’aspirateurs de mails’ (robot-mails), permettant de collecter des adresses électroniques figurant
dans les espaces publics de l’internet (forums de discussion, pages personnelles ou d’entreprises,
etc.).
Cette méthode de constitution de bases de données qui revient à collecter, à l’insu des personnes,
leur adresse électronique est en totale opposition avec l’article 25 de la loi ’informatique et libertés’
qui énonce : "La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est
interdite".
Je confirme que je n’ai jamais été en contact avec l’organisme expéditeur de ce message et que je
n’ai jamais autorisé l’utilisation à des fins commerciales de mon adresse électronique.
2. Le non-respect du droit d’opposition.
L’article 26 de la loi du 6 janvier 1978 et l’article 14 de la directive 95/46 du 24 octobre 1995
reconnaissent à toute personne le droit de s’opposer à l’utilisation commerciale de ses données ou
à la transmission de celles-ci à des tiers.
Je confirme que je n’ai pu faire valoir mon droit à opposition lors de la réception des messages
incriminés, soit que le lien de désinscription existe mais ne fonctionne pas, soit qu’il n’existe pas.
214
La collecte illicite et le non respect du droit d’opposition sont sanctionnés par l’article 226-18 du
Code pénal.
3. L’absence de déclaration auprès de la CNIL d’un traitement automatisé d’informations nominatives
Une opération de prospection commerciale par voie électronique suppose la constitution et l’utilisation de traitements automatisés d’informations nominatives. Dés lors ces traitements doivent
être déclarés à la CNIL conformément à l’article 16 de la loi du 6 janvier 1978.
Tout manquement à cette obligation est sanctionné par l’article 226-16 du Code pénal.
Je confirme avoir vérifié auprès de la CNIL que ce traitement n’a pas été déclaré à ce jour.
Par ces motifs, j’ai l’honneur de porter plainte contre X (ou le nom de l’organisme incriminé si
vous en avez connaissance), et vous demande de bien vouloir procéder ou faire procéder à toutes les
mesures nécessaires à la recherche et la poursuite des auteurs des infractions à la loi Informatique
et Libertés du 6 janvier 1978.
Vous trouverez ci-joint une copie intégrale du courrier électronique visé dans cette affaire.
Je vous prie d’agréer, Monsieur le procureur de la République, l’assurance de ma considération
distinguée.
Il faut joindre à cette lettre une copie du mail avec tous les en-têtes, et adresser le tout
au procureur de la République du parquet du tribunal de grande instance du lieu de
votre domicile ou du domicile de l’auteur du spam si vous le connaissez. Il est également
possible de porter plainte au commissariat ou à la brigade de gendarmerie qui transmettra
au procureur.
Concernant la demande de radiation de votre e-mail de la liste du spammeur, c’est un
exercice à risque puisque permettant au spammeur de savoir que votre adresse est valide.
Il est donc conseillé de se créer une adresse dédiée à ce type de protestation ou plus
simplement de ne pas utiliser cet aspect de non-respect du droit d’opposition dans votre
plainte.
215
C - Code ISO 3166-1 des pays
AFGHANISTAN
AFRIQUE DU SUD
ALBANIE
ALGÉRIE
ALLEMAGNE
ANDORRE
ANGOLA
ANGUILLA
ANTARCTIQUE
ANTIGUA-ET-BARBUDA
ANTILLES NÉERLANDAISES
ARABIE SAOUDITE
ARGENTINE
ARMÉNIE
ARUBA
AUSTRALIE
AUTRICHE
AZERBAÏDJAN
BAHAMAS
BAHREÏN
BANGLADESH
BARBADE
BÉLARUS
BELGIQUE
BELIZE
BÉNIN
BERMUDES
BHOUTAN
BOLIVIE
BOSNIE-HERZÉGOVINE
BOTSWANA
BOUVET, ÎLE
BRÉSIL
BRUNÉI DARUSSALAM
BULGARIE
BURKINA FASO
BURUNDI
CAÏMANES, ÎLES
CAMBODGE
CAMEROUN
CANADA
CAP-VERT
CENTRAFRICAINE,
RÉPUBLIQUE
CHILI
CHINE
CHRISTMAS, ÎLE
CHYPRE
COCOS (KEELING), ÎLES
COLOMBIE
COMORES
CONGO
CONGO, LA RÉPUBLIQUE
DÉMOCRATIQUE DU
COOK, ÎLES
CORÉE, RÉPUBLIQUE DE
CORÉE, RÉPUBLIQUE POPULAIRE DÉMOCRATIQUE DE
COSTA RICA
CÔTE D’IVOIRE
CROATIE
CUBA
DANEMARK
DJIBOUTI
DOMINICAINE, RÉPUBLIQUE
DOMINIQUE
ÉGYPTE
EL SALVADOR
ÉMIRATS ARABES UNIS
ÉQUATEUR
ÉRYTHRÉE
ESPAGNE
ESTONIE
ÉTATS-UNIS
ÉTHIOPIE
FALKLAND, (MALVINAS)
FÉROÉ, ÎLES
FIDJI
FINLANDE
FRANCE
GABON
GAMBIE
GÉORGIE
GÉORGIE DU SUD ET LES
ÎLES SANDWICH DU SUD
GHANA
GIBRALTAR
AF
ZA
AL
DZ
DE
AD
AO
AI
AQ
AG
AN
SA
AR
AM
AW
AU
AT
AZ
BS
BH
BD
BB
BY
BE
BZ
BJ
BM
BT
BO
BA
BW
BV
BR
BN
BG
BF
BI
KY
KH
CM
CA
CV
CF
CL
CN
CX
CY
CC
CO
KM
CG
CD
CK
KR
KP
CR
CI
HR
CU
DK
DJ
DO
DM
EG
SV
AE
EC
ER
ES
EE
US
ET
FK
FO
FJ
FI
FR
GA
GM
GE
GS
GH
GI
GRÈCE
GRENADE
GROENLAND
GUADELOUPE
GUAM
GUATEMALA
GUINÉE
GUINÉE-BISSAU
GUINÉE ÉQUATORIALE
GUYANA
GUYANE FRANÇAISE
HAÏTI
HEARD, ÎLE ET MCDONALD,
ÎLES
HONDURAS
HONG-KONG
HONGRIE
ÎLES MINEURES ÉLOIGNÉES
DES ÉTATS-UNIS
ÎLES
VIERGES
BRITANNIQUES
ÎLES VIERGES DES ÉTATSUNIS
INDE
INDONÉSIE
IRAN
IRAQ
IRLANDE
ISLANDE
ISRAËL
ITALIE
JAMAÏQUE
JAPON
JORDANIE
KAZAKSTAN
KENYA
KIRGHIZISTAN
KIRIBATI
KOWEÏT
LAO
LESOTHO
LETTONIE
LIBAN
LIBÉRIA
LIBYE
LIECHTENSTEIN
LITUANIE
LUXEMBOURG
MACAO
MACÉDOINE,
L’EXRÉPUBLIQUE YOUGOSLAVE
DE
MADAGASCAR
MALAISIE
MALAWI
MALDIVES
MALI
MALTE
MARIANNES DU NORD, ÎLES
MAROC
MARSHALL, ÎLES
MARTINIQUE
MAURICE
MAURITANIE
MAYOTTE
MEXIQUE
MICRONÉSIE,
ÉTATS
FÉDÉRÉS DE
MOLDOVA, RÉPUBLIQUE DE
MONACO
MONGOLIE
MONTSERRAT
MOZAMBIQUE
MYANMAR
NAMIBIE
NAURU
NÉPAL
NICARAGUA
NIGER
NIGÉRIA
NIOUÉ
NORFOLK, ÎLE
NORVÈGE
NOUVELLE-CALÉDONIE
NOUVELLE-ZÉLANDE
OCÉAN
INDIEN,
TERRITOIRE BRITANNIQUE
GR
GD
GL
GP
GU
GT
GN
GW
GQ
GY
GF
HT
HM
HN
HK
HU
UM
VG
VI
IN
ID
IR
IQ
IE
IS
IL
IT
JM
JP
JO
KZ
KE
KG
KI
KW
LA
LS
LV
LB
LR
LY
LI
LT
LU
MO
MK
MG
MY
MW
MV
ML
MT
MP
MA
MH
MQ
MU
MR
YT
MX
FM
MD
MC
MN
MS
MZ
MM
NA
NR
NP
NI
NE
NG
NU
NF
NO
NC
NZ
IO
OMAN
OUGANDA
OUZBÉKISTAN
PAKISTAN
PALAOS
PALESTINE
PANAMA
PAPOUASIE-NOUVELLEGUINÉE
PARAGUAY
PAYS-BAS
PÉROU
PHILIPPINES
PITCAIRN
POLOGNE
POLYNÉSIE FRANÇAISE
PORTO RICO
PORTUGAL
QATAR
RÉUNION
ROUMANIE
ROYAUME-UNI
RUSSIE, FÉDÉRATION DE
RWANDA
SAHARA OCCIDENTAL
SAINTE-HÉLÈNE
SAINTE-LUCIE
SAINT-KITTS-ET-NEVIS
SAINT-MARIN
SAINT-PIERRE-ETMIQUELON
SAINT-SIÈGE (VATICAN)
SAINT-VINCENT-ET-LES
GRENADINES
SALOMON, ÎLES
SAMOA
SAMOA AMÉRICAINES
SAO TOMÉ-ET-PRINCIPE
SÉNÉGAL
SEYCHELLES
SIERRA LEONE
SINGAPOUR
SLOVAQUIE
SLOVÉNIE
SOMALIE
SOUDAN
SRI LANKA
SUÈDE
SUISSE
SURINAME
SVALBARD
ET
ÎLE
JAN
MAYEN
SWAZILAND
SYRIE
TADJIKISTAN
TAÏWAN
TANZANIE
TCHAD
TCHÈQUE, RÉPUBLIQUE
TERRES
AUSTRALES
FRANÇAISES
THAÏLANDE
TIMOR ORIENTAL
TOGO
TOKELAU
TONGA
TRINITÉ-ET-TOBAGO
TUNISIE
TURKMÉNISTAN
TURKS ET CAÏQUES, ÎLES
TURQUIE
TUVALU
UKRAINE
URUGUAY
VANUATU
Vatican, État de la Cité du voir
SAINT-SIÈGE
VENEZUELA
VIET NAM
WALLIS ET FUTUNA
YÉMEN
YOUGOSLAVIE
Zaı̈re
voir
CONGO,
LA
RÉPUBLIQUE
DÉMOCRATIQUE DU
ZAMBIE
ZIMBABWE
OM
UG
UZ
PK
PW
PS
PA
PG
PY
NL
PE
PH
PN
PL
PF
PR
PT
QA
RE
RO
GB
RU
RW
EH
SH
LC
KN
SM
PM
VA
VC
SB
WS
AS
ST
SN
SC
SL
SG
SK
SI
SO
SD
LK
SE
CH
SR
SJ
SZ
SY
TJ
TW
TZ
TD
CZ
TF
TH
TP
TG
TK
TO
TT
TN
TM
TC
TR
TV
UA
UY
VU
VE
VN
WF
YE
YU
ZM
ZW
216
Bibliographie
Les chiffres en fin de référence renvoient à la page citant cette référence.
[AM98] et S. Vanstone A. Menezes, P. van Oorshot.
The Handbook
of Applied Cryptography.
Technical report, CRC Press, 1998.
http ://www.cacr.math.uwaterloo.ca/hac/. 68
[Ben01] Alain Bensoussan. Informatique Télécoms Internet. Francis Lefebvre, 2001. 147
[Bro01] Éric Brousseau. Régulation de l’internet : L’autorégulation nécessite-t-elle un
cadre institutionnel ? Revue Economique, Numéro Hors-Série, ”Economie de
l’Internet”, (52) :pp. 348–377, 2001. 190
[Che02] Laurent Chemla. Confessions d’un voleur. Denoël, 2002. Livre téléchargeable
gratuitement sur http ://www.confessions-voleur.net/.
[dldl98] Groupement Français de l’Industrie de l’Information, editor. 7 clés juridiques
pour Internet. Afnor, 1998. 145
[FL02]
Editions Francis Lefebvre. Vente électronique : cadre juridique, 2002. 180
[Hel00] Stéphane Heller. Comment protéger les jeunes Internautes ? Technical report,
Université de Lausanne, 2000. http ://www.cova.ch/sheller/. 194
[Hui95] Christian Huitéma. Et Dieu créa l’internet. Eyrolles, 1995. 27
[Int00]
Internationnal PGP. How PGP works, the Basis of Cryptography, 2000.
http ://www.pgpi.org/doc/pgpintro/.
[Kah96] David Kahn. The Codebreakers, 2e édition. 1996. 68
[Kil02] Patrick Killelea. Web Performance Tuning. O’Reilly, 2002. 123
[La 00] La Recherche. Spécial Internet, L’avenir du Web, Février 2000. 22
[Lab00] RSA Laboratories. Frequently asked questions about today’s cryptography. Technical report, 2000. http ://www.rsasecurity.com/rsalabs/faq. 68
[Lor98] Françis Lorentz. La nouvelle donne du commerce électronique. Technical report,
Ministère de l’économie, des finances et de l’industrie, 1998.
[Lég02] Editions Législatives, editor.
Législatives, 2002. 147
Guide permanet Droit et Internet.
Editions
[Sin99] Simon Sing. Histoire des codes secrets. Lattès, 1999. 60, 68
[Séd97] Valérie Sédallian. Droit de l’Internet. Collection AUI, 1997. Livre téléchargeable
gratuitement sur http ://www.internet-juridique.net/livre.html. 147
217

Internet, commerce et politique - Olivier Ricou

Transcription

Documents pareils

Fiche syst`eme d`assainissement 2014 ESTILLAC (AGROPOLE

CSI 3525, Automne 2003, Devoir 4 Par equipe de deux

Attaques Informatique

Des noms qui viennent de loin Les strates du vocabulaire anatomique

Introduction `a Matlab

Scènes du monde, création, savoirs critiques

Préparation des assemblages soudés

Musique - Théâtre du Château