The InterPlanetary File System, more broadly known as IPFS , has been around for nearly a decade.

While the name may sound alien to the general public, the peer-to-peer file storage network has a growing user base among the tech-savvy.

In short, IPFS is a decentralized network where users make files available to each other. The system makes websites and files censorship-resistant and not vulnerable to regular hosting outages; as long as at least one user in the network continues to share.

These advantages allow archivists, content creators, researchers, and others to reliably distribute large volumes of data over the Internet. Many developers support the project and some do so actively, by running an IPFS gateway that the public can freely use to access IPFS-stored content.

IPFS DMCA Notices

The operators of these gateways are not aware of how people use them; they simply enable the technology. However, that hasn’t stopped copyright holders from sending complaints that urge operators to prevent alleged copyright infringements.

In recent years, several gateway operators have received DMCA takedown requests for content available through, but not stored on, their service. These complaints are not only lodged against small players. Cloudflare has also received thousands of takedown requests.

While Cloudflare has in-house legal experts to rely on, these notices can be a challenge for smaller developers who tend to run IPFS gateways as hobby projects. This also applies to computer scientist Mike Damm, who operates the Hardbin.com service.

IPFS & JetBrains Keys

Hardbin is an encrypted pastebin that enables users to share text. The service relies on IPFS for storing content and offers a gateway through which it can be viewed publicly.

Technically, Hardbin doesn’t store any third-party material but it can be published and accessed through the site. Not all rightsholders are happy with this and the Czech software company JetBrains shared its concerns with the operator last October.

JetBrains sent a takedown notice to the site, asking for the content to be removed. In response, Mr. Damm explained that Hardbin.com is an IPFS gateway that doesn’t store content, hoping that would resolve the matter. It didn’t.

While JetBrains now understands that IPFS gateways don’t store content, the company suggested disabling the Hardbin.com URL through which the software keys can be accessed. If not, the operator could be liable for copyright infringement under the DMCA, the software company warned.

“By knowingly facilitating the access to the cracks, activation codes, or other methods that aim to circumvent measures for protecting JetBrains’ products from unauthorized use, you are directly liable, even if you did not directly engage in software piracy activities.”

“Further, by knowingly inducing or providing links to the tools which are then employed in unauthorized access of JetBrains’ software, you may be liable for contributory copyright infringement,” JetBrains added.

Note: While Hardbin had an active “write” function, TorrentFreak was informed that the HTML file at issue here wasn’t uploaded to the IPFS network using Hardbin. It was uploaded by third parties using an external service, but accessible through Hardbin’s gateway.

EFF Steps Up

Faced with this legal conundrum, Mr. Damm reached out to the Electronic Frontier Foundation ( EFF ), who stepped up to help. EFF replied to JetBrains on behalf of the Hardbin.com operator, stressing that the service is not legally responsible for the alleged availability of the pirated software keys.

“That suggestion is baseless. As Mr. Damm has explained, an IPFS gateway is a conduit similar to VPNs, internet access services, or Tor nodes,” the letter from EFF attorney Kit Walsh reads.

“Mr. Damm is not presenting the complained-of link to the public; the link is only generated when a user provides the hash that identifies the file they wish to retrieve. This step is analogous to providing a domain name to an ISP’s DNS server in order to obtain the IP address corresponding to that domain..,” Walsh adds.

JetBrains’s suggestion that Hardbin violates the DMCA is not accurate, according to EFF. The letter points out that the IPFS gateway is not a hosting service, but a general-purpose conduit for information, which should not be held liable.

The software company sent its letter under Section 1201 of the DMCA, which applies to trafficking in circumvention technology. This is different from the traditional Section 512 takedowns. However, EFF sees no reason why liability should apply in this case.

“It would be absurd to suggest that Congress granted conduits special immunity for copyright claims based on third party activity but then, in the same statute, made them liable for pseudo-copyright Section 1201 claims,” Walsh writes.

Liability is Complex

EFF’s response doesn’t necessarily suggest that all IPFS gateways are immune to liability. Speaking with TorrentFreak, Walsh explains that there are several aspects operators may want to consider before sending a similarly styled response.

This includes whether they make money by offering the gateway service to users with accounts, whether they have made any statements encouraging people to use their service for infringement, and whether they host the complained-of files.

Thus far, the responses from IPFS operators have been mixed. Cloudflare, for example, has disabled access to thousands of externally stored files through its IPFS gateway, and other gateways have responded similarly in the past.

UK-based programmer James Stanley, who previously operated Hardbin.com, temporarily took the entire service offline when he received requests to take down thousands of links. Legal threats and uncertainties make it less fun to run these projects, he noted at the time.

Hardbin’s current operator sought help from EFF and the site remains online. To hear the other side of the story we also reached out to JetBrains but the company has yet to reply.

While IPFS gateway operators can feel strengthened by the position EFF takes in its response, legal uncertainties always remain. EFF’s Kit Walsh informs us that she will consider writing a FAQ to address these legal aspects and nuances, similar to the legal FAQ for TOR relay operators.

—

A copy of the second takedown notice Jetbrains sent to Mr. Damm is available here (pdf) and EFF’s response letter can be found here (pdf)

From: TF , for the latest news on copyright battles, piracy and more.

Over the past several years we’ve covered dozens of copyright troll cases against tens of thousands of alleged copyright infringers.

Our coverage mostly focuses on piracy-related cases, but there are other variants too. Outfits that target blogs and other websites for using photos without permission, for example.

The definition of the term ‘copyright troll’ is fluid. In the file-sharing space it typically refers to parties that accuse large numbers of people of copyright infringement, who are then threatened with legal action and the potential for large damages awards. Targets are encouraged to pay settlements to ensure these legal problems go away.

The phenomenon has been ongoing for well over a decade and while the most severe examples have disappeared, the business model remains active today. According to an amicus curiae brief filed at the Supreme Court last week, the problem could get worse.

Copyright Troll Warning

These cautionary words come from the Electronic Frontier Foundation (EFF), the Authors Alliance, the American Library Association, and the Association of Research Libraries. They intervened in the Warner Chappell Music v. Nealy lawsuit, a music copyright case that in itself is unrelated to copyright trolling.

The case in question deals with the period during which rightsholders can recover damages for copyright infringement, known as the ‘discovery accrual rule’.

According to U.S. copyright law, there is a three-year statute of limitations to file complaints. This period starts after a rightsholder ‘discovers’ the infringement. Courts have been split on whether this three-year limitation also applies to the damages that can be claimed, or if ‘damages accrual’ can go further back.

Don’t Feed the Trolls

According to the amicus curiae brief, an extended damages accrual period could give more ammunition to copyright trolls. It would allow them to claim that they only just discovered infringements that took place many years ago, allowing them to claim damages beyond three years.

“The discovery accrual rule as interpreted by the Eleventh Circuit in this case […] encourages copyright trolling. The ability to recover damages for infringements that occurred an arbitrarily long time ago, as long as litigation is begun within three years of discovery, expands the opportunities to seek nuisance-value settlements against numerous internet users.

“The problem of copyright trolling illustrates why the Court should hold that infringement claims accrue when the infringement occurs, with the three-year statute of limitations running from that date,” the groups add.

Torrents, Photos, and More

The filing provides a detailed overview of the copyright trolling landscape. This includes the many lawsuits filed against BitTorrent users, who are targeted for sharing pirated movies. These lawsuits are typically settled or dismissed and rarely go to trial.

While this practice is still common today, courts have limited their scope; in some jurisdictions, trolls are no longer welcome.

“Many courts have thrown out these suits on procedural grounds (such as improper joinder and lack of personal jurisdiction), and courts have recognized the impropriety of using the judicial process solely to extract quick settlements,” the brief notes.

In BitTorrent cases, rightsholders have to actively monitor for copyright infringements, so lawsuits are not typically filed after many years have passed. For image-related trolling, the position differs.

Reverse image search tools allow photographers and their attorneys to spot content posted a long time ago. They can then go after alleged infringers years later, claiming damages.

“These demands frequently concern images posted well over three years earlier. Such postings cause little or no monetary harm to rightsholders, no significant gain for website authors, and would not otherwise be the subject of litigation,” the brief reads.

Time Limited Damages

The amici are concerned that if rightsholders can claim damages for much longer periods, this would only make the trolling problem worse. In a recent blog post , EFF explains its concerns in detail, asking the Supreme Court to mind the trolls.

Copyright disputes come in many forms, but EFF stresses that courts should ensure judicial safeguards are in place to prevent abuse. They note that limiting the damage period is key to prevent excessive trolling.

“EFF filed its brief in this case to ask the Supreme Court to extend these judicial safeguards, by holding that copyright infringement damages can only be recovered for acts occurring three years before the filing of the complaint.

“An indefinite statute of limitations would throw gasoline on the copyright troll fire and risk encouraging new trolls to come out from under the figurative bridge,” EFF concludes.

—

A copy of the full amicus curiae brief, submitted by EFF, the Authors Alliance, the American Library Association, and the Association of Research Libraries, is available here (pdf)

From: TF , for the latest news on copyright battles, piracy and more.

There are thousands of pirate sites on the Internet but only a few will receive a permanent entry in the history books. That includes Sci-Hub .

Founded by Kazakhstani computer programmer Alexandria Elbakyan, the shadow library provides free access to millions of academic publications. As such, it’s an essential tool for less privileged students and researchers around the world.

Tearing Down Paywalls Since 2011

Without Sci-Hub, many academics would be unable to complete their research projects. This all comes at the detriment of the profits of major publishers, but many argue that’s an easy tradeoff to make.

Alexandra knows this from experience. She started Sci-Hub after running into accessibility problems more than a decade ago while studying at a less fortunate university.

“When I was working on my research project, I found out that all research papers I needed for work were paywalled. I was a student in Kazakhstan at the time and our university was not subscribed to anything,” Alexandra told TorrentFreak years ago.

Today, Sci-Hub continues to tear down academic paywalls but that comes at a cost. Sci-Hub has been sued several times and owes millions in damages to major publishers. In addition, Elbakyan also drew the attention of the FBI.

Instead of throwing in the towel, Sci-Hub’s founder continues to defend her ideals. They’re a thorn in the side of major publishers, but on the other side of the debate, Elbakyan reaps praise.

EFF Award

This week, the Electronic Frontier Foundation (EFF) announced that Sci-Hub’s founder will receive an award for her accomplishments in advancing access to scientific knowledge.

EFF’s awards are presented to people who have taken a leading role in the fight for freedom and innovation online. The previous winners include Internet pioneer Vint Cerf, Linux creator Linus Torvalds, and whistleblower Chelsea Manning.

According to EFF, Elbakyan deserves the award as her life’s work enables millions of people to access scientific knowledge that would otherwise exist beyond their financial reach.

“Sci-Hub is used by millions of students, researchers, medical professionals, journalists, inventors, and curious people all over the world, many of whom provide feedback saying they are grateful for this access to knowledge.

“Some medical professionals have said Sci-Hub helps save human lives; some students have said they wouldn’t be able to complete their education without Sci-Hub’s help,” EFF adds.

The Real Threat?

EFF also highlights that Elbakyan’s work helps to challenge the current academic publishing system, where researchers are used as unpaid workhorses.

“Through Sci-Hub, Elbakyan has strived to shatter academic publishing’s monopoly-like mechanisms in which publishers charge high prices even though authors of articles in academic journals receive no payment,” EFF writes.

Elbakyan previously said that academic publishers are the real threat to the progress of science as they keep scientific progress and findings behind closed doors, instead of sharing knowledge freely as Sci-Hub does.

In addition to Elbakyan, the digital rights group will also present awards to the Library Freedom Project and the Signal Foundation for their achievements.

‘I Am Sci-Hub’

Sci-Hub’s founder is pleased with EFF’s acknowledgment, although the initial plan to give the award to the Sci-Hub website, rather than her personally, wasn’t well received.

“It was really disgusting to read they ask me to accept their EFF Pioneer award ‘on behalf of Sci-Hub’,” Elbakyan said in response two weeks before the awards were officially announced.

“Why did not they want to give the award to me directly? Sci-Hub is my sole creation; it is not an organization and never had any team. In 1998 they awarded Torvalds, not Linux,” she added.

That commentary apparently made EFF reconsider its plan. The award now goes to Elbakyan directly and it will be officially handed out at the awards ceremony in San Francisco this coming September.

EFF previously recognized that it may be challenging for Sci-Hub’s founder to attend the ceremony in person, noting that there are secure methods of communication available in case she prefers to accept it virtually instead.

From: TF , for the latest news on copyright battles, piracy and more.

In 2020, YouTube ripper Yout.com sued the RIAA , asking a Connecticut district court to declare that the site does not violate the DMCA’s anti-circumvention provision.

The music group had previously used DMCA takedown notices to remove many of Yout’s appearances in Google’s search results. This had a significant impact on revenues, the site argued, adding that it always believed it wasn’t breaking any laws and hoped the court would agree.

Dismissal and Appeal

Last October, the Connecticut district court concluded that Yout had failed to show that it doesn’t circumvent YouTube’s technological protection measures. As such, it could be breaking the law.

Yout operator Johnathan Nader opted to appeal the decision. Nader’s attorneys filed their opening brief last week at the Court of Appeals for the Second Circuit, asking it to reverse the lower court’s decision.

The YouTube ripper is not the only party calling for a reversal. Yesterday, Microsoft-owned developer platform GitHub submitted an amicus brief that argues for the same. And in a separate filing, the EFF also agrees that the lower court’s decision should be overturned.

GitHub’s Amicus Brief

GitHub’s brief starts by pointing out that the company takes no position on the ultimate resolution of this appeal, nor does it side with all of Yout’s arguments. However, it does believe that the lower court’s interpretation of the DMCA is dangerous.

The district court held that stream rippers can violate the DMCA’s anti-circumvention provision. The court noted that these tools allow people to download video and audio from YouTube, despite the streaming platform’s lack of a download button.

According to GitHub, this conclusion is premature, dangerous, and places other software types at risk.

“[T]he district court’s expansive interpretation of the DMCA’s anti-circumvention provision compels GitHub to point out how the court’s rationale needlessly threatens countless other software tools in widespread use,” GitHub writes.

The developer platform is not new to this issue. The RIAA previously tried to remove the open-source software youtube-dl – upon which Yout.com relies – from its platform. After initially removing it, GitHub later decided to reinstate the project , arguing that it doesn’t violate the DMCA.

In the present lawsuit, GitHub reiterates that stream-ripping tools should not be outlawed. The fact that YouTube doesn’t have a download button doesn’t mean that tools that enable people to download videos circumvent technological access restrictions.

“YouTube’s decision not to provide its own ‘download’ button, however, is not a restriction on access to works. It merely affects how users experience them,” GitHub writes.

If the court order is allowed to stand, GitHub warns that a broad group of developers could be exposed to criminal liability, effectively chilling technological innovation.

“The district court’s expansive interpretation is particularly alarming because, unlike most copyright provisions, the DMCA imposes criminal penalties. At a minimum, those penalties underscore the importance of rejecting a construction that sweeps in a broad range of widely accepted conduct.”

Browser Extensions, Screen Readers, Ad-Blockers and More

YouTube download tools are not the only types of software at risk, according to GitHub. There are many others that affect ‘how users experience’ online websites. These could also be seen as problematic, based on the district court’s expansive interpretation of the DMCA.

GitHub lists several examples, including browser extensions such as ‘Dark Reader,’ ‘Google Translate,’ and ‘OpenDyslexic’. The same also applies to screen readers, ad blockers, and media player software such as VLC, which plays YouTube videos outside of a web browser.

These widely accepted tools could put their creators at risk if the DMCA is interpreted too strictly, GitHub warns.

“On the district court’s erroneous theory, the developers who offer those widely embraced applications could be criminals facing hundreds of thousands of dollars in fines or years in prison.”

EFF’s Amicus Brief

The Electronic Frontier Foundation ( EFF ) also submitted an amicus curiae brief yesterday. The digital rights group takes interest in copyright cases, particularly when they get in the way of people’s ability to freely use technology.

In this instance, EFF points out that stream-rippers such as Yout.com provide a neutral technology with plenty of legal uses. They can be used for infringing purposes, but that’s also true for existing technologies – the printing press, for example.

“Like every reproduction technology — from the printing press to the smartphone — these programs, colloquially called ‘streamrippers,’ have important lawful uses as well as infringing ones.

“Video creators, educators, journalists, and human rights organizations all depend on the ability to make copies of user-uploaded videos,” EFF adds.

In common with GitHub, EFF notes that the absence of a download button on YouTube doesn’t imply that download tools automatically violate the DMCA, especially when there are no effective download restrictions on the platform.

‘No Encryption’

The DMCA’s anti-circumvention provision is aimed at tools that bypass effective technological access restrictions. That doesn’t apply to YouTube’s Javascript-based code, EFF argues.

“The YouTube website code at issue in this case is different: it was not clearly designed to limit access to videos, or the ability to copy them. YouTube videos arrive at a viewer’s device with no encryption or scrambling. No login, password, key, or other secret knowledge is required to gain access.

“Tellingly, YouTube does use encryption and a password-controlled login to limit access to subscribers of its separate pay-TV service, YouTube TV,” EFF adds.

According to EFF, Yout and similar tools provide the same functions as video cassette recorders once did. They allow people to make copies of videos that are posted publicly by their creators.

In addition, these tools are vital for some reporters and useful to creatives who use them for future work.

“Journalists and human rights monitoring organizations need to be able to save copies of eyewitness videos documenting notable events, conflicts, and malfeasance. Even copyright holders and their licensees rely on tools like Yout.com to download copies of their own or licensed works.”

“This Court should reject the unwarranted expansion of Section 1201 liability, and reverse the dismissal of Yout.com’s claims,” EFF concludes.

The RIAA has yet to respond to Yout’s appeal brief. Considering the importance of the case, it seems likely that they will also receive support from other rightsholders or their representatives.

—

A copy of GitHub’s Amicus Curiae brief calling for the reversal of the lower court’s decision in favor of the RIAA is available here (pdf) and EFF’s brief can be found here (pdf)

From: TF , for the latest news on copyright battles, piracy and more.

Bonjour à tous ! Le titre est assez explicite : on rempile sur d'autres points de vue sur le chiffrement, ce qui a été dit, les argumentaires etc. Le chiffrement est un thème complexe en général, et avant d'en avoir fait le tour, il est nécessaire d'avoir beaucoup lu, réfléchi, etc. Et encore, notre...

Bonjour à tous !

Le titre est assez explicite : on rempile sur d'autres points de vue sur le chiffrement, ce qui a été dit, les argumentaires etc.

Le chiffrement est un thème complexe en général, et avant d'en avoir fait le tour, il est nécessaire d'avoir beaucoup lu, réfléchi, etc. Et encore, notre réflexion ne s'attaque aux algorithmes que superficiellement, histoire d'en connaître leur structure et leur utilité, pas les détails d'implémentation. Vous l'avez compris, on reprend là où on s'était arrêtés.

L'EFF

On va commencer par l'argumentaire de l'EFF --- l'Electronic Frontier Foundation, une ONG composée de geeks et d'avocats, à ce que je vois, pour défendre bien des idéaux sur le net --- qui a publié un amicus curiæ --- ami de la cour en latin, désigne par métonymie un document qui servait à éclairer les décisions du souverain à l'époque, et à proposer un point de vue au gouvernement. Et vous n'imaginez pas ma surprise en le lisant. Je pensais --- sans être exhaustif, bien sûr --- avoir abordé la majorité des points importants à soulever dans ce débat, même brièvement. Eh bah non. l'amicus curiæ de l'EFF se trouve ici, et commence sur un ton très différent de mes articles sur le chiffrement. Merci internet, j'adore. Ça commence p.9 à la ligne 7.5 (si, si, allez voir le document vous dis-je) :

Amici curiae submitting this brief have a special interest in helping this Court understand that its Order places a significant burden on the free speech rights of Apple and its programmers by compelling them to write code and then to use their digital signature to endorse that code to the FBI, their customers and the world.

Si j'essaie de traduire pour les anglophobes/angloagnostiques, ça donne quelque chose comme :

Les Amis de la cour qui soumettent ce dossier ont un intérêt particulier à faire comprendre à la Cour que cet Arrêt (la demande de backdoor du chiffrement par un juge, NDT) pèse contre la liberté d'expression d'Apple et de ses programmeurs, puisque cet Arrêt les oblige à écrire du code et le signer numériquement et prendre la responsabilité de ce code devant le FBI, ses clients (Apple) et le monde.

En gros, et en français moins littéral, l'EFF soutien que :

• le premier amendement des États-Unis s'applique au code écrit par Apple (cf. la suite de l'amicus, où p.11 ils défendent le fait que le premier amendement est applicable) ;
• "par conséquent" --- tout l'intérêt de l'argumentation de l'amicus --- imposer à Apple d'écrire du code qui n'est pas le leur, puis de le signer constitue une violation du premier amendement du Bill of Rights.

On remarque qu'il y a un abîme culturel entre mon mode de pensée et celui des juristes américains, très pragmatiques, qui savent quels sont les outils à leur disposition, en l'occurence leur Constitution.

Il faut savoir qu'aux États-Unis, les principes énoncés dans le Bill of Rights ont une valeur beaucoup plus forte que dans notre France et son droit romain. C'est justement lié au type de droit en vigueur, notamment l'opposition droit romain/droit anglosaxon. Typiquement, le droit romain essaie à l'avance de prévoir tous les cas, et de définir les peines associées si nécessaire. Ce n'est pas le cas du droit anglosaxon où la jurisprudence et le lien entre les affaires est beaucoup plus important. Ainsi aux États-Unis, le premier amendement est quasi-absolu : il garantit la possibilité de pouvoir tout dire, mais dans le cas où une personne tient un discours haineux, à teneur racial où je ne sais quoi, elle risque de se retrouver devant les tribunaux s'il y a quelqu'un pour dire : "Ce que tu as dit là me porte préjudice".

Analyse

Vous comprenez la force de cet argumentaire : un juge ne peut pas décemment aller contre la constitution des États-Unis, de même le FBI ne peut pas obtenir une ordonance d'un juge pour forcer Apple à écrire du code qui n'est pas de lui. C'est sur cette base que l'amicus attaque l'ordonance qui contraint Apple (beaucoup de boîtes par extension).

À mon avis, ce type d'argumentaire a quand même une faiblesse si on regarde ce qui se passe en France : des députés menés par le Républicain Éric Ciotti ont essayé d'interdire le chiffrement fort en rendant illégal le refus de transférer des données chiffrées, applicable pour les vendeurs de logiciel, les opérateurs de télécommunications, et probablement de matériel (pas écrit mais on peut discuter la nature du chiffrement matériel à mon avis).

Les conséquences de ce type d'amendement qui interdit "les entreprises qui fournissent du chiffrement fort" de facto empêcherait des entreprises comme Apple de fournir du chiffrement fort pour la simple et bonne raison qu'Apple ne peut pas se permettre de perdre un à un des marchés aussi importants.

En conclusion de cette première partie, on peut dire que sauf si les États s'amusent à changer les règles du marché, ce qui est complètement possible, l'argumentaire de l'EFF est très fort aux États-Unis et très intéressant.

John Oliver hôte de Last Week Tonight : encryption

Vous le savez, Hashtagueule a une longueur d'avance sur tout dans ce monde --- ou presque ! Bon, d'accord, ce n'est pas vrai, sauf parfois, et en ce qui concerne le chiffrement, on est plutôt à l'heure. Donc, entre mon précédent article sur le chiffrement et celui-ci, un comédien britannique nommé John Oliver et émigré aux États-Unis a décidé que le thème de son seul-en-scène quasi-hebdomadaire à la télévision serait sur le chiffrement. Voici la vidéo sur DailyMotion et la même sur YouTube (pas disponible partout).

Je vous encourage à la regarder, puisque c'est fait sur un ton humoristique, et qu'une partie de ce qui suit commente la vidéo.

• À 2:18/6:10, John Oliver parle de l'iPhone de Syed Farook, et dit que le FBI ne peut pas rentrer dedans, ce qui n'est que la moitié de l'histoire : Apple a fourni la backup iCloud de cet iPhone. De plus la NSA a des accès aux iPhones probablement via des malwares et autres chevaux de troie, cf. ce qu'en dit Snowden, conséquence du fait qu'il n'existe pas de machine de Turing (donc d'ordinateur) absolument sécurisée contre toutes les attaques.
• À 4:26 : en effet, beaucoup pensent de manière trop simpliste au chiffrement. Pas de sécurité sur internet sans. Et c'est pas parce qu'on veut quelque chose qu'on l'obtient. En l'occurrence, les maths disent le contraire : si je chiffre des données avec un algorithme puissant, il va parfois être nécessaire d'utiliser des centaines de machines pendant des milliers d'heures pour décrypter ce qui a été chiffré. D'où l'utilisation d'une backdoor dans le logiciel comme solution alternative.
• À 8:00 : 175 iPhones état de NY seul. Cela conforte mon opinion que l'essentiel de cette affaire est le côté légal, cf. les autres arguments de La guerre sur le chiffrement 1.
• À 8:39 : All Writs Act : déjà cité dans l'amicus de l'EFF : selon l'EFF cet argument de type légal ne peut pas aller contre la constitution, cf. p.32 de l'amicus. Le texte de la loi énonce :

(a) The Supreme Court and all courts established by Act of Congress may issue all writs necessary or appropriate in aid of their respective jurisdictions and agreeable to the usages and principles of law.

En gros les juridictions peuvent faire les décrets pour faire appliquer des lois en vigueur, dans les limites de la loi.

Une brêve histoire de la guerre contre le chiffrement

• À 8:50--9:55 : John parle rapidement de l'histoire sur la guerre contre le chiffrement. Eh oui. C'est pas nouveau sous le soleil, tout ça, loin de là ! J'en profite pour faire un exposé un peu plus approfondi sur le sujet.

Dans les années 90, le chiffrement était encore classé comme arme de guerre aux États-Unis, avec les avantages et les inconvénients que ça comporte (le droit de porter une arme, par exemple) :

Legal Hacks @xkcd.com/504

Les inconvénients étant que l'export d'armes depuis les États-Unis était limité --- interdit aux civils.

N'en faisant qu'à sa tête --- et on le remercie --- Philip Zimmermann publie sur son FTP (public) le code source de sa première version de PGP (Pretty Good Privacy) un logiciel de chiffrement destiné aux mails (puis il publiera le code source dans un livre, de mémoire, qui sera publié à l'étranger :)).

Le résultat, c'est qu'il a eu des problèmes pendant à peu près trois grosses années pour avoir fait ça, et qu'un peu avant il a été repéré par un type super du nom de Eben Moglen --- un socle en ce qui concerne le droit dans le logiciel libre --- ce qu'il raconte dans cette vidéo YouTube de 10 min (le lien envoie directement à la partie sur le chiffrement), et aussi dans ce plus long PDF.

Pour faire court jusqu'en 1995 il aura des soucis avec la justice, jusqu'à ce que l'affaire tombe, lorsque les banques et commerces se sont rendus compte qu'il ne pouvait pas y avoir de transactions sur internet sans chiffrement pour la confidentialité, et signature pour la sécurité des échanges.

John Oliver ne parle pas énormément du problème qu'aurait été le fameux "Clipper Chip" permettant aux gouvernements une backdoor généralisée dans les ordinateurs : peut-être la majorité fait-elle confiance au gouvernement états-unien pour ne pas être dangereux, autant d'autres gouvernements sur la planète ne sont pas si agréables.

Qui plus est, on a appris que la NSA avait des programmes pour faire de l'espionnage industriel ce qui veut dire que même du gouvernement états-unien, beaucoup ont intérêt à se protéger, au moins un minimum.

• À 12:21 : "most agree" : cf les 46 grands noms de l'informatique qui signent l'amicus de l'EFF. Au hasard, il y a des cryptographes renommés (Zimmermann, Martin Hellman, Ron Rivest et j'en passe...), le créateur du langage Python, un des professeurs de Donald Knuth (impressionant !) et beaucoup trop pour une toute petite liste, allez lire la fin de l'amicus.
• À 12:55--13:34 : Le chiffrement est disponible et amélioré souvent en  open source ou logiciel libre, ou les algorithmes sont ouverts et disponibles sur internet. Personnellement je préfère utiliser Signal que Telegram, et Snowden aussi (et cette fois c'est pas du bullshit contrairement à la case "Le saviez-vous" de Hashtagueule, où l'une des citations est "Je tiens mes infos de Hashtagueule --- Snowden")
• À 15:00 : "until i started getting briefed by people in the intel community." Je pense que la conclusion la plus objective concernant la guerre sur le chiffrement est "it's possible. but not that simple".

De nouvelles perspectives ?

Le dernier point que je vais aborder est la confiance. Je l'ai déjà évoquée, mais je refais une couche pour illustrer. Si l'on avait plus confiance dans son smartphone, de nouveaux services pourraient voir le jour, de nouvelles utilisation exister. Par exemple peu de gens utilisent leur téléphone pour parler à leur avocat ou leur notaire (je sais qu'il s'agit d'actes rares, mais surtout d'un endroit où il faut avoir pleinement confiance dans l'identité de la personne à qui l'on parle, les données échangées).

Pour illustrer mon propos, je vais faire simple : avec du chiffrement, les écoutes entre le téléphone portable de Sarkozy et son avocat auraient été plus difficilles. Il aurait fallu compromettre le téléphone et non pas seulement le mettre sur écoute. Qu'on l'aime ou qu'on trouve que c'est une ordure, je ne peux pas le plaindre étant donné qu'il a le premier renforcé discrètement le renseignement, et que sans son décret de 2008, il n'aurait peut-être pas été mis sur écoute, et qu'avec du chiffrement fort, il aurait très probablement eu la paix.

Merci de m'avoir suivi jusqu'ici, je vous souhaite une très bonne journée, j'espère que vous commenterez l'article, donnerez votre opinion sur le chiffrement, que ça nourira votre pensée itout. À très vite !

Motius

PS : tl;dr :

• l'EFF utilise le premier amendement pour défendre le droit d'Apple d'écrire du code, et par extension des logiciels de chiffrement fort.
• John Oliver traite du chiffrement dans son seul-en-scène.

Bonjour à tous ! Le titre est assez explicite : on rempile sur d'autres points de vue sur le chiffrement, ce qui a été dit, les argumentaires etc. Le chiffrement est un thème complexe en général, et avant d'en avoir fait le tour, il est nécessaire d'avoir beaucoup lu, réfléchi, etc. Et encore, notre...

Bonjour à tous !

Le titre est assez explicite : on rempile sur d'autres points de vue sur le chiffrement, ce qui a été dit, les argumentaires etc.

Le chiffrement est un thème complexe en général, et avant d'en avoir fait le tour, il est nécessaire d'avoir beaucoup lu, réfléchi, etc. Et encore, notre réflexion ne s'attaque aux algorithmes que superficiellement, histoire d'en connaître leur structure et leur utilité, pas les détails d'implémentation. Vous l'avez compris, on reprend là où on s'était arrêtés.

L'EFF

On va commencer par l'argumentaire de l'EFF --- l'Electronic Frontier Foundation, une ONG composée de geeks et d'avocats, à ce que je vois, pour défendre bien des idéaux sur le net --- qui a publié un amicus curiæ --- ami de la cour en latin, désigne par métonymie un document qui servait à éclairer les décisions du souverain à l'époque, et à proposer un point de vue au gouvernement. Et vous n'imaginez pas ma surprise en le lisant. Je pensais --- sans être exhaustif, bien sûr --- avoir abordé la majorité des points importants à soulever dans ce débat, même brièvement. Eh bah non. l'amicus curiæ de l'EFF se trouve ici, et commence sur un ton très différent de mes articles sur le chiffrement. Merci internet, j'adore. Ça commence p.9 à la ligne 7.5 (si, si, allez voir le document vous dis-je) :

Amici curiae submitting this brief have a special interest in helping this Court understand that its Order places a significant burden on the free speech rights of Apple and its programmers by compelling them to write code and then to use their digital signature to endorse that code to the FBI, their customers and the world.

Si j'essaie de traduire pour les anglophobes/angloagnostiques, ça donne quelque chose comme :

Les Amis de la cour qui soumettent ce dossier ont un intérêt particulier à faire comprendre à la Cour que cet Arrêt (la demande de backdoor du chiffrement par un juge, NDT) pèse contre la liberté d'expression d'Apple et de ses programmeurs, puisque cet Arrêt les oblige à écrire du code et le signer numériquement et prendre la responsabilité de ce code devant le FBI, ses clients (Apple) et le monde.

En gros, et en français moins littéral, l'EFF soutien que :

• le premier amendement des États-Unis s'applique au code écrit par Apple (cf. la suite de l'amicus, où p.11 ils défendent le fait que le premier amendement est applicable) ;
• "par conséquent" --- tout l'intérêt de l'argumentation de l'amicus --- imposer à Apple d'écrire du code qui n'est pas le leur, puis de le signer constitue une violation du premier amendement du Bill of Rights.

On remarque qu'il y a un abîme culturel entre mon mode de pensée et celui des juristes américains, très pragmatiques, qui savent quels sont les outils à leur disposition, en l'occurence leur Constitution.

Il faut savoir qu'aux États-Unis, les principes énoncés dans le Bill of Rights ont une valeur beaucoup plus forte que dans notre France et son droit romain. C'est justement lié au type de droit en vigueur, notamment l'opposition droit romain/droit anglosaxon. Typiquement, le droit romain essaie à l'avance de prévoir tous les cas, et de définir les peines associées si nécessaire. Ce n'est pas le cas du droit anglosaxon où la jurisprudence et le lien entre les affaires est beaucoup plus important. Ainsi aux États-Unis, le premier amendement est quasi-absolu : il garantit la possibilité de pouvoir tout dire, mais dans le cas où une personne tient un discours haineux, à teneur racial où je ne sais quoi, elle risque de se retrouver devant les tribunaux s'il y a quelqu'un pour dire : "Ce que tu as dit là me porte préjudice".

Analyse

Vous comprenez la force de cet argumentaire : un juge ne peut pas décemment aller contre la constitution des États-Unis, de même le FBI ne peut pas obtenir une ordonance d'un juge pour forcer Apple à écrire du code qui n'est pas de lui. C'est sur cette base que l'amicus attaque l'ordonance qui contraint Apple (beaucoup de boîtes par extension).

À mon avis, ce type d'argumentaire a quand même une faiblesse si on regarde ce qui se passe en France : des députés menés par le Républicain Éric Ciotti ont essayé d'interdire le chiffrement fort en rendant illégal le refus de transférer des données chiffrées, applicable pour les vendeurs de logiciel, les opérateurs de télécommunications, et probablement de matériel (pas écrit mais on peut discuter la nature du chiffrement matériel à mon avis).

Les conséquences de ce type d'amendement qui interdit "les entreprises qui fournissent du chiffrement fort" de facto empêcherait des entreprises comme Apple de fournir du chiffrement fort pour la simple et bonne raison qu'Apple ne peut pas se permettre de perdre un à un des marchés aussi importants.

En conclusion de cette première partie, on peut dire que sauf si les États s'amusent à changer les règles du marché, ce qui est complètement possible, l'argumentaire de l'EFF est très fort aux États-Unis et très intéressant.

John Oliver hôte de Last Week Tonight : encryption

Vous le savez, Hashtagueule a une longueur d'avance sur tout dans ce monde --- ou presque ! Bon, d'accord, ce n'est pas vrai, sauf parfois, et en ce qui concerne le chiffrement, on est plutôt à l'heure. Donc, entre mon précédent article sur le chiffrement et celui-ci, un comédien britannique nommé John Oliver et émigré aux États-Unis a décidé que le thème de son seul-en-scène quasi-hebdomadaire à la télévision serait sur le chiffrement. Voici la vidéo sur DailyMotion et la même sur YouTube (pas disponible partout).

Je vous encourage à la regarder, puisque c'est fait sur un ton humoristique, et qu'une partie de ce qui suit commente la vidéo.

• À 2:18/6:10, John Oliver parle de l'iPhone de Syed Farook, et dit que le FBI ne peut pas rentrer dedans, ce qui n'est que la moitié de l'histoire : Apple a fourni la backup iCloud de cet iPhone. De plus la NSA a des accès aux iPhones probablement via des malwares et autres chevaux de troie, cf. ce qu'en dit Snowden, conséquence du fait qu'il n'existe pas de machine de Turing (donc d'ordinateur) absolument sécurisée contre toutes les attaques.
• À 4:26 : en effet, beaucoup pensent de manière trop simpliste au chiffrement. Pas de sécurité sur internet sans. Et c'est pas parce qu'on veut quelque chose qu'on l'obtient. En l'occurrence, les maths disent le contraire : si je chiffre des données avec un algorithme puissant, il va parfois être nécessaire d'utiliser des centaines de machines pendant des milliers d'heures pour décrypter ce qui a été chiffré. D'où l'utilisation d'une backdoor dans le logiciel comme solution alternative.
• À 8:00 : 175 iPhones état de NY seul. Cela conforte mon opinion que l'essentiel de cette affaire est le côté légal, cf. les autres arguments de La guerre sur le chiffrement 1.
• À 8:39 : All Writs Act : déjà cité dans l'amicus de l'EFF : selon l'EFF cet argument de type légal ne peut pas aller contre la constitution, cf. p.32 de l'amicus. Le texte de la loi énonce :

(a) The Supreme Court and all courts established by Act of Congress may issue all writs necessary or appropriate in aid of their respective jurisdictions and agreeable to the usages and principles of law.

En gros les juridictions peuvent faire les décrets pour faire appliquer des lois en vigueur, dans les limites de la loi.

Une brêve histoire de la guerre contre le chiffrement

• À 8:50--9:55 : John parle rapidement de l'histoire sur la guerre contre le chiffrement. Eh oui. C'est pas nouveau sous le soleil, tout ça, loin de là ! J'en profite pour faire un exposé un peu plus approfondi sur le sujet.

Dans les années 90, le chiffrement était encore classé comme arme de guerre aux États-Unis, avec les avantages et les inconvénients que ça comporte (le droit de porter une arme, par exemple) :

Legal Hacks @xkcd.com/504

Les inconvénients étant que l'export d'armes depuis les États-Unis était limité --- interdit aux civils.

N'en faisant qu'à sa tête --- et on le remercie --- Philip Zimmermann publie sur son FTP (public) le code source de sa première version de PGP (Pretty Good Privacy) un logiciel de chiffrement destiné aux mails (puis il publiera le code source dans un livre, de mémoire, qui sera publié à l'étranger :)).

Le résultat, c'est qu'il a eu des problèmes pendant à peu près trois grosses années pour avoir fait ça, et qu'un peu avant il a été repéré par un type super du nom de Eben Moglen --- un socle en ce qui concerne le droit dans le logiciel libre --- ce qu'il raconte dans cette vidéo YouTube de 10 min (le lien envoie directement à la partie sur le chiffrement), et aussi dans ce plus long PDF.

Pour faire court jusqu'en 1995 il aura des soucis avec la justice, jusqu'à ce que l'affaire tombe, lorsque les banques et commerces se sont rendus compte qu'il ne pouvait pas y avoir de transactions sur internet sans chiffrement pour la confidentialité, et signature pour la sécurité des échanges.

John Oliver ne parle pas énormément du problème qu'aurait été le fameux "Clipper Chip" permettant aux gouvernements une backdoor généralisée dans les ordinateurs : peut-être la majorité fait-elle confiance au gouvernement états-unien pour ne pas être dangereux, autant d'autres gouvernements sur la planète ne sont pas si agréables.

Qui plus est, on a appris que la NSA avait des programmes pour faire de l'espionnage industriel ce qui veut dire que même du gouvernement états-unien, beaucoup ont intérêt à se protéger, au moins un minimum.

• À 12:21 : "most agree" : cf les 46 grands noms de l'informatique qui signent l'amicus de l'EFF. Au hasard, il y a des cryptographes renommés (Zimmermann, Martin Hellman, Ron Rivest et j'en passe...), le créateur du langage Python, un des professeurs de Donald Knuth (impressionant !) et beaucoup trop pour une toute petite liste, allez lire la fin de l'amicus.
• À 12:55--13:34 : Le chiffrement est disponible et amélioré souvent en  open source ou logiciel libre, ou les algorithmes sont ouverts et disponibles sur internet. Personnellement je préfère utiliser Signal que Telegram, et Snowden aussi (et cette fois c'est pas du bullshit contrairement à la case "Le saviez-vous" de Hashtagueule, où l'une des citations est "Je tiens mes infos de Hashtagueule --- Snowden")
• À 15:00 : "until i started getting briefed by people in the intel community." Je pense que la conclusion la plus objective concernant la guerre sur le chiffrement est "it's possible. but not that simple".

De nouvelles perspectives ?

Le dernier point que je vais aborder est la confiance. Je l'ai déjà évoquée, mais je refais une couche pour illustrer. Si l'on avait plus confiance dans son smartphone, de nouveaux services pourraient voir le jour, de nouvelles utilisation exister. Par exemple peu de gens utilisent leur téléphone pour parler à leur avocat ou leur notaire (je sais qu'il s'agit d'actes rares, mais surtout d'un endroit où il faut avoir pleinement confiance dans l'identité de la personne à qui l'on parle, les données échangées).

Pour illustrer mon propos, je vais faire simple : avec du chiffrement, les écoutes entre le téléphone portable de Sarkozy et son avocat auraient été plus difficilles. Il aurait fallu compromettre le téléphone et non pas seulement le mettre sur écoute. Qu'on l'aime ou qu'on trouve que c'est une ordure, je ne peux pas le plaindre étant donné qu'il a le premier renforcé discrètement le renseignement, et que sans son décret de 2008, il n'aurait peut-être pas été mis sur écoute, et qu'avec du chiffrement fort, il aurait très probablement eu la paix.

Merci de m'avoir suivi jusqu'ici, je vous souhaite une très bonne journée, j'espère que vous commenterez l'article, donnerez votre opinion sur le chiffrement, que ça nourira votre pensée itout. À très vite !

Motius

PS : tl;dr :

• l'EFF utilise le premier amendement pour défendre le droit d'Apple d'écrire du code, et par extension des logiciels de chiffrement fort.
• John Oliver traite du chiffrement dans son seul-en-scène.

Bonjour à tous ! J'espère que vous avez passé de très bonnes fêtes, je suis désolé de ne pas avoir écrit plus tôt, il y a pourtant deux autres articles en préparation mais voilà, on aime tous passer du temps en famille, et puis le boulot ça occupe, mine de rien. J'ai déjà dû vous parler de l'EFF à p...

Bonjour à tous !

J'espère que vous avez passé de très bonnes fêtes, je suis désolé de ne pas avoir écrit plus tôt, il y a pourtant deux autres articles en préparation mais voilà, on aime tous passer du temps en famille, et puis le boulot ça occupe, mine de rien.

J'ai déjà dû vous parler de l'EFF à plusieurs reprises, et aujourd'hui, --- enfin il y a une semaine --- l'EFF a mis à jour son panopticlick. Petit tour des nouveautés.

Si vous ne connaissez pas l'EFF ni son outil panopticlick, sachez que le premier est une organisation de défense des libertés sur internet (c'est-à-dire des libertés, faut dire les choses telles qu'elles sont), et l'"outil" panopticlick est une page web qui à l'origine utilisait des programmes glanés sur le web pour identifier un navigateur web de manière unique.

Pour ce faire, les outils permettaient de trouver plein d'info à propos du navigateur, comme par exemple :

• s'il accepte les cookies (peu d'infomation) ;
• la résolution de l'écran (pas mal d'information, y'a beaucoup de tailles d'écran différentes) et profondeur de couleur ;
• quels plugins et extensions sont installés sur votre navigateur (Flash, Java, GNOME shell, etc...)
• zone géographique ;
• langue et pays (fr_FR, en_US...) ;
• type de navigateur (Firefox, Chromium, Lynx, Elinks, W3m, Opéra, Chrome, etc...) ;
• version du navigateur web ;
• système d'exploitation.

Avec la version 2, l'EFF va d'abord tester si votre navigateur web bloque les publicités qui vous épient. Ça ressemble à ça :

Test de mon firefox en navigation privée. Chromium en incognito donne à peu près le même résultat.

Donc là mes navigateurs bloquent les publicités intrusives, mais ils sont identifiables. Le seul navigateur non identifiable que je connaisse est le Tor Browser.

N'hésitez pas à partager le lien vers panopticlick (et cet article ;)) puisque plus l'EFF fait de tests et mieux elle peut dire si un navigateur web apparaît unique ou non.

Bonne journée et encore bonnes fêtes !

Motius

Bonjour à tous ! J'espère que vous avez passé de très bonnes fêtes, je suis désolé de ne pas avoir écrit plus tôt, il y a pourtant deux autres articles en préparation mais voilà, on aime tous passer du temps en famille, et puis le boulot ça occupe, mine de rien. J'ai déjà dû vous parler de l'EFF à p...

Bonjour à tous !

J'espère que vous avez passé de très bonnes fêtes, je suis désolé de ne pas avoir écrit plus tôt, il y a pourtant deux autres articles en préparation mais voilà, on aime tous passer du temps en famille, et puis le boulot ça occupe, mine de rien.

J'ai déjà dû vous parler de l'EFF à plusieurs reprises, et aujourd'hui, --- enfin il y a une semaine --- l'EFF a mis à jour son panopticlick. Petit tour des nouveautés.

Si vous ne connaissez pas l'EFF ni son outil panopticlick, sachez que le premier est une organisation de défense des libertés sur internet (c'est-à-dire des libertés, faut dire les choses telles qu'elles sont), et l'"outil" panopticlick est une page web qui à l'origine utilisait des programmes glanés sur le web pour identifier un navigateur web de manière unique.

Pour ce faire, les outils permettaient de trouver plein d'info à propos du navigateur, comme par exemple :

• s'il accepte les cookies (peu d'infomation) ;
• la résolution de l'écran (pas mal d'information, y'a beaucoup de tailles d'écran différentes) et profondeur de couleur ;
• quels plugins et extensions sont installés sur votre navigateur (Flash, Java, GNOME shell, etc...)
• zone géographique ;
• langue et pays (fr_FR, en_US...) ;
• type de navigateur (Firefox, Chromium, Lynx, Elinks, W3m, Opéra, Chrome, etc...) ;
• version du navigateur web ;
• système d'exploitation.

Avec la version 2, l'EFF va d'abord tester si votre navigateur web bloque les publicités qui vous épient. Ça ressemble à ça :

Test de mon firefox en navigation privée. Chromium en incognito donne à peu près le même résultat.

Donc là mes navigateurs bloquent les publicités intrusives, mais ils sont identifiables. Le seul navigateur non identifiable que je connaisse est le Tor Browser.

N'hésitez pas à partager le lien vers panopticlick (et cet article ;)) puisque plus l'EFF fait de tests et mieux elle peut dire si un navigateur web apparaît unique ou non.

Bonne journée et encore bonnes fêtes !

Motius