Traduction : « Je ne veux pas de spam ! »

Le spam est un problème qu’à Framasoft, nous connaissons bien. Mais savez-vous à quel point ?
Je vais, dans cet article, vous dresser le tableau des soucis de spam que nous rencontrons et des contre-mesures que nous avons mises en place.

Avant cela, un peu d’histoire…

Qu’est-ce que le spam ?

Avant l’ère d’Internet, le spam n’était qu’une marque de viande en conserve.

Les Monty Python, humoristes anglais à qui l’on doit notamment les hilarants Sacré Graal ! et La vie de Brian, ont réalisé un sketch (version textuelle) dans lequel un couple, dans un restaurant, demande ce qu’il y a à la carte pour le petit déjeuner et où la serveuse ne propose que des plats avec du spam (et pas qu’un peu : « Spam, spam, spam, spam, spam, spam, baked beans, spam, spam, spam and spam. »). La femme du couple ne peut avoir de petit déjeuner sans spam, la serveuse ne lui proposant qu’encore plus de spam… (le titre de cet article est une citation de la femme du couple).

De ce sketch découle l’utilisation du terme spam pour les courriels indésirables (et tout autre message indésirable, quelle que soit la plateforme comme nous allons le voir).
De nos jours, le spam représente 50% des courriels échangés sur la planète.

Que serait une marque sans #CopyrightMadness ? Hormel Foods, l’entreprise derrière le spam a tenté d’utiliser le droit des marques pour éviter que le nom de son produit soit utilisé pour quelque chose dont personne ne veut et pour essayer d’empêcher d’autres entreprises d’utiliser le terme (comme des éditeurs de solutions anti-spam). Je croyais qu’Hormel Foods avait cessé cette lutte inutile, mais il semblerait que non, allant jusqu’à embêter Gee pour un dessin qu’il proposait sur RedBubble.

Le spam dans les courriels

Chez Framasoft, nous sommes aux deux bouts de la chaîne : nous envoyons beaucoup de courriels (dans les 15 000 courriels par jour pour nos services – inscriptions, notifications, etc. – et plus de 200 000 courriels par jour pour Framalistes) et nous en recevons aussi, que ce soit au niveau de notre serveur de courriel interne ou sur Framalistes. Il y a aussi quelques autres services qui permettent d’interagir par courriel comme notre forum, Framavox et Framagit.

Nous devons donc nous assurer, d’un côté, de ne pas passer pour des spammeur·euses et de l’autre, de nous en protéger.

Se protéger des spams par courriel

Rien de bien fantastique à ce niveau. Nous utilisons l’antispam Rspamd qui vérifie la validité du courriel par rapport à sa signature DKIM, à l’enregistrement SPF et à la politique DMARC du domaine (voir sur NextINpact pour un bon article sur le sujet). Bien entendu, cela ne vaut que si le domaine en question met en place ces mécanismes… On notera que la plupart des FAI français, s’ils vérifient bien les courriels entrants de la même façon que nous, se tamponnent allègrement le coquillard de mettre en place ces mécanismes pour leurs propres courriels. J’aimerais qu’un jour, ceux-ci arrêtent de faire de la merde 🙄 (remarquez, il semblerait que ça avance… très lentement, mais ça avance).

En plus de ces vérifications, Rspamd effectue aussi une vérification par filtrage bayésien, interroge des listes de blocage (RBL) et utilise un mécanisme de liste grise.

Il y a toujours, bien évidemment des trous dans la raquette, mais le ratio spam intercepté/spam non détecté est assez haut et nous alimentons Rspamd avec les messages indésirables qui sont passés sous le radar.

Sur Framalistes, afin de ne pas risquer de supprimer de messages légitimes, nous avons forcé le passage des spams probables en modération : tout message considéré comme spam par Rspamd doit être approuvé (ou rejeté) par les modérateur·ices ou propriétaires de la liste.

title.gettext test x-spam-status  header

match([header->Subject][-1],/\*\*\*\*\*SPAM\*\*\*\*\*/) smtp,dkim,smime,md5 -> unsure
true()                                                  smtp,dkim,md5,smime -> ham

match ([msg->spam_status], /unsure/)   smtp,dkim,md5,smime   ->   editorkey

Ne pas être considéré comme spammeur·euses

Là, c’est plus difficile. En effet, malgré notre respect de toutes les bonnes pratiques citées ci-dessus et d’autres (SPF, DKIM, DMARC…), nous restons à la merci de règles absurdes et non publiques mises en place par les autres services de courriel.

Vous mettez en place un nouveau serveur qui va envoyer des courriels ? Bon courage pour que les serveurs de Microsoft (hotmail.com, outlook.com…) l’acceptent. J’ai encore vécu ça il y a quelques mois et je ne sais toujours pas comment ça s’est débloqué (j’ai envoyé des courriels à des adresses chez eux que j’ai créées pour ça et je reclassais les courriels dans la catégorie « légitime », ça ne fonctionnait toujours pas mais quelques semaines plus tard, ça passait).

Votre serveur envoie beaucoup de courriels à Orange ? Pensez à limiter le nombre de courriels envoyés en même temps. Mais aussi à mettre en place un cache des connexions avec leurs serveurs. Eh oui : pas plus de X mails envoyés en même temps, mais pas plus de Y connexions par heure. Ou par minute. Ou par jour. C’est ça le problème : on n’en sait rien, on ne peut que poser la question à d’autres administrateurs de services de mail (pour cela, la liste de diffusion smtp-fr gagne à être connue. Le groupe des adminSys français, FRsAG est aussi à garder en tête).

Un autre problème est que nous ne sommes pas à l’origine du contenu de tous les courriels qui sortent de nos serveurs.
Par exemple, un spam arrivant sur une framaliste, s’il n’est pas détecté, sera envoyé à tou·tes les abonné·es de la liste, et ça peut vite faire du volume.

Les spams peuvent aussi passer de medium en medium : Framapiaf peut vous notifier par courriel d’une mention de votre identifiant dans un pouet (Ex. « Coucou @luc »). Si le pouet est un spam (« Coucou @luc, tu veux acheter une pierre magique contre les ondes 5G des reptiliens franc-maçons islamo-gauchistes partouzeurs de droite ? »), le spam se retrouve dans un courriel qui part de chez nous.

Certes, les courriels partant de chez nous sont aussi analysés par Rspamd et certains sont bloqués avant envoi, mais ce n’est pas efficace à 100 %.

Il y a aussi les faux positifs : que faire si nos courriels sont incorrectement classés comme spam par leurs destinataires ? Comme quelqu’un abonné sur une framaliste sans en être averti et qui d’un coup se retrouve submergé de courriels venant d’un expéditeur inconnu ?

Nous nous sommes inscrits à une boucle de rétroaction : nous recevons des notifications pour chaque courriel classé comme indésirable par un certain nombre de fournisseurs de messagerie.
Cela nous a permis (et nous permet toujours. Quotidiennement.) d’envoyer un message à de nombreuses personnes au courriel @laposte.net abonnées à des framalistes pour leur demander de ne pas nous mettre en indésirable, mais de se désabonner de la liste (en leur indiquant la marche à suivre) si elles ne souhaitent pas en recevoir les messages.

Au niveau de Framalistes, nous vérifions que les comptes possédant plus qu’un certain nombre de listes, et que les listes avec beaucoup d’abonné⋅es ne soient pas utilisées pour envoyer des messages indésirables. En effet, nous avons déjà souffert de quelques vagues de spam, nous obligeant à l’époque à modérer la création de listes en dehors des heures de travail car nous ne souhaitions pas, le matin, nous rendre compte que le service était tombé ou s’était fait bloquer pendant la nuit : l’envoi massif de courriels comme le faisaient les spammeur·euses rencontrait souvent un goulot d’étranglement au niveau du serveur, incapable de gérer autant de courriels d’un coup, ce qui faisait tomber le service.
Cette modération n’est plus active aujourd’hui, mais nous avons toujours cet outil prêt à être utilisé en cas de besoin.

Framalistes, si vous l’utilisez, a besoin de vous pour lutter contre le spam !

Petit rappel : il y a un lien de désinscription en bas de chaque courriel des framalistes. Utilisez ce lien pour vous désinscrire si vous ne souhaitez plus recevoir les messages de la liste.

Rien de plus simple que de déclarer un courriel comme étant du spam, n’est-ce pas ? Un clic dans son client mail et hop !

Eh bien non, pas pour Framalistes.

En effet, en faisant cela, vous déclarez notre serveur comme émettant du spam et non pas le serveur originel : nous risquons d’être complètement bannis et de ne plus pouvoir envoyer de courriels vers votre service de messagerie. De plus, l’apprentissage du spam (si le service de messagerie que vous utilisez fait bien son travail, les messages déclarés manuellement comme étant du spam passent dans une moulinette pour mettre à jour les règles de filtrage anti-spam) ne se fait que sur votre service de messagerie, pas chez nous.

Si votre liste reçoit des spams, merci de le signaler à nom_de_la_liste-request@framalistes.org (l’adresse pour contacter les propriétaires de votre liste) : les propriétaires de la liste ont la possibilité, sur https://framalistes.org/sympa/arc/nom_de_la_liste, de supprimer un message des archives et de le signaler comme spam non détecté (n’hésitez pas à leur indiquer ce lien).

Le spam sur Framapiaf et Framasphère

Point d’antispam comme Rspamd possible sur Mastodon ou diaspora* (techniquement, il pourrait y avoir moyen de faire quelque chose, mais ça serait très compliqué).

Les serveurs Mastodon (pas que framapiaf.org, celui de Framasoft) font régulièrement l’objet de vagues d’inscription de spammeur·euses. Pour éviter l’épuisement de notre équipe de modération, nous avons décidé de modérer les inscriptions et donc d’accepter les comptes un à un.

Nous nous reposons sur les signalements des utilisateur·ices pour repérer les comptes de spam que nous aurions laissé passer et les supprimer (ce qui est très rare) ou les bloquer s’ils proviennent d’autres serveurs avec lesquels nous sommes fédérés.

Framasphère ne dispose pas, contrairement à Framapiaf de tels outils de modération : pas d’inscriptions modérées, pas de blocage de comptes distants… Nous ne pouvons que nous reposer sur les signalements et bloquer les comptes locaux.
Nous arrivons tout de même à bloquer les comptes distants, mais cela nécessite de modifier un enregistrement directement en base de données.

UPDATE people SET serialized_public_key = 'banned' WHERE guid = 'le_guid_du_compte';

Le spam sur Framaforms

Framaforms a rapidement été victime de son succès : sa fréquentation a presque triplé entre 2019 et 2020 (et l’année n’est pas terminée !), devenant aujourd’hui le service le plus utilisé de notre réseau !

Nous n’avons donc pas remarqué la création de nombreux, trop nombreux formulaires proposant, par exemple, des liens vers des sites de téléchargement illégal de films. C’est d’ailleurs suite à une réclamation d’un ayant droit que nous avons pris conscience du problème (oui, nous avons fait suite à cette réclamation : quoi que nous pensions du droit d’auteur, nous nous devons de respecter la loi).

La lutte contre le spam a occupé une bonne partie du temps de Théo qui a temporairement rejoint notre équipe salariée pour prêter main forte sur Framaforms :

• détection de certains termes dans les formulaires avec mise en quarantaine (dépublication) en cas de suspicion de spam ;
• quarantaine des formulaires ne contenant aucune question (juste la description, quoi) ;
• interdiction de certains termes dans le titre des formulaires ;
• intégration d’Akismet (un service anti-spam en ligne, proposé par Automattic, la société derrière https://wordpress.com/, contributrice à WordPress) ;
• amélioration du système de CAPTCHA
• ajout de vues permettant une gestion plus aisée des formulaires par les administrateur·ices.

Les efforts de Theo ont porté leurs fruits : la détection automatique des spams et leur dépublication tout aussi automatique limitent la pollution présente sur Framaforms (ce qui évite les réclamations, donc de monopoliser l’attention d’un salarié pour y répondre) et l’interface de gestion des spams facilite grandement le travail des administrateur·ices.

Le spam sur Framagit

Nous avons beaucoup d’utilisateur⋅ices sur Framagit : nous avons dépassé les 90 000 inscrit⋅es. Mais pour notre malheur, la grande majorité d’entre elleux est constituée de comptes de spam !

Après des mois de ménage, nous sommes redescendus à un peu moins de 34 000 comptes, mais nous ne sommes pas dupes : il y a encore beaucoup de comptes illégitimes.

À noter cependant : ces comptes de spam ne semblent pas être dommageables pour les utilisateur⋅ices de Framagit. En effet, leur nuisance se limite généralement à mettre des liens vers un site de poker en ligne, de rencontres voire… de plombiers à Dubaï (je ne comprends pas non plus 😅).

Ceci explique en partie pourquoi nous n’avons pas lutté très activement contre le spam sur Framagit (l’autre raison étant que nous n’avions tout simplement pas de temps à y consacrer).

Nous avions déjà eu une vague de spams lors de l’ouverture de Framagit et nous avions dû interdire l’accès de notre forge logicielle à l’Inde, à l’Indonésie et au Viêt Nam, restriction active jusqu’à la semaine dernière.
Cela n’est pas dans nos habitudes mais s’il faut choisir entre ça et le risque d’épuisement professionnel d’un membre de l’équipe, Framasoft préfère faire passer l’humain avant tout (🤗).

Une grande vague de nettoyage a eu lieu en juin, où j’ai recherché des critères communs aux comptes de spam afin de les supprimer en masse… ce qui a donné lieu à une vilaine boulette lorsque j’ai choisi des critères bien trop larges, conduisant à la suppression de nombreux comptes légitimes (rétablis depuis).

Depuis, j’ai vérifié manuellement chaque compte remonté par mes recherches… soit plus de 18 000 comptes depuis septembre. Parmi ceux-ci, il devait y en avoir, à la louche (parce que mes souvenirs me trahissent), une ou deux dizaines de comptes légitimes. Heureusement ! Je crois que j’aurais assez mal pris le fait d’avoir vérifié chaque compte pour rien 😅

Nous avons désormais un script qui supprime automatiquement les comptes qui ne se sont jamais connectés dans les 10 jours suivant leur inscription : ce sont visiblement des comptes de spam qui ne reçoivent pas les mails de confirmation et donc ne se sont jamais connectés.
Ce script nous remonte aussi les comptes dont la biographie ou les liens contiennent certains termes usités par les spammeur·euses.

Nous avons recherché une solution de CAPTCHA pour Framagit, mais celui-ci ne supporte que reCaptcha, la solution d’Alphabet/Google… et il était hors de question de faire fuiter les informations (adresse IP, caractéristiques du navigateur…) et permettre le tracking de nos utilisateurs vers les services de l’infâme bête aux multiples têtes que nous combattons !

Nous avons alors recherché quelqu’un·e qui saurait développer, contre rémunération, une solution de type honeypot.
Dans le ticket que nous avons, sans aucune honte, squatté pour poser notre petite annonce, on nous a aiguillés vers une fonctionnalité d’honeypot expérimentale et cachée de Gitlab que je me suis empressé d’activer.
Il faut bien le dire : c’est très efficace ! Le nombre de comptes automatiquement supprimés par le script évoqué plus haut est descendu de près de 100 par jour à entre 0 et 2 comptes, ce qui montre bien que les scripts des spammeur·euses pour s’inscrire ne fonctionnent plus aussi bien.

Bien évidemment, il reste encore beaucoup de spam sur Framagit, et de nombreux comptes de spam sont créés chaque jour (10 ? 15 ? 20 ? Ça dépend des jours…), mais nous ne comptons pas en rester là. Le honeypot pourrait être amélioré, ou nous pourrions voir pour une intégration d’Akismet à Gitlab (il y en a déjà une, mais elle n’est pas utilisée pour vérifier les biographies des comptes).
Gitlab permet maintenant de modérer les inscriptions en les acceptant une à une (comme nous le faisons sur Framapiaf) : nous avons récemment activé cette fonctionnalité, pour voir si la charge de modération était acceptable et si cela avait un effet bénéfique.

Framalink

Nous recevons de temps à autre (bien moins ces derniers temps, fort heureusement) des mails indiquant que Framalink est utilisé pour dissimuler des liens de hameçonnage dans des mails.

Lorsque la vague d’utilisation malveillante s’est intensifiée, j’ai développé (et amélioré au fil du temps) quelques fonctionnalités dans Lstu (le logiciel derrière Framalink) : une commande pour supprimer des raccourcis, pour rechercher les raccourcis contenant une chaîne de caractères ou provenant d’une certaine adresse IP, un système de bannissement d’adresse IP, un système de domaines interdits, empêchant le raccourcissement d’URL de tels domaines, une vérification des URL dans la base de données Google Safe Browsing (lien en anglais) avant raccourcissement et même a posteriori (je vous rassure, aucune donnée n’est envoyée à Google, la base de données est copiée et utilisée en local).

Ces efforts n’ont pas été suffisamment efficaces et nous avons été obligés de couper l’accès à l’API de Framalink, ce qui n’est pas une panacée, mais tout cela a fortement réduit nos problèmes de spam (ou pas, mais en tout cas, on a beaucoup moins de mails nous alertant de l’utilisation de Framalink pour du hameçonnage).

Notez que c’est à cause de l’utilisation de Framalink à des fins malveillantes que ce service est souvent persona non grata chez Facebook, Twitter et consorts.

Framasite

Des framasites avec de jeunes filles dénudées qui jouent au poker avec des plombiers de contrées lointaines ? Eh bien non, même pas. Les spammeurs se contentent de créer des comptes dont le nom d’utilisateur·ice est du genre « Best adult dating site, register on… ».

Et tout comme sur Framagit, beaucoup de comptes créés ne sont jamais validés (vous savez, avec l’email qui dit « cliquez sur ce lien pour finaliser votre inscription » ?).

Heureusement que ce n’est que cela, Framasite n’ayant pas d’interface d’administration permettant la suppression propre d’utilisateur·ices (« propre » voulant dire avec suppression des sites créés). Une simple suppression des comptes illégitimes en base de données suffit à faire le ménage.

Framalibre

Framalibre est aussi sujet aux spams, mais il s’agit généralement là de notices de logiciels non libres. Soit les personnes créant ces notices n’ont pas compris que Framalibre n’était dédié qu’aux logiciels libres, soit elles ont essayé d’améliorer leur référencement en ajoutant leurs logiciels.

Pour une fois, ce n’est pas bien méchant, pas bien violent (cela n’arrive pas souvent) et la vigilance de l’équipe de modération permet de supprimer (manuellement) ces notices indésirables très rapidement.

WordPress (commentaires)

Les spams dans les commentaires d’un blog sont un graaaaand classique ! Nous avons opté, sur nos sites wordpress, pour les extensions Antispam Bee et Spam Honey Pot.

C’est plutôt efficace, il est rare qu’un spam passe à travers ce système.

Drupal (inscriptions)

Nous avons quelques autres installations de Drupal autres que Framaforms et Framalibre. Les spammeurs s’inscrivent, voient qu’ils ne peuvent rien publier facilement : les Drupal en question ont les inscriptions ouvertes pour une bonne raison, mais ne permettent pas de créer des articles comme ça, hop !

Ce n’est donc, à l’heure actuelle, pas gênant.

Notre formulaire de contact

« Un formulaire de contact ? Oh chic ! » se disent les spammeurs. Là aussi, nous recevons un certain nombre de spams, tous les jours, toutes les semaines (une quarantaine par semaine), ou par une ancienne adresse de contact.

Nous nous contentons de répondre « #spam » en commentaire du ticket créé dans notre RequestTracker : cela supprime le message et empêche son expéditeur·ice de nous envoyer d’autres messages (voir sur mon wiki personnel pour commander son RequestTracker par mail).

Les faux positifs

Je n’ai pas encore parlé des faux positifs : des messages légitimes détectés à tort comme étant du spam. Cela arrive forcément, quel que soit le type de plateforme, quels que soient les moyens déployés : statistiquement, il y aura toujours, un jour, une erreur du système ou des humain·es derrière (cf la boulette évoquée dans la partie « Framagit »).

Et dans l’autre sens, on aura toujours des spams qui arriveront à passer. Il est généralement difficile voire impossible de durcir les règles de détection de spam sans augmenter la proportion de faux positifs.

Conclusion

Il n’y en pas vraiment. La lutte contre le spam est un combat sans fin, un jeu du chat et de la souris qui ne se termine jamais. On tente de se protéger du mieux qu’on peut, on trouve des astuces, ça va mieux pendant un temps et ça recommence.

Il faut pas se le cacher : plus un hébergeur « grossit », plus il prend de la renommée sur Internet, plus il y a de chances que des personnes malveillantes repèrent son service et l’utilisent pour leur spam. Il y a donc un paradoxe de l’hébergement : trop petit, on est vite seul·e et débordé·e par la multiplicité des tâches à accomplir pour faire les choses correctement…

Mais trop gros, on centralise les attentions, dont celles des personnes malveillantes qui auront peu de scrupules à parasiter les ressources que vous mettez en commun. Ce qui induit encore plus de travail pour se protéger des spams et les nettoyer.

Ça vous paraît pessimiste ? Ça l’est un peu, sans doute ¯\_(ツ)_/¯

Glyn Moody est infatigable dans son combat contre les dispositions néfastes de la directive européenne sur le droit d’auteur dont le vote est maintenant imminent. Il y consacre une série d’articles dont nous avons déjà proposé deux traductions.

Voici un troisième volet où l’auteur expose notamment le danger de plaintes injustifiées et automatisées de la part de cyberdélinquants.

Article original par dans Copybuzz : Article 13 is Not Just Criminally Irresponsible, It’s Irresponsibly Criminal

Traduction Framalang : jums , Khrys, goofy, Barbara

L’article 13 est criminel et irresponsable

par Glyn Moody

Dans un éditorial précédent, j’ai souligné qu’il existe un gros mensonge au cœur de l’Article 13 de la proposition de directive européenne au sujet du droit d’auteur : il est possible de vérifier les téléversements de matériels non-autorisés sans pouvoir inspecter chaque fichier. L’UE s’est retrouvée dans cette position absurde car elle sait que de nombreux parlementaires européens rejetteraient l’idée d’imposer une obligation de suivi général sur les services en ligne, ne serait-ce que parce que la directive sur le commerce en ligne l’interdit de manière explicite. Au lieu de cela, le texte de l’article 13 prétend simplement que des alternatives techniques peuvent être trouvées, sans les préciser. La session parue récemment de « Q & R sur la proposition de directive au sujet du Copyright numérique » par le Parlement Européen explique encore que si les services ne sont pas assez intelligents pour trouver des solutions et utiliser des filtres sur les téléversements de contenu, c’est forcément de leur faute.

Imposer des obligations légales qu’il est impossible de remplir, c’est avoir une conception totalement irresponsable de la chose judiciaire. Mais il existe un autre aspect de l’article 13 qui est pire encore : c’est qu’il va encourager une nouvelle vague de criminalité. On a du mal à imaginer un plus grand échec qu’une loi qui augmente l’absence de loi.

Une fois encore, le problème vient de l’idée erronée qu’il faut contraindre les entreprises à installer des filtres d’upload (c’est-à-dire de mise en ligne par téléversement). De même que les législateurs européens semblent incapables de comprendre l’idée que les services en ligne seront obligés de mener une surveillance généralisée pour se conformer à l’article 13, de même leur manque de connaissances techniques les rend incapables de comprendre les immenses défis pratiques que représente l’implémentation de cette forme de surveillance généralisée.

Au moins le gouvernement français est bien plus cohérent et honnête sur ce point. Il veut aller encore plus loin que l’accord conclu avec le gouvernement allemand, qui a fini par donner la base de l’article 13 sous le nouveau mandat de la présidence roumaine du Conseil, adopté le vendredi 8 février. La France veut supprimer les références à l’article 15 de la directive sur le e-commerce, qui interdit aux États membres d’imposer des obligations de contrôle généralisé, de manière à rendre plus « clair » que ces catégories d’obligations sont parfaitement justifiées quand il s’agit de protéger des contenus sous droits d’auteur.

Un autre éditorial soulignait certains des défis pratiques que pose la mise en œuvre de cette forme de surveillance généralisée. L’article 13 s’appliquera à tous les supports imaginables. Cela signifie que les services en ligne auront besoin de filtres pour le texte, la musique, l’audio, les images, les cartes, les diagrammes, les photos, les vidéos, les films, les logiciels, les modèles 3D, etc. L’article ne peut être filtré que s’il existe une liste de choses qui doivent être bloquées. Ainsi, dans la pratique, l’article 13 signifie que tout site important acceptant les téléversements d’utilisateurs doit avoir des listes de blocage pour chaque type de matériel. Même lorsqu’elles existent, ces listes sont incomplètes. Pour de nombreux domaines – photos, cartes, logiciels, etc. – elles n’existent tout simplement pas. En outre, pour une grande partie du contenu qui devrait être surveillé, les filtres n’existent pas non plus. En un nouvel exemple de législation irresponsable et paresseuse, l’article 13 demande l’impossible.

Que feront les services en ligne dans une telle situation ? La directive sur le droit d’auteur n’est d’aucune aide, elle dit seulement ce qui doit être fait, pas comment le faire. Cela incitera les entreprises à mettre en place des systèmes susceptibles d’offrir la meilleure protection lorsqu’elles seront confrontées à d’inévitables poursuites judiciaires. La principale préoccupation sera de bloquer avec un matériel d’une efficacité maximale ce qui est censé être bloqué, plutôt que de choisir les approches les moins intrusives possible qui maximisent la liberté d’expression pour les utilisateurs. L’absence de systèmes pour se protéger de cette responsabilité pourrait également signifier que certaines plateformes utiliseront le géoblocage, disparaîtront ou s’éloigneront de l’UE, et que d’autres ne seront, en premier lieu, jamais créées en Europe.

Cette injonction va encourager la mise en place de systèmes permettant à quiconque de soumettre des réclamations sur du contenu, qui sera ensuite bloqué. En adoptant ce système, les entreprises seront en mesure de traiter du contenu pour lequel il n’existe pas de listes de blocage générales et pourront ainsi éviter toute responsabilité en cas de téléchargement non autorisé. En plus d’être le seul moyen pratique de relever l’énorme défi que représente le filtrage de tous les types de contenus protégés par le droit d’auteur, cette approche a l’avantage d’avoir déjà été utilisée ailleurs, bien qu’à une plus petite échelle.

Par exemple, YouTube permet à quiconque de prétendre qu’il est le détenteur des droits d’auteur du contenu qui a été posté sur le service Google, et de le faire supprimer automatiquement. Les conséquences négatives de cette fonctionnalité ont été discutées précédemment ; il suffit de dire ici que le matériel légitime est souvent retiré par erreur, et que faire appel contre ces décisions est difficile et prend du temps, et les résultats sont très imprévisibles. La même chose se produira inévitablement avec les filtres de téléchargement de l’article 13, avec ce détail supplémentaire que le contenu sera bloqué avant même qu’il ne soit affiché, alors que le système automatisé de retrait créé par la Digital Millennium Copyright Act (DMCA) des États-Unis ne fonctionne qu’après que le contenu soit affiché en ligne. Cependant, un article récent sur TorrentFreak révèle une autre possibilité troublante :

Par un horrible abus du système de copyright de YouTube, un YouTubeur rapporte que des arnaqueurs utilisent le système des « 3 coups »¹ de la plate-forme pour extorquer de l’argent. Après avoir déposé deux fausses plaintes contre ObbyRaidz, les escrocs l’ont contacté et exigé de l’argent comptant pour éviter un troisième – et la résiliation de son canal.

Avec l’article 13, trois avertissements ne sont même pas nécessaires : si votre téléchargement est repéré par le filtre, votre contenu sera bloqué à jamais. On semble penser qu’il importe peu que des erreurs soient commises, parce que les gens peuvent tout bonnement faire appel. Mais comme nous l’avons déjà mentionné, les processus d’appel sont lents, ne fonctionnent pas et ne sont pas utilisés par les gens ordinaires, qui sont intimidés par le processus dans son ensemble. Ainsi, même la menace de revendiquer du contenu sera beaucoup plus forte avec l’article 13 qu’avec YouTube.

Ce qui veut dire que personne ne peut garantir que son contenu pourra seulement paraître en ligne, sauf pour les grosses sociétés de droits de diffusion (américaines) qui forceront les principales plateformes américaines à passer des accords de licence. Même si votre contenu arrive à passer le filtre sur les téléversements, vous allez encore courir le risque d’être racketté par les arnaqueurs au droit d’auteur qui abusent du système. Les obligations de suspension de l’article 13, qui impliquent que le matériel protégé par le droit d’auteur qui a été signalé par les titulaires de droits (ou les arnaqueurs) ne puisse plus être re-téléchargé, rendent les tentatives de réclamer du contenu ou de remettre quelque chose en ligne avec l’article 13 plus difficiles qu’elles ne le sont actuellement sur YouTube.

C’est vraiment une mauvaise nouvelle pour les nouveaux artistes, qui ont absolument besoin de visibilité et qui n’ont pas les poches pleines pour payer des avocats qui règlent ce genre de problèmes, ou pas assez de temps pour s’en occuper eux-mêmes. Les artistes plus établis perdront des revenus à chaque fois que leur contenu sera bloqué, donc ils décideront peut-être aussi de payer des arnaqueurs qui déposeront des fausses plaintes d’infraction au droit d’auteur. Avec cette nouvelle menace, les militants qui utilisent des sites permettant le téléversement public seront aussi sérieusement touchés : beaucoup de campagnes en ligne sont liées à des événements ou des journées particulières. Elles perdent la majeure partie de leur efficacité si leurs actions sont retardées de plusieurs semaines ou même de plusieurs jours, ce que les procédures d’appel ne manqueront pas de faire valoir. C’est plus simple de payer celui qui vous fait chanter.

Ce problème révèle une autre faille de l’Article 13 : il n’y a aucune pénalité pour avoir injustement prétendu être le détenteur des droits sur un contenu, ce qui empêche la mise en ligne de contenus légitimes bloqués par les filtres. Cela veut dire qu’il n’existe presque aucun obstacle si l’on veut envoyer des milliers, voire des millions, de menaces contre des artistes, des militants et autres. Il est clair que c’est de l’extorsion, évidemment illégale. Mais comme les forces de police sont dépassées aujourd’hui, il est à parier qu’elles ne dédieront que des ressources réduites à chasser les fantômes sur Internet. Il est facile pour les gens de se cacher derrière de faux noms, des comptes temporaires et d’utiliser des systèmes de paiement anonymisés tels que le Bitcoin. Avec assez de temps, il est possible d’établir qui se trouve derrière ces comptes, mais si la somme demandée est trop faible, les autorités ne s’en occuperont pas.

En d’autres termes, la nature trop peu réfléchie de l’Article 13 sur les filtres à l’upload crée une nouvelle catégorie de « crime parfait » en ligne. D’une part, tout le monde peut déposer plainte, pourvu d’avoir une connexion Internet, et ce depuis n’importe où dans le monde, et de l’autre cette plainte est prise sans aucun risque pratiquement. Une combinaison particulièrement séduisante et mortelle. Loin d’aider les artistes, la Directive Copyright pourrait créer un obstacle majeur sur la route de leurs succès.

[MISE À JOUR 13/02 22:50]

Dernières nouvelles de l’article 13 : Julia Reda (Parti Pirate européen) explique ici juliareda.eu/2019/02/eu-copyri où on en est et termine en expliquant ce qu’on peut faire (=intervenir auprès des parlementaires européens)
Voir aussi ce que propose saveyourinternet.eu/fr/

Glyn Moody est un journaliste, blogueur et écrivain spécialisé dans les questions de copyright et droits numériques. Ses combats militants le placent en première ligne dans la lutte contre l’article 13 de la directive européenne sur le droit d’auteur, dont le vote final est prévu ce mois-ci. Cet article a été combattu par des associations en France telles que La Quadrature du Net, dénoncé pour ses effet délétères par de nombreuses personnalités (cette lettre ouverte par exemple, signée de Vinton Cerf, Tim Berners-lee, Bruce Schneier, Jimmy Wales…) et a fait l’objet de pétitions multiples.

Dans une suite d’articles en cours (en anglais) ou dans diverses autres interventions (celle-ci traduite en français) que l’on parcourra avec intérêt, Glyn Moody démonte un à un les éléments de langage des lobbyistes des ayants droit. Le texte que Framalang a traduit pour vous met l’accent sur la mauvaise foi des défenseurs de l’article 13 qui préparent des réponses biaisées aux objections qui leur viennent de toutes parts, et notamment de 4 millions d’Européens qui ont manifesté leur opposition.

Pour Glyn Moody, manifestement l’article 13 est conçu pour donner des pouvoirs exorbitants (qui vont jusqu’à une forme de censure automatisée) aux ayants droit au détriment des utilisateurs et utilisatrices « ordinaires »

Billet original paru dans Copybuzz : Why Article 13 is not just dangerous law-making, but deeply dishonest too
Traduction Framalang : Penguin, Lumi, Moutmout, FranBAG, Suzy, Mika, pyg, Barbara, gangsoleil, Mannik, Barbara, Cyrilus, Khrys, Goofy

L’article 13 n’est pas seulement un travail législatif dangereux, mais aussi foncièrement malhonnête

par Glyn Moody

La directive sur Copyright de l’Union Européenne est maintenant en phase d’achèvement au sein du système législatif européen. Étant donné la nature avancée des discussions, il est déjà très surprenant que le comité des affaires juridiques (JURI), responsable de son pilotage à travers le Parlement Européen, ait récemment publié une session de « Questions et Réponses » sur la proposition de « Directive au sujet du Copyright numérique ». Mais il n’est pas difficile de deviner pourquoi ce document a été publié maintenant. De plus en plus de personnes prennent conscience que la directive sur le Copyright en général, et l’Article 13 en particulier, vont faire beaucoup de tort à l’Internet en Europe. Cette session de Q & R tente de contrer les objections relevées et d’étouffer le nombre grandissant d’appels à l’abandon de l’Article 13.

La première question de cette session de Q & R, « En quoi consiste la directive sur le Copyright ? », souligne le cœur du problème de la loi proposée.

La réponse est la suivante : « La proposition de directive sur le Copyright dans le marché unique numérique » cherche à s’assurer que les artistes (en particulier les petits artistes, par exemple les musiciens), les éditeurs de contenu ainsi que les journalistes, bénéficient autant du monde connecté et d’Internet que du monde déconnecté. »

Il n’est fait mention nulle part des citoyens européens qui utilisent l’Internet, ou de leurs priorités. Donc, il n’est pas surprenant qu’on ne règle jamais le problème du préjudice que va causer la directive sur le Copyright à des centaines de millions d’utilisateurs d’Internet, car les défenseurs de la directive sur le Copyright ne s’en préoccupent pas. La session de Q & R déclare : « Ce qu’il est actuellement légal et permis de partager, restera légal et permis de partager. » Bien que cela soit sans doute correct au sens littéral, l’exigence de l’Article 13 concernant la mise en place de filtres sur la mise en ligne de contenus signifie en pratique que c’est loin d’être le cas. Une information parfaitement légale à partager sera bloquée par les filtres, qui seront forcément imparfaits, et parce que les entreprises devant faire face à des conséquences juridiques, feront toujours preuve d’excès de prudence et préféreront trop bloquer.

La question suivante est : « Quel impact aura la directive sur les utilisateurs ordinaires ? ».

Là encore, la réponse est correcte mais trompeuse : « Le projet de directive ne cible pas les utilisateurs ordinaires. »

Personne ne dit qu’elle cible les utilisateurs ordinaires, en fait, ils sont complètement ignorés par la législation. Mais le principal, c’est que les filtres sur les chargements de contenu vont affecter les utilisateurs ordinaires, et de plein fouet. Que ce soit ou non l’intention n’est pas la question.

« Est-ce que la directive affecte la liberté sur Internet ou mène à une censure d’Internet ? » demande la session de Q & R.

La réponse ici est « Un utilisateur pourra continuer d’envoyer du contenu sur les plateformes d’Internet et (…) ces plateformes / agrégateurs d’informations pourront continuer à héberger de tels chargements, tant que ces plateformes respectent les droits des créateurs à une rémunération décente. »

Oui, les utilisateurs pourront continuer à envoyer du contenu, mais une partie sera bloquée de manière injustifiable parce que les plateformes ne prendront pas le risque de diffuser du contenu qui ne sera peut-être couvert par l’une des licences qu’elles ont signées.
La question suivante concerne le mensonge qui est au cœur de la directive sur le Copyright, à savoir qu’il n’y a pas besoin de filtre sur les chargements. C’est une idée que les partisans ont mise en avant pendant un temps, et il est honteux de voir le Parlement Européen lui-même répéter cette contre-vérité. Voici l’élément de la réponse :

« La proposition de directive fixe un but à atteindre : une plateforme numérique ou un agrégateur de presse ne doit pas gagner d’argent grâce aux productions de tierces personnes sans les indemniser. Par conséquent, une plateforme ou un agrégateur a une responsabilité juridique si son site diffuse du contenu pour lequel il n’aurait pas correctement rémunéré le créateur. Cela signifie que ceux dont le travail est illégalement utilisé peuvent poursuivre en justice la plateforme ou l’agrégateur. Toutefois, le projet de directive ne spécifie pas ni ne répertorie quels outils, moyens humains ou infrastructures peuvent être nécessaires afin d’empêcher l’apparition d’une production non rémunérée sur leur site. Il n’y a donc pas d’obligation de filtrer les chargements.

Toutefois, si de grandes plateformes ou agrégateurs de presse ne proposent pas de solutions innovantes, ils pourraient finalement opter pour le filtrage. »

La session Q & R essaye d’affirmer qu’il n’est pas nécessaire de filtrer les chargements et que l’apport de « solutions innovantes » est à la charge des entreprises du web. Elle dit clairement que si une entreprise utilise des filtres sur les chargements, on doit lui reprocher de ne pas être suffisamment « innovante ». C’est une absurdité. D’innombrables experts ont signalé qu’il est impossible « d’empêcher la diffusion de contenu non-rémunéré sur un site » à moins de vérifier, un à un, chacun les fichiers et de les bloquer si nécessaire : il s’agit d’un filtrage des chargements. Aucune “innovation” ne permettra de contourner l’impossibilité logique de se conformer à la directive sur le Copyright, sans avoir recours au filtrage des chargements.

En plus de donner naissance à une législation irréfléchie, cette approche montre aussi la profonde inculture technique de nombreux politiciens européens. Ils pensent encore manifestement que la technologie est une sorte de poudre de perlimpinpin qui peut être saupoudrée sur les problèmes afin de les faire disparaître. Ils ont une compréhension médiocre du domaine numérique et sont cependant assez arrogants pour ignorer les meilleurs experts mondiaux en la matière lorsque ceux-ci disent que ce que demande la Directive sur le Copyright est impossible.

Pour couronner le tout, la réponse à la question : « Pourquoi y a-t-il eu de nombreuses contestations à l’encontre de cette directive ? » constitue un terrible affront pour le public européen. La réponse reconnaît que : « Certaines statistiques au sein du Parlement Européen montrent que les parlementaires ont rarement, voire jamais, été soumis à un tel niveau de lobbying (appels téléphoniques, courriels, etc.). » Mais elle écarte ce niveau inégalé de contestation de la façon suivante :

« De nombreuses campagnes antérieures de lobbying ont prédit des conséquences désastreuses qui ne se sont jamais réalisées.

Par exemple, des entreprises de télécommunication ont affirmé que les factures téléphoniques exploseraient en raison du plafonnement des frais d’itinérance ; les lobbies du tabac et de la restauration ont prétendu que les personnes allaient arrêter d’aller dans les restaurants et dans les bars suite à l’interdiction d’y fumer à l’intérieur ; des banques ont dit qu’elles allaient arrêter de prêter aux entreprises et aux particuliers si les lois devenaient plus strictes sur leur gestion, et le lobby de la détaxe a même argué que les aéroports allaient fermer, suite à la fin des produits détaxés dans le marché intérieur. Rien de tout ceci ne s’est produit. »

Il convient de remarquer que chaque « contre-exemple » concerne des entreprises qui se plaignent de lois bénéficiant au public. Mais ce n’est pas le cas de la vague de protestation contre la directive sur le Copyright, qui vient du public et qui est dirigée contre les exigences égoïstes de l’industrie du copyright. La session de Q & R tente de monter un parallèle biaisé entre les pleurnichements intéressés des industries paresseuses et les attentes d’experts techniques inquiets, ainsi que de millions de citoyens préoccupés par la préservation des extraordinaires pouvoirs et libertés de l’Internet ouvert.

Voici finalement la raison pour laquelle la directive sur le Copyright est si pernicieuse : elle ignore totalement les droits des usagers d’Internet. Le fait que la nouvelle session de Q & R soit incapable de répondre à aucune des critiques sérieuses sur la loi autrement qu’en jouant sur les mots, dans une argumentation pitoyable, est la confirmation que tout ceci n’est pas seulement un travail législatif dangereux, mais aussi profondément malhonnête. Si l’Article 13 est adopté, il fragilisera l’Internet dans les pays de l’UE, entraînera la zone dans un marasme numérique et, par le refus réitéré de l’Union Européenne d’écouter les citoyens qu’elle est censée servir, salira le système démocratique tout entier.

Pour agir en envoyant des messages aux députés européens (n’oublions pas que les élections européennes approchent…) : https://saveyourinternet.eu/fr/#ActNowMEPs

Pour en savoir plus sur le débat et son actualité récente

• L’article de Numerama : la France et l’Allemagne poussent pour imposer le filtrage à un maximum de sites

De communications en directives, l’incurie de la Commission européenne dans le domaine de la technologie et des contenus en ligne apparaît de plus en plus clairement.

Faisant fi des avis des experts, voire des rapports qu’elle a elle-même commandés, la Commission s’entête à proposer des solutions imparfaites et simplistes à des problèmes complexes. Une de ses dernières initiatives le prouve une fois de plus et ne fait que rajouter à l’inquiétude de tous les défenseurs des libertés numériques et de la vie privée.

Filtres de publication, droit d’auteur et poudre de perlimpinpin

Par Glyn Moody, source : Copybuzz
Traduction à 20 mains par simon, satanas_g, QuoiQue, mo, FranBAG, Edgar Lori, goofy, Mika et dodosan

Image par Stromcarlson.

Le 28 septembre, la Commission européenne a dévoilé une initiative de grande ampleur pour s’attaquer au « contenu illicite en ligne ». Comme c’est souvent le cas lorsque des politiciens veulent avoir l’air de « faire quelque chose » au sujet du terrorisme, il y a beaucoup de mauvaises idées.

Le cœur de cette initiative est un plan pour encourager les plateformes en ligne à renforcer « la prévention, la détection et la suppression proactives des contenus illicites en ligne incitant à la haine, à la violence et au terrorisme ».  De manière insistante, ces idées sont présentées comme des « orientations et des principes ». C’est parce que tout repose sur le libre consentement. Sauf que la Commission a clairement dit que si ce système volontaire n’est pas adopté par des entreprises comme Facebook ou Google, elle promulguera de nouvelles lois pour leur forcer la main. La Commission est pressée de voir les résultats de ces efforts volontaires, et des projets de loi pourraient être mis sur la table dès mai 2018.

Une de ces mauvaises idées imposerait aux plateformes en ligne de travailler conjointement avec des signaleurs de confiance – « des entités spécialisées disposant d’une expertise en matière de contenu illicite ». Ils peuvent bien être experts, mais ils ne sont pas juges, ce qui implique que la Commission voudrait que Facebook et Google mettent des contenus hors ligne sans avoir besoin de se soucier de ce qu’un juge considérerait réellement comme illégal.

Mais la pire idée, et elle apparaît plusieurs fois dans les derniers plans de la Commission, est l’utilisation omniprésente et systématique de filtres de publication. Dans un document de 20 pages détaillant la proposition intitulée « Communication sur la suppression des contenus illicites en ligne – Vers une responsabilité renforcée des plateformes en ligne » l’accent est mis sur « l’utilisation des technologies pour détecter les contenus illicites ». En particulier, l’utilisation et le développement futur de la détection automatique et des technologies de filtrage sont encouragés.

Une des principales raisons pour lesquelles la Commission européenne place tant d’espoirs dans l’automatisation pour résoudre les problèmes de contenus illégaux est qu’elle croit apparemment que « dans le domaine du droit d’auteur, la reconnaissance automatique des contenus s’est avérée être un outil efficace depuis de nombreuses années ». Sauf que cela n’est pas vrai. L’eurodéputée Julia Reda (Parti pirate) a écrit un article de blog instructif qui détaille neuf façons bien distinctes dont les filtres de publication échouent. Ce faisant, ils causent de nombreux dégâts collatéraux, particulièrement en matière de droits fondamentaux.

Une réponse à cette démonstration fracassante de l’échec des filtres de publication est de concéder qu’ils sont imparfaits, mais dire ceci montre simplement que davantage de recherches sont nécessaires pour les améliorer. C’est l’argument classique du cherchez plus fort qui est souvent utilisé pour défendre la création de portes dérobées dans les logiciels de chiffrement. Bien que les experts en sécurité expliquent unanimement et de façon répétée qu’il n’est pas possible de créer une vulnérabilité qui soit utilisable seulement par les autorités et qui ne soit pas vulnérable aux attaques de criminels ou d’acteurs étatiques malveillants, les gouvernements persistent à croire qu’ils savent mieux que les experts, et que les entreprises devraient juste le faire. Et des vulnérabilités sont donc implémentées. Même si les gens qui comprennent le fonctionnement des filtres de publication expliquent patiemment qu’il est impossible de traduire l’extrême complexité du droit d’auteur dans les règles de filtrage pouvant être appliquées automatiquement et correctement, les autorités continuent de prôner ce supposé remède miracle.

Appelons cela le mirage de la « poudre de perlimpinpin numérique » – la croyance que l’on peut traiter tous les problèmes du monde réel avec de la technologie, et qu’ils seront résolus, juste comme ça. La Commission européenne est une grande adepte de cette poudre de perlimpinpin, comme le montre clairement sa demande de mettre en place des filtres de publication dans la directive sur le droit d’auteur et le nouveau cadre destiné à s’attaquer au contenu illégal. L’annonce de la semaine dernière est un signe inquiétant qu’elle est loin de comprendre que les filtres de publication ne sont pas une solution pratique pour la question du droit d’auteur en ligne, et qu’elle s’entête au contraire dans cette direction et l’étend désormais à d’autres domaines.

La Commission européenne est bien au courant que l’Article 15 de la directive sur le commerce électronique interdit explicitement aux États membres d’imposer « une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites » En mettant en avant la « responsabilité avancée des plateformes en ligne », comme le fait la première page de la communication du 29 septembre, la Commission semble souligner que sa nouvelle approche impose dans les faits une « obligation générale » à ces entreprises de filtrer tous les contenus mis en ligne qui correspondraient à une vaste gamme de « contenu illégal ». On imagine aisément la Cour de justice de l’Union européenne invalider toute tentative d’inscrire cette « responsabilité avancée » dans la loi.

Au-delà du fait qu’ils ne fonctionneront pas et qu’ils sont illégaux du fait de la directive sur le commerce électronique, il y a une autre raison pour laquelle les filtres de publication de l’article 13 devraient être abandonnés : il n’existe aucune preuve de leur nécessité. Tout comme la Commission européenne a joyeusement propagé l’idée fausse selon laquelle le filtrage automatique fonctionne, elle a aussi docilement accepté la rumeur selon laquelle les copies non autorisées d’œuvres soumises au droit d’auteur seraient un désastre pour l’industrie du droit d’auteur et les artistes.

Comme nous l’avons récemment appris par la publication tardive d’un rapport capital qui a coûté à la Commission européenne la somme princière de 369 871€, les faits montrent le contraire. Il est évident que la Commission a essayé d’enterrer sa propre analyse, payée par les citoyens européens, probablement parce que les résultats ne convenaient pas à son projet d’introduire des peines toujours plus fortes aux infractions au droit d’auteur. Comme l’admet le rapport, globalement, « les résultats ne montrent pas de preuves statistiques solides d’une modification des ventes due au non-respect du droit d’auteur en ligne ».

Deux domaines spécifiques ont été touchés par le partage non autorisé : les nouveaux films ont été affectés défavorablement, tandis que pour les jeux, la consommation illégale a mené à plus de ventes légales. C’est un signe de l’approche biaisée de la Commission européenne sur ce sujet : ses économistes ont publié une synthèse à propos des effets négatifs du téléchargement sur les films, mais ont omis de mentionner l’effet positif qu’il avait sur les jeux.

Cette mauvaise foi rend encore plus irritant l’acharnement de la Commission à vouloir trouver une solution technologique illusoire à un problème inexistant. Si elle avait le courage d’admettre la vérité sur la nature non problématique du partage non autorisé d’œuvres soumises au droit d’auteur, elle n’aurait pas à promouvoir des propositions stériles comme les filtres de publication dont on sait qu’ils nuiront immensément au monde en ligne ainsi qu’au Marché unique numérique de l’UE.