Tout ça pour ça ?

Dans une décision qui marque peut-être la fin d’un dossier de 17 ans, le Conseil d’État vient de planter des clous du cercueil de la « réponse graduée », dispositif mis en place par la fameuse Hadopi et opéré depuis 2021 par l’Arcom.

Le Conseil d’État vient de répondre à une question vieille de 17 ans : oui, dans sa version actuelle, la « réponse graduée » telle que mise en place à l’époque de la Hadopi et reprise par l’Arcom depuis 2021 est illégale. « Le Conseil d’État juge aujourd’hui que le dispositif de « réponse graduée » pour lutter contre le piratage en ligne d’œuvres protégées n’est pas conforme au droit européen », explique l’institution judiciaire dans un communiqué.

Il donne ainsi finalement (en partie) raison à la Quadrature du Net, FDN, Franciliens.net et la FFDN qui l’avaient saisi pour demander l’annulation du décret du 5 mars 2010 qui permettait à la Hadopi puis à l’Arcom de mettre le dispositif en place.

Celui-ci leur permettait de sanctionner la non-sécurisation d’une connexion. En 2009, lors de la fameuse bataille de la loi Hadopi, le gouvernement, mené par François Fillon à l’époque, a imposé à tout titulaire d’un accès à internet une obligation de veiller à ce que sa connexion ne soit pas utilisée à des fins de partage d’œuvres protégées. Cette obligation était accompagnée d’un mécanisme d’avertissements qui pouvait se solder théoriquement à la fin par une contravention de 1 500 euros.

Comme nous le précisons ci-dessus, le Conseil d’État ne donne pas totalement raison aux quatre associations qui auraient voulu que l’institution condamne ce dispositif « sur le principe ».

Elles avaient obtenu en 2020 de la part du Conseil constitutionnel la censure d’un bout de la loi Hadopi qui ne changeait pas grand-chose au processus. Une victoire à la Pyrrhus pour les requérants, expliquions-nous à l’époque.

Un dispositif non conforme au droit européen

Mais la procédure a continué et, en 2021, le Conseil d’État a décidé de saisir la Cour de justice de l’Union européenne, questionnant la conformité de la riposte graduée, non à la Constitution, mais au droit de l’Union.

• Riposte européenne contre la réponse graduée

Et c’est finalement sur l’avis de la CJUE que le Conseil d’État s’appuie maintenant pour considérer que le traitement de données à caractère personnel mis en place pour la troisième étape de la « réponse graduée » (la transmission au parquet) par le décret est problématique.

Selon le rapport du Conseil d’État, le dispositif pourrait permettre à l’autorité publique qui le gère (la Hadopi puis l’Arcom) d’être aussi « renseignée sur des aspects, y compris sensibles, de la vie privée des personnes en cause » en mettant en « relation [les] données d’identité, de manière itérative pour une même personne, avec des informations, même limitées, portant sur le contenu des œuvres illégalement mises à disposition sur Internet ». « Un tel accès doit être encadré par la réglementation nationale », estime l’institution.

Notamment, le Conseil d’État explique que « la Cour de justice de l’Union européenne dit pour droit que, lorsque cette autorité publique a déjà mis en relation à deux reprises les données d’identité d’une même personne avec des informations relatives au contenu d’œuvres illégalement mises à disposition sur Internet, elle ne peut procéder pour une troisième fois à cette mise en relation sans y avoir été autorisée par une juridiction ou une entité administrative indépendante ». Ce qui n’est pas prévu par le décret.

L’institution remarque aussi que le décret n’impose pas de « règles claires et précises qui garantissent une séparation effectivement étanche des données conservées par les fournisseurs de services de communications électroniques ».

Ainsi, « le décret du 5 mars 2010 fixant les règles de traitement des données ne respecte pas le droit de l’Union européenne », résume le Conseil d’État dans son communiqué. Et l’institution ordonne au gouvernement de revoir le décret pour le mettre en conformité avec ces exigences.

La mort du dispositif ?

Est-ce pour autant la mort complète du dispositif ? Pour la Quadrature du Net, « il revient désormais au gouvernement d’acter la mort de la Hadopi et, au lieu de tenter de la ressusciter, d’admettre enfin que le partage non-marchand de la culture en ligne ne doit pas être criminalisé ».

Mais l’Arcom pourrait remettre le couvert pour faire revivre le dispositif. « La Cour de justice de l’Union a validé le principe du dispositif de la réponse graduée, ce qui est objectivement une bonne nouvelle », affirme-t-elle à l’Informé, en ajoutant qu’« il y a désormais un débat de modalités, qui peut être complexe ». La nuance est importante : le principe est validé, pas sa mise en place. Elle doit concerter les sociétés d’ayants droit le 6 mai puis les fournisseurs d’accès.

Selon nos confrères, l’autorité envisagerait de mettre une première rustine, le temps que le gouvernement concocte un nouveau texte en réclamant aux FAI une déclaration sur l’honneur que les données qu’ils traitent sont bien étanches les unes par rapport aux autres. À voir si le Conseil d’État acceptera cette solution transitoire. Celui-ci explique dans son communiqué que, « dans l’attente d’un éventuel nouveau décret, le Conseil d’État précise que, dans le cas d’infractions pénales ne présentant pas une particulière gravité, l’Arcom ne peut demander aux opérateurs l’identification d’un abonné à partir de son adresse IP, que s’il est établi que ces données personnelles ont été conservées dans les conditions fixées par la CJUE ».

Ensuite, le texte pourrait être modifié par le législateur ou le ministre de la Culture pour que l’Arcom ne puisse plus avoir accès aux informations sur les œuvres téléchargées et ainsi plus déduire d’informations sensibles sur la personne mise en cause. L’autorité pourrait aussi décider de maintenir seulement les deux premières étapes de la « réponse graduée », considérée comme la « phase pédagogique ».

Interrogé par Next, l’avocat spécialisé dans le numérique Alexandre Archambault imagine aussi que l’identification des pirates puisse basculer au civil avec la qualification de « délinquance grave » comme pour le blocage des sites web de streaming contre les FAI, les moteurs de recherche et désormais les VPN.

• Formule 1, MotoGP : Canal+ fait feu de tout bois pour faire bloquer le streaming pirate

Une optimisation trop rapide

Depuis 2017, une vulnérabilité dans le module cryptographique authencesn du noyau Linux laissait à un compte d’un simple utilisateur la possibilité de passer en root. Elle concerne la plupart des grandes distributions jusqu’au déploiement du patch, qui est déjà en cours.

C’est l’entreprise de sécurité Xint.io qui a révélé, ce mercredi 29 avril, cette vulnérabilité (CVE-2026-31431, d’une sévérité élevée de 7,8/10) permettant une élévation des privilèges en local.

Le score n’est « que » de 7,8 car le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine, ici un compte utilisateur. La même avec une attaque depuis le réseau (AV:N) se serait approchée de 10.

N’importe qui peut devenir root

Appelée « Copy Fail », celle-ci permet (sans accès au réseau, sans utiliser de fonctionnalités de débogage du noyau et sans avoir installé quoi que ce soit avant) à toute personne possédant un simple compte utilisateur sur quasiment n’importe quelle distribution Linux d’obtenir les privilèges root et donc d’y faire tout ce qu’elle veut.

Comme l’explique l’entreprise sur le site dédié à la faille, « un utilisateur local sans privilèges peut écrire quatre octets contrôlés dans le page cache de n’importe quel fichier accessible en lecture sur un système Linux, et s’en servir pour obtenir les privilèges root ».

Les responsables des distributions ont commencé à mettre à jour le paquet de leur noyau Linux pour bloquer l’utilisation d’une faille de sécurité qui se situait directement dans le noyau. Le danger concerne les systèmes partagés entre plusieurs utilisateurs, les clusters de conteneurs (Kubernetes, Docker…), etc. Un utilisateur lambda pourrait ainsi accéder aux données des autres utilisateurs.

Une faille dans le module cryptographique authencesn du noyau

Xint.io explique que cette faille a été découverte par le chercheur de l’entreprise Theori, Taeyang Lee, en étant assisté par l’IA de son outil Xint Code alors qu’il étudiait la manière dont le sous-système de cryptographie de Linux interagit avec les données stockées dans le page cache. C’est un système de cache qui permet au noyau d’avoir un accès plus rapide à certaines informations.

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

De fait, c’est un bug dans le module cryptographique authencesn du noyau Linux qui est en cause, accessible via l’interface de socket AF_ALG, en combinaison avec l’appel système splice(). « Un utilisateur peut ouvrir un socket, le lier à n’importe quel modèle AEAD (chiffrement authentifié avec données associées) et lancer le chiffrement ou le déchiffrement de données arbitraires. Aucun privilège n’est requis », explique Xint. De son côté, la fonction splice() transfère des données entre les descripteurs de fichiers et les pipes sans les copier, en renvoyant simplement les page caches par référence.

En utilisant un script Python très court (732 octets) qui ne fait appel qu’à des bibliothèques standard et ciblant le page cache du noyau, il est possible d’accéder au binaire qui permet d’être superutilisateur : /usr/bin/su. La modification se fait en mémoire, pas directement sur le périphérique de stockage.

Une ligne de commande suffit…

Nous l’avons testé sur un de nos VPS avec Ubuntu 24.04 LTS, nous sommes bien passés en root avec une seule ligne de commande en utilisant le script Python :

Les chercheurs ont constaté la faille sur les distributions Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 ou encore SUSE 16 et expliquent logiquement que « les autres distributions utilisant les noyaux concernés — Debian, Arch, Fedora, Rocky, Alma, Oracle, ainsi que les distributions embarquées — présentent le même comportement ».

Un patch pour le noyau a déjà été proposé et accepté. Celui-ci supprime une optimisation des opérations AEAD qui avait été ajoutée en 2017. « Mettez à jour le paquet du noyau de votre distribution avec une version incluant le commit a664bf3d603d de la branche principale », expliquent les chercheurs, « la plupart des principales distributions proposent désormais ce correctif », comme Debian (Forky et Sid), Ubuntu, par exemple mais la mise en place est encore en cours chez Red Hat et Suse.