La fonera est-elle dangereuse ? (1)

La communauté FON, les contrats des fournisseurs d’accès à Internet et la législation française sont-ils compatibles entre-eux ?

La communauté Fon prône le partage de connexion wifi : vous partagez votre connexion et en échange, vous pourrez utiliser celle des autres ou bien en obtenir un revenu. Si l’idée est excellente, il est important d’en définir les contours au regard de la législation française et de l’application des contrats pour comprendre ce que l’on risque à partager sa connexion.

AVANT-PROPOS : Cet article ne donne pas la réponse, il met en exergue quelques points en toute humilité. L’auteur n’est pas juriste. En particulier, il n’a fait aucune recherche de jurisprudence.

L’expérience Fon

Les interrogations sur l’aspect juridique de la Fon m’ont été posées à plusieurs reprises : "quel risque j’encours à partager ma connexion wifi ?"

J’ai eu l’occasion de m’inscrire sur le site fon et obtenir ensuite une fonera [1] pour essayer et ainsi découvrir par moi-même certains aspects dont on m’avait parlé (l’existence de logs par exemple).

1) inscription

On remplit un formulaire avec les informations classiques : nom, prénom, adresse postale, adresse email. Suite à cela, on reçoit un message email de confirmation avec lequel on peut valider son inscription. A ce stade, il n’y a donc pas de vérification de l’adresse postale. Il suffit d’avoir un email valide. Pour le fonero [2] qui possède déjà un routeur compatible ou bien veut juste utiliser la connexion des autres moyennant finances [3], l’identification administrative s’arrête là.

2) mise en service de la fonera

La fonera dispose de deux accès wifi. Le premier n’est pas crypté donc n’importe quel utiisateur de wifi qui capte le signal peut y accéder. Il arrive sur une page d’authentification fon. Là, deux solutions : il a lui même une fonera partagée et dans ce cas, il lui suffit de s’authentifier pour naviguer sur internet. Dans le cas contraire, il peut quand même aller sur google (y-compris les pages en cache), mais pour le reste,il devra s’authentifier ET payer 3 euros à l’entreprise FON.

La mise en service de la partie publique est aisée : vous branchez, vous vous y connectez et vous êtes dirigé automatiquement vers l’enregistrement, c’est-à-dire qu’à cet instant on relie la fonera à votre identifiant FON et en même temps, vous la localisez pour que les autres foneros sachent à quel endroit un accès FON est disponible.

Pour la partie privée, cela peut être autrement plus compliqué. Dans mon cas, je dispose d’un PC sous linux avec une carte wifi 802.11b avec cryptage WEP. Or la Fonera est par défaut cryptée en WPA et pour changer cela, il faut se connecter sur la partie privée ! Le problème semble donc ubuesque : je n’ai pas de wifi compatible wpa et si je veux changer cette option sur la fon, je dois accéder à la partie privée protégée par wpa... Heureusement, il est possible de se connecter à la fonera par cable rj45. Malheureusement, la documentation est en anglais (une traduction non officielle est néanmoins disponible sur le site http://www.francofon.fr), prévue essentiellement pour le système d’exploitation windows et accessible seulement par internet (sur le CD de la fonera, je n’ai trouvé que le guide d’installation rapide). Or, nous le verrons plus tard, il est important, soi-même, de ne pas passer par l’accès public pour naviguer par internet.

Les risques majeurs sur internet appliqués à la fonera

On prend souvent comme exemple de risque pénal sur internet, la pédophilie, le terrorisme ou encore la contrefaçon (appelée "piratage" par les journalistes) de logiciels, musiques ou films. Choisissons arbitrairement le premier de ces cas : un utilisateur se sert de votre point d’accès pour échanger des photographies pédophiles. Vous me direz que c’est un cas très exceptionnel, rare... Ok, ok mais pas inexistant, donc prenons ce cas particulier.

La LCEN

En France, une loi a beaucoup fait parler d’elle : la Loi pour la Confiance en l’Economie Numerique ou LCEN. Ce qui nous concerne est dans l’article 6 :
"I. - 1. Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne informent leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens."
[..]
7. Les personnes mentionnées aux 1 et 2 ne sont pas soumises à une obligation générale de surveiller les informations qu’elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites.[..]
Compte tenu de l’intérêt général attaché à la répression de l’apologie des crimes contre l’humanité, de l’incitation à la haine raciale ainsi que de la pornographie enfantine, les personnes mentionnées ci-dessus doivent concourir à la lutte contre la diffusion des infractions visées aux cinquième et huitième alinéas de l’article 24 de la loi du 29 juillet 1881 sur la liberté de la presse et à l’article 227-23 du code pénal.

A ce titre, elles doivent mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance ce type de données. Elles ont également l’obligation, d’une part, d’informer promptement les autorités publiques compétentes de toutes activités illicites mentionnées à l’alinéa précédent qui leur seraient signalées et qu’exerceraient les destinataires de leurs services, et, d’autre part, de rendre publics les moyens qu’elles consacrent à la lutte contre ces activités illicites.

Tout manquement aux obligations définies à l’alinéa précédent est puni des peines prévues au 1 du VI.[..]
VI. - 1. Est puni d’un an d’emprisonnement et de 75 000 EUR d’amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d’une personne morale exerçant l’une des activités définies aux 1 et 2 du I, de ne pas satisfaire aux obligations définies au quatrième alinéa du 7 du I, de ne pas avoir conservé les éléments d’information visés au II ou de ne pas déférer à la demande d’une autorité judiciaire d’obtenir communication desdits éléments.[..]
"

Donc, on résume :
On définit les personnes concernées "les personnes dont l’activité est d’offrir un accès", on dit qu’elles doivent répondre à un certain nombre d’obligations puis on sanctionne en précisant au passage que cela concerne aussi les personnes physiques.

Notion de fournisseur d’accès

Evidemment, à ce stade, il faut savoir si le propriétaire de la FONERA est fournisseur d’accès. Il a lui même un fournisseur d’accès mais cet accès il le recommercialise soit à titre payant (les "bills") soit sous une forme compensatoire (les "linus"). Ce qui est sûr, c’est que le fait d’être un particulier ne suffira pas à écarter l’hypothèse puisque une sanction est prévue pour les personnes physiques. Partant de là, les tribunaux considéreront-ils qu’il s’agit d’une actiivité de fourniture d’accès ? Il faudra attendre les premières poursuites qui trancheront ce point.

obligations du fournisseur

Si tel était le cas, le propriétaire de la FONERA doit donc conserver les éléments d’identification des connectés. Ces informations, il les trouve sur sa console d’administration du point d’accès... (A noter qu’en ce qui me concerne, les dites informations se sont évanouies lors d’un reboot de la FONERA donc prudence...).

En admettant que vous pensiez à sauvegarder ces informations d’une façon ou d’une autre, elles ne vous permettent pas d’identifier l’utilisateur car vous ne possédez qu’un pseudo et le moment de sa connexion. Vous avez convenu par contrat que ce serait FON qui authentifierait l’usager de votre fon public. Bref, vous avez externalisé les logs d’authentification donc d’identification auprès d’une société anglaise.

Imaginons maintenant le cheminement de la justice par un cas concret... Un gendarme constate un échange de photographies pédophiles, il relève l’IP et la justice demande au FAI de dire à qui correspond cette IP. Le FAI dit que le contrat est passée avec vous. Interrogé à votre tour, vous expliquez le principe de fonctionnement de votre FONERA. Si vous n’utilisiez pas l’accès privé de votre FONERA faute d’avoir su y accéder (voir au chapitre précédent) mais l’accès public, alors il faudra déjà prouver que ce n’était pas vous qui échangiez. Soit vous étiez connecté en même temps que le pédophile et vous ne pourrez fournir aucun élément vous disculpant, soit il y avait un seul connecté (mais comme ce sont vos logs qui le prouvent c’est déjà très fragile), soit il y avait carrément 2 ou plusieurs connectés sur votre point d’accès à ce moment-là et comme vous ne pourrez pas en désigner un seul de façon certaine, vous tomberez sous le coup de la LCEN (ce qui est moins pire que la pédophilie quand même)...

les logs de FON

Evidemment, vous savez que la société FON, dans votre contrat, s’est engagée à authentifier les utilisateurs de vos points d’accès et à se conformer aux obligation d’identification. Mais que va faire le juge ?

Lire la suite : ce qu’en disent les contrats ( de FON et des FAI)