Avec la déflagration solaire provoquée par les protestations en ligne du 18 janvier dernier, il est certain que vous avez entendu parler des projets de loi américains Stop Online Piracy Act (abrégé SOPA) et Preventing Real Online Threats to Economic Creativity and Theft of Intellectual Property Act (abrégé PROTECT IP Act, mais l’acronyme était tellement long qu’il a été abrégé à nouveau en PIPA). Ces deux projets de loi, respectivement présentés au congrès et au sénat américain, visaient à donner davantage de pouvoirs au gouvernement et aux ayants-droit pour fermer les sites étrangers hébergeant du contenu illégal.

Après l’outrage public sans précédent qui a été provoqué par l’inaccessibilité pour une journée de dizaines de milliers de sites en protestation (le plus notablement Wikipédia et Reddit) et les manifestations d’autres géants d’Internet (Google a placé une pétition sur son site), plusieurs politiciens derrière ces projets ont retiré leur support la queue entre les jambes et la tête baissée. Il faut dire que plusieurs millions de messages électroniques ont été envoyés et que la pétition sur le site de Google a recueilli en une seule journée plusieurs centaines milliers de signatures. Deux jours plus tard, le 20 janvier, les deux projets de loi ont été définitivement rangés aux oubliettes par leurs auteurs, et la Motion Picture Association of America (MPAA), principale intéressée à ces projets de loi, a admis la défaite dans un communiqué de presse la même journée, communiqué précédé d’une série de messages venimeux à l’endroit des manifestants.

Mais qu’en était-il vraiment? Après tout, plusieurs personnes ne savent rien d’autre de SOPA et PIPA qu’ils sont « dangereux pour Internet ». Pour lever la confusion, voici ce que les projets de loi proposaient, et pourquoi les acteurs d’Internet ont choisi de s’y opposer.

En 1998, le gouvernement américain a adopté le Digital Millenium Copyright Act (DMCA) pour essayer de placer des règles sur le partage de propriété intellectuelle par Internet. Il donne certains pouvoirs supplémentaires aux ayant-droits pour éliminer les sites américains offrant illégalement du contenu soumis à leur copyright, tout en promettant l’immunité contre les violations involontaires tant que le contenu est retiré dans les plus brefs délais. (Par exemple, si vous avez un site d’échange de vidéos et qu’un utilisateur “contribue” un film entier, vous êtes légalement immunisé si vous retirez le film dès que vous vous apercevez de sa présence, ou dès qu’on vous la signale.) Cette loi a notamment permis à YouTube de se blanchir dans un procès où Viacom leur demandait un milliard de dollars en réparations.

SOPA et PIPA, de leur côté, viennent magistralement changer la donne. Les principales conséquences des projets de loi étaient:

• L’autorisation pour le gouvernement américain de “saisir” les adresses de sites étrangers;
• L’incitation des fournisseurs d’accès et entreprises américaines à bloquer l’accès aux sites pirates;
• L’interdiction du développement de programmes assistant le contournement de la censure des sites pirates;
• L’incitation des compagnies financières américaines à cesser de faire affaire avec les sites pirates.

Pour atteindre ces objectifs, les ayant-droits seraient également investis d’un droit d’action privé leur permettant de contraindre les partenaires américains des sites pirates (principalement les réseaux de publicité comme Google et les fournisseurs de services financiers comme Visa et PayPal) à cesser de coopérer. De plus, SOPA donne l’immunité aux compagnies et services qui bloquent volontairement l’accès aux sites qui contiennent du contenu piraté, que les propriétaires du site soient coupables ou non.

Il y a deux choses qui sont très, très mal dans ça. Premièrement, si vous êtes une entreprise, une des pires choses qui peut vous arriver est d’être poursuivi par une entreprise plus grosse que vous. Si vous fournissez des services à d’autres entreprises et que vous dites à votre avocat que vous soupçonnez qu’un de vos client pirate du contenu, il va tout de suite vous dire de cesser de faire affaire avec, tellement l’immunité est désirable.

Aujourd’hui, presque tout le monde s’entend pour dire que YouTube est un service légitime. Google a investi plus de 50 000 heures à développer un système qui permet de reconnaître automatiquement du contenu qui provient de films, qui apparemment fonctionne ridiculement bien, au point où même les clips qui qualifient au fair use sont régulièrement bloqués. Cependant, si des lois comme SOPA et PIPA avaient existé pendant le développement de la plate-forme, quelle chance aurait-elle eu? Dès le début, YouTube se serait retrouvé barré des services américains qui auraient trop envie de l’immunité pour collaborer au projet. C’est dans cette mesure que SOPA et PIPA nuisent à l’innovation sur Internet.

Ce qui est particulièrement surprenant dans cette histoire, c’est qu’un projet de loi se soit rendu si loin avec des considérations aussi unilatérales. Les projets de loi ont été ébauchés seulement avec des représentants de l’industrie du copyright; aucune compagnie du secteur des technologies de l’information n’étaient présentes. C’est ainsi que pour la plus grande partie de la vie de ces propositions, elles incluaient des provisions qui obligeaient de modifier les réponses des serveurs DNS afin de bloquer les sites jugés pirates.

Le rôle d’un serveur DNS est de prendre une adresse Internet, comme www.google.com, et d’identifier l’ordinateur à lequel l’adresse fait référence. C’est un service essentiel à Internet : sans lui, il vous faudrait retenir les adresses IP des sites Web auxquels vous vous connectez. Qu’est-ce que vous trouvez le plus clair, http://173.252.110.27/, ou http://www.facebook.com/? Comme tout le monde, vous préférez probablement la seconde option.

Or, la « santé » du protocole DNS est aussi essentielle à la sécurité d’Internet en général. De nos jours, beaucoup d’argent transige par Internet; par exemple, les transactions PayPal ou les achats par carte de crédit sont devenus monnaie courante sur le commerce en ligne. Imaginez les conséquences catastrophiques qui menacent les consommateurs si un pirate parvenait à modifier, par exemple, l’adresse IP de PayPal.com pour qu’elle pointe à un ordinateur qui enregistre votre nom d’utilisateur et votre mot de passe à des fins frauduleuses. Cette situation peut être possible si vous utilisez un serveur DNS auquel vous ne devriez pas faire confiance. Ça n’est normalement pas le cas (votre fournisseur d’accès Internet a normalement son propre serveur DNS et en est légalement responsable), mais SOPA et PIPA auraient pu rendre cette réalité plus courante.

En effet, seuls les serveurs DNS américains seraient contraints à donner de fausses réponses aux requêtes pour des sites pirates. Par exemple, si SOPA était devenu réalité, un Américain qui veut visiter thepiratebay.com se verrait rendre l’adresse IP d’un site du gouvernement s’il utilisait le serveur DNS de son fournisseur d’accès Internet. Cependant, changer de serveur DNS est une opération à la portée de n’importe qui. Il suffirait de trouver un serveur DNS situé hors du pays, et thepiratebay.com redevient accessible. Mais qui vous dit que les opérateurs de celui-ci sont dignes de confiance? La réponse est « rien du tout ». Donc, en plus de ne pas empêcher les Américains de pirater, cette loi aurait affaibli la sécurité d’Internet pour eux.

Il va de soi que pratiquement tous les acteurs majeurs des technologies de l’information se sont opposés à la loi dès qu’ils en ont entendu parler. En fait, une liste des entreprises supportant officiellement SOPA et PIPA a été publiée, et la seule entreprise du secteur supportant le projet de loi était GoDaddy... une entreprise qui offre des services d’enregistrement d’adresses Internet.

Lorsque cette liste a été rendue publique, la communauté de Reddit était rien de moins que furieuse qu’une entreprise aussi touchée par cette loi la supporte. Vers la mi-décembre, un boycott de GoDaddy a été organisé, et le 29 décembre était le « move your domain day ». Les utilisateurs de GoDaddy ont été invités à changer de registrar, et « l’événement » a reçu une quantité surprenante de publicité. Il faut croire que le boycott a été efficace, parce qu’à la moitié de la journée, GoDaddy a officiellement cessé de supporter SOPA, ne laissant derrière elle aucune entreprise technologie sur la liste.