Contrôler le partage illégal de comptes, Netflix pourrait s’y résoudre pour la première fois de son existence. Le nombre d’abonnés de la plateforme de streaming vient en effet de chuter, et la répression de la fraude fait partie des réponses envisagées. En pratique, plusieurs solutions techniques s’offrent à la plateforme.
Maud Cadoret, Adèle Hospital, Clémentine Laurens
Netflix pourrait choisir de lutter contre le partage de mot de passe pour enrayer sa perte d'abonnés. Photo by CardMapr on Unsplash
Qu’est-ce qui se passe chez Netflix ? La plateforme de streaming vidéo a perdu des abonnés pour la première fois en dix ans. 200 000 abonnés se sont envolés, en raison notamment du retrait de Netflix de Russie.
C’est une bagatelle pour le géant des séries et films en ligne, qui compte plus de 220 millions d’abonnés. Mais tout de même. Cette inversion de la tendance a de quoi inquiéter la direction, qui a décidé d’une nouvelle orientation économique impliquant la lutte contre le partage illégal de comptes.
Cette pratique qui consiste à partager son mot de passe avec des personnes extérieures à son foyer a longtemps été tolérée par Netflix. « Quand nous étions en pleine croissance, ce n’était pas une priorité », confirme son cofondateur Reed Hastings à l’AFP. Le partage de comptes peut en effet avoir des intérêts commerciaux pour la plateforme. C’est ce qu’explique Thibaut Henin, expert judiciaire et en cybersécurité : « On laisse un peu de mou aux fraudeurs car ils parlent du catalogue de la plateforme autour d’eux et font de la publicité. ». Mais aujourd’hui Netflix lorgne la manne que représentent les 100 millions de personnes qui utilisent illégalement un compte.
Le géant du streaming a lancé un test au Chili, au Pérou et au Costa Rica : demander aux utilisateurs de Netflix de payer 3 dollars de plus pour avoir le droit de partager leur compte. Pas sûr que cela fonctionne… À moins de contrôler strictement le partage illégal de comptes.
Connections simultanées
Netflix contrôle déjà le nombre d’appareils qui peuvent se connecter en même temps à un compte. En fonction de l’abonnement auquel on a souscrit, on a droit à un, deux ou quatre écrans simultanément. Lors de la première connexion d’un appareil à un compte Netflix, la plateforme associe les informations de connexion à cet appareil. Quand le nombre de connexions à un même compte utilisateur atteint la limite, Netflix bloque les nouveaux accès. L’appareil qui cherche à se connecter reçoit un message d’erreur.
Mais le contrôle des connexions simultanées ne permet pas de limiter l’utilisation d’un même compte par plusieurs utilisateurs s’ils se connectent alternativement. Pour éviter ce type de fraude, Netflix pourrait choisir de limiter le nombre d’adresses IP pouvant accéder à un même compte.
Trouver son chemin sur Internet
Une adresse IP est, comme son nom l’indique… Une adresse sur Internet. Concrètement, il s’agit d’un nombre compris entre 0 et 4 milliards. Car en pratique, pour pouvoir regarder un contenu sur Netflix, il faut qu’un appareil – par exemple un ordinateur personnel – échange des informations avec un serveur distant, sur lequel est stockée la vidéo en question.
Telle l’adresse que l’on indique sur une carte postale et qui permet au facteur d’acheminer le courrier, l’adresse IP est ce qui permet à ces informations de trouver la route entre le serveur et l’ordinateur. Pour pouvoir fonctionner, un service de streaming comme Netflix a donc accès à l’ensemble des adresses IP à partir desquelles s’établissent les connexions à un compte donné.
« Plus Netflix est restrictif commercialement parlant, plus les utilisateurs risquent de se lasser et d'aller pirater du contenu » - Thibaut Henin
Or, les conditions d’utilisation de Netflix stipulent que l’accès à un compte est réservé aux seules personnes vivant sous un même toit. Si toutes les connexions s’établissaient à partir d’une même box internet, une seule adresse IP devrait donc se connecter à chaque compte. Netflix pourrait donc choisir de n’autoriser qu’une adresse IP à se connecter à chaque compte.
Des adresses IP tournantes
Mais des utilisateurs vivant sous un même toit peuvent légitimement se déplacer, et donc être amenés à regarder Netflix à partir de connexions différentes. Toutefois, même en prenant ceci en compte, souligne Thibaut Henin, « si chaque jour on voit dix à quinze adresses IP qui se connectent [à un même compte], on peut penser qu’il y a fraude » et que ce compte est utilisé par plusieurs personnes de foyers différents.
Pour limiter la fraude sans restreindre l’accès de ses utilisateurs nomades, Netflix pourrait donc n’autoriser que quelques adresses IP à se connecter à chaque compte – quatre ou cinq adresses différentes par semaine, par exemple.
Mais la réalité est plus complexe, car en pratique, deux adresses IP ne correspondent pas toujours à deux connexions différentes… Et réciproquement. « Le problème, explique Thibaut Henin, c’est qu’il n’existe que 4 milliards d’adresses IP, et alors qu’il y a déjà 7 milliards d’êtres humains. Donc dans certains pays plusieurs personnes partagent la même adresse IP. » Et à l’inverse, « il arrive qu’on fasse tourner un ensemble d’adresses IP sur plusieurs connexions, ce qui fait que chacune de ces connexions n’a pas toujours la même adresse ».
Deux personnes différentes peuvent donc partager la même adresse IP, et une même personne peut changer d’adresse régulièrement. Le contrôle du nombre de connexions à chaque compte par Netflix se voit donc complexifié, puisqu’il n’y a pas d’équivalence stricte entre connexion et adresse IP.
Stratégie technique, commerciale ou juridique ?
En plus de ces limites techniques, les intérêts commerciaux de Netflix entrent en jeu. « Plus Netflix est restrictif commercialement parlant, plus les utilisateurs risquent de se lasser et d'aller pirater du contenu, ce qui ne rapporte rien », explique Thibaut Henin.
La plateforme pourrait donc plutôt faire la chasse aux gros fraudeurs, ceux qui partagent leur mot de passe avec des dizaines de personnes moyennant un prix plus avantageux que l’abonnement Netflix. « Dès que le nombre d’adresses IP dépasse[rait] un seuil - par exemple 10 ou 15 adresses pour le même compte - une alerte se déclenche[rait] et Netflix [irait] regarder de près le compte suspect », imagine le juriste.
Ensuite, dans le cadre d’une enquête et avec accord d’un juge, Netflix pourrait « se retourner vers le fournisseur de service ISP (Internet Service Provider, comme Sosh), qui peut demander à qui appartient l'adresse IP », détaille Gérard Madec, chercheur en systèmes réseaux à l’IMT Atlantique. En France, les opérateurs téléphoniques sont autorisés à conserver les bases de données utilisateurs un an au moins.
Double authentification
Autre test en France : l’année dernière, la plateforme a demandé à certains utilisateurs, de manière aléatoire, une double authentification. Lors de ces vérifications, en plus du mot de passe, une notification était envoyée à l’adresse mail ou au numéro de téléphone associé au compte. L’utilisateur devait alors cliquer sur un lien pour valider son identité. Mais pendant cette phase test, le service proposait de reporter à « plus tard » cette vérification.
« Ils fixent les règles de modération, et font justice en interne. Législatif, exécutif et judiciaire. » - Thibaut Henin
Échec ou réussite ? Cette méthode n’est, pour l’instant, pas démocratisée. De son côté, la plateforme de streaming Spotify demande régulièrement à ses utilisateurs de mettre à jour leur adresse postale. Si l’adresse renseignée n’est pas identique pour tous les utilisateurs du compte famille, le compte est bloqué.
Légalité et « intérêt légitime »
Du côté légal, « c’est légitime pour Netflix de regarder les adresses IP », explique Thibaut Henin. Cela rentre dans le cadre de « l’intérêt légitime », défini par la jurisprudence, qui inclut la lutte contre la fraude. L’objectif est notamment de protéger les droits audiovisuels des acteurs du métier.
Grâce aux conditions d’utilisation validées par ses utilisateurs, Netflix s’octroie un certain nombre de droits. Principale sanction à sa disposition : la suspension du compte. Le problème, selon l’informaticien, c’est que « les gros opérateurs [Netflix, Spotify, Twitter…] font leurs lois eux-mêmes. Ils fixent les règles de modération, et font justice en interne. Législatif, exécutif et judiciaire : ils concentrent les trois pouvoirs ». Un cumul des pouvoirs certes légal, mais qu’il serait légitime d’interroger, d’après Thibaut Henin. Le droit national reste lacunaire sur ces sujets… Mais jusqu’à quand ?