Turb(l)o(g)

Bon, en fait, c’est un mensonge, mon FAI, c’est moi, et je ne bloque aucun site web.

Par contre, chez Bouygues Télécom, on ne se fait pas prier trop longtemps par l’ARJEL pour se conformer aux obligations de filtrages imposées par le TGI de Paris la semaine dernière. C’est donc chose faite, les clients de Bouygues ne peuvent théoriquement plus accéder à www.stanjames.com. Enfin, tout est relatif, les ordinateurs qui utilisent les serveurs DNS de Bouygues obtiennent une fausse information qui ne leur permet donc pas d’accéder au site.Alors comment fait-on pour accéder aux sites bloqués par un vilain DNS menteur ? Ben on utilise un autre serveur DNS. Par exemple, celui de Google qui est publique et qui porte l’IP 8.8.8.8 (facile à retenir, en prime). Je ne rentrerais pas dans le long débat qui consiste à savoir si c’est bien ou mal de donner la liste de toutes ses requêtes DNS à Google. Personnellement, je pense que c’est mal, mais moins mal que de s’adresser à un DNS menteur.

L’avantage du DNS menteur, c’est qu’il ne perturbe l’accès que d’un seul site. Quelles sont les autres manières de bloquer un site chez un FAI ? Comment on passe à coté et quels sont les effets de bords ?

• Le blackholing. Il agit au niveau de l’adresse IP de la machine qui héberge le site. Si vous ne suivez pas mon blog régulièrement, revenez en arrière pour lire l’article qui parle des routes sur internet. Le blackholing permet, sur un réseau autonome défini, de jeter purement et simplement le trafic provenant d’une ou allant vers une adresse IP déterminé (ou un bloc entier). En l’occurrence, en cherchant un peu, on trouve que Stanjames utilise le bloc d’IP 91.199.56.0/24 et que l’adresse précise du site www.stanjames.com est 91.199.56.80. Il suffirai donc à un FAI de blackholer cette IP ou le bloc entier pour être sûr qu’aucun utilisateur n’accède au site www.stanjames.com. Ce faisant, il interdirait également toute communication avec d’autres sites ou services hébergés sur ces adresses. Pour passer à coté, pas de grand mystère, il faut éviter le réseau de son fournisseur, soit en résiliant pour aller chez un autre qui ne filtre pas de cette façon, soit en utilisant un VPN permettant d’écouler son trafic depuis une autre adresse IP que celle de son fournisseur (VPN qui n’a pas nécessairement besoin d’être chiffré)
• Il existe des variations du système de blackholing qui consiste a rediriger le trafic vers une machine appartenant au fournisseur pour pouvoir afficher des pages au visiteur (au mieux « vous avez pas le droit », au pire, le site d’un concurrent)
• L’inspection de paquets, méthode plus onéreuse pour le fournisseur qui consiste à rechercher des informations précises dans les flux de données puis, le cas échéant, de les couper. Par exemple, lorsqu’on discute avec www.stanjames.com, le navigateur commence par ouvrir une connexion avec le serveur web puis dit « je voudrais que tu me donne la page http://www.stanjames.com/ ». Un système d’inspection de paquets peut être configuré pour couper purement et simplement la connexion entre le navigateur et le serveur web lorsqu’il verra passer cette phrase. L’avantage de cette méthode, c’est que si le site en question change d’hébergeur, il sera toujours filtré. Par contre, s’il change de nom, c’est cuit. La encore, pas de miracle possible pour contourner la mesure si ce n’est d’évacuer son trafic au travers d’un VPN qui, pour le coup, devra être chiffré pour que le système d’inspection ne puisse pas retrouver la demande de page web.

On va donc probablement, dans les mois qui viennent, assister à une escalade meurtrière de « je fais mentir mes DNS », « j’en utilise d’autre », « je blackhole les IP », « j’utilise un VPN », « j’inspecte tes paquets et m’assoie sur le respect de ta vie privée », « je chiffre tout mon trafic ».

L’effet de bord totalement prévisible ? Une fois que la majorité du trafic d’Internet sera chiffré, toutes les mesures actuelles d’écoute et d’interception par les forces de l’ordre pour des motifs plutôt légitimes (la pédophilie, par exemple) seront incroyablement complexifiées.

D’un autre coté, les personnes se livrant à des activités réellement néfastes et prohibées utilisent déjà des systèmes de protection de leurs échanges … C’est donc encore un très joli coup d’épée dans l’eau.

EDIT : pour preuve de l’épée et de l’eau, un particulier à déjà crée un nom de domaine alternatif pointant sur l’IP du site stanjames.com. Le site est donc de nouveau accessible aux abonnés Bouygues Telecom via ce nouveau nom de domaine qui n’entre pas dans le périmètre de l’ordonnance rendue vendredi dernier par le TGI de Paris.

Comme je le disais trois  paragraphes plus haut, le prochain stade de blocage s’effectue au niveau de l’adresse IP utilisée par Stanjames. Après cela, en dehors des VPN, les solutions globales centralisée sont :

• Pour Stanjames, de changer l’IP du site, quitte à utiliser un autre réseau que le sien (puisqu’ils sont leur propre hébergeur avec leur propre réseau)
• Pour les visiteurs, d’utiliser un proxy anonyme comme on en trouve un peu partout (google est votre ami) pour rebondir avant d’aller vers le site final (méthode qui fonctionne d’ailleurs pour n’importe quel blocage, y compris l’inspection de paquets si le proxy permet de chiffrer les échanges)