Home » Comment ça marche, Internet

Livre vert sur le filtrage

17 octobre 2011 aucun commentaire
tags : , , ,
Download PDF

Crédit photo : Teresia

Ce document est publié sur la plateforme Labs en vue de recueillir des avis, commentaires et modifications. Si vous souhaitez commenter, merci de le faire la bas :)

Personnes ayant participé, jusqu’à présent, à la conception : @Erebuss, @Tris_Acatrinei, Gordon (@Gordontesos), @maxauvy, Valentin (@val1984), Gaëtan (@gduchaussois), @jmplanche

Version du document : 1.0


1 Préambule

Ce document est un essai à plusieurs mains qui présente les méthodes de filtrage d’internet, leurs possibilités, leurs limites et leus implications. Il est actuellement en version 1.0, publié sur la plateforme des labs pour recueillir vos avis et conseils en vue de le faire évoluer avant de le communiquer au législateur, à la justice et aux diverses institutions ayant un rapport direct ou indirect avec le réseau (ARCEP, CSA, CNIL, HADOPI, ARJEL, …)

Toutes propositions de modifications, suppressions ou ajouts dans le contenu comme dans la structure sont les bienvenues !

Ce document est sous licence CC0. Les traductions et adaptations seront vivement souhaitées une fois la consolidation des avis effectuée.

 

2 Introductions

2.1 Qu’est ce que le filtrage ?
C’est l’action d’altérer l’accès à un contenu ou à un service du réseau. La différence avec le blocage est essentiellement à faire en considérant ce qu’on veut filtrer ou bloquer. On parlera, par exemple, de blocage lorsqu’on voudra empêcher complètement l’accès à un site. On parlera de filtrage lorsqu’on veut empêcher l’accès à une ressource précise (page, image, etc.). Le terme blocage est parfois utilisé en lieu et place de la suppression du contenu à sa source.

2.2 Pourquoi veut-on filtrer ?
Historiquement, en ce qui concerne Internet, le filtrage existe quasiment depuis le début des réseaux pour des raisons purement techniques ou de sécurité des infrastructures : les premiers filtres sont apparus sur Internet pour empêcher des membres du réseau d’accéder à certaines ressources (un site d’entreprise dédié à l’organisation et réservé à ses salariés par exemple).

Par la suite, le réseau grandissant, le filtrage a aussi été nécessaire pour contrer des attaques de différents types, la plus connue étant le déni de service (DoS – Denial of Service http://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service). Le retrait des spam et des virus de votre boîte email est également une forme de filtrage.

Aujourd’hui, les pouvoirs publics envisagent le filtrage sous un angle nouveau, pour empêcher l’accès à des contenus jugés illégaux et/ou immoraux.

Toute la difficulté est de transformer une mesure technique volontaire ponctuellement mise en œuvre par un acteur isolé (filtrage à vocation technique tel que décrit ci-dessus) en une mesure technique imposée par la force publique et mise en oeuvre durablement par l’ensemble des acteurs.

La question n’est pas de savoir si on autorise ou pas les technologies permettant le filtrage. Une partie de celles-ci sont déjà en place dans de nombreux réseaux pour les raisons précitées.

Il est à peu près évident pour tout le monde, à présent, que les technologies sont neutres, que ce soit celles permettant l’accès (par exemple le peer-to-peer [ou P2P] qui a fait la une des discussions parlementaires) comme celles l’empêchant (par exemple le filtrage d’IP). Tout est donc question de jugement sur l’utilisation qui en est faite. Ce document tente de lister l’ensemble des technologies disponibles, d’évaluer leur efficacité et les facilités de contournement pour terminer sur une réflexion générale sur la pertinence, les tenants et aboutissants du filtrage d’Internet en général.

2.3 Qu’est ce que le réseau Internet ?
Un réseau est un regroupement de machines interconnectées pouvant communiquer les unes avec les autres. Au delà des machines, ce sont des humains qui utilisent cet outil pour communiquer, de la même manière que le téléphone a relié les hommes ou, plus anciennement, les ponts ont permis aux riverains de se rencontrer.

Internet est le regroupement d’un grand nombre de réseaux de tailles très variables et gérés par des entités, voire pour certains des personnes, très différentes. Tous ces réseaux sont interconnectés physiquement et utilisent un langage commun (IP) afin de permettre à toute machine d’un réseau de communiquer avec n’importe quelle autre machine de n’importe quel autre réseau constituant Internet.

La notion la plus importante à retenir est l’absence de contrôle centralisé. Plusieurs institutions existent mais elles n’ont qu’un rôle de supervision et de conseil. Aucune n’a de pouvoir coercitif sur la composition du réseau ou son fonctionnement. Personne n’a la possibilité materielle d’interdire a deux opérateurs de s’interconnecter et d’échanger du trafic, par exemple.

Contrairement à un amalgame souvent fait, Internet n’est pas le Web et inversement. Internet permet d’accèder à une grande quantité de services différent dont le Web fait partie au même titre que l’email, le DNS (à vocation purement technique) ou le FTP.

Le Web est encore aujourd’hui le service le plus en vue sur Internet, qui permet, par l’intermédiaire d’un navigateur (les plus connus sont Firefox, Internet Explorer, Chrome ou encore Safari), d’accéder à des contenus sous forme de pages contenant du texte, des images, de la vidéo, etc. L’immense majorité de ces pages sont reliées les unes aux autres par des liens sur lesquels on clique, tissant ainsi un réseau ou les contenus sont connectés les uns aux autres, d’où l’analogie avec une toile (web en anglais).

Les informations circulent sur Internet sous forme de petits paquets contenant un nombre réduit de données (à peine plus de 1400 caractères en général) ce qui permet au réseau de renvoyer rapidement les éléments éventuellement perdus en route. À un niveau au dessus, ces petits paquets sont invisibles et on parle de connexions établies entre ordinateurs, un peu comme le fait que votre dernier meuble, bien qu’étant un seul et même objet, a probablement été transporté sous la forme de plusieurs cartons bien distincts avant d’être monté et installé chez vous.

2.4 Qu’est ce que le DNS ?
DNS est un annuaire décentralisé permettant entre autre de convertir des noms intelligibles par l’homme (par exemple www.lemonde.fr) en adresses IP et inversement. Il est constitué de serveurs organisés en hiérarchie, depuis les centaines de serveurs racines (rassemblés en 13 groupes distincts) connaissant les informations pour les noms dits « de premier niveau » (com/net/fr/…) jusqu’au serveur DNS d’un hébergeur qui contiendra l’information pour convertir www.lemonde.fr en adresse IP.

Le DNS est (quasiment) le seul élément technique d’Internet qui se structure de façon « hiérarchique » ou pyramidale. C’est pourquoi il peut apparaître comme un point de contrôle ou de filtrage. Ceci étant, bien que pyramidal, le DNS ne possède pas un seul et unique sommet, et même si une unique institution chapeaute tous ses sommets, ils sont techniquement entre les mains de plusieurs entités distinctes.

Sans DNS pour accéder à un site Web il faudrait connaître son adresse IP. Et si celle-ci venait à changer, il faudrait en informer tous les visiteurs. Avec DNS il suffit de déclarer le changement d’adresse IP pour que le nom (URL) du site Web soit converti en la nouvelle adresse IP Par conséquent grace à DNS, il n’est pas nécesaire d’informer les visteurs du changement d’adresse IP d’un site Web.

Un ordinateur connecté à internet passe son temps à interroger le DNS. Lorsque vous allez sur http://www.laquadrature.net, votre ordinateur va demander au serveur DNS de votre fournisseur d’accès quelle est l’adresse IP de la machine abritant www.laquadrature.net. Sauf si quelqu’un y est allé dernièrement, il est peu probable que le serveur DNS de votre FAI le sache. Il va donc demander à l’un des 13 serveurs racine qui va lui indiquer qui s’occupe de net, puis ce serveur qui s’occupe de net indiquera qui s’occupe de laquadrature.net, et on demandera alors à ce serveur la ou les adresses IP de www.laquadrature.net.

Il existe donc une multitude de serveurs, répartis partout sur la planète, distribuant des informations DNS à divers degrés et gérés par un nombre incalculable d’entités de diverses sortes. On peut même utiliser son propre serveur DNS à domicile par l’intermédiaire d’un logiciel à installer sur son ordinateur.

2.5 Qu’est ce que le BGP ?
Sur Internet, un paquet est acheminé d’une machine source jusqu’à une machine destination en étant relayé de proche en proche par un ensemble d’autres machines appellées routeurs. Chacun de ces routeur calcule en permanence, pour chaque destination, à quel routeur suivant il devra transmettre les paquets pour qu’ils se rapprochent de leur destination. Ce serait l’équivalent, sur la route, d’un panneau qui, à Paris, vous dirait « pour aller à Bruxelles, va à Lille et regarde les panneaux quand tu y seras »

Pour ce faire, chaque routeur maintient un tableau (table de routage) indiquant toutes les destinations accessibles et quelle direction prendre pour les atteindre ; les informations sur lesquelles il s’appuie pour construire la table de routage sont échangées via le protocole BGP entre les routeurs des opérateurs en fonction de qui est connecté à qui. On estime généralement qu’une modification de routage dans un réseau met environ 30 secondes pour parvenir à l’autre extrémité d’internet et toucher, de ce fait, tous les opérateurs du réseau.

On estime qu’il se passe entre 10 et 20 changements par seconde dans cette table en permanence, reflet en temps réel de réorganisations effectuées dans les réseaux ou de pannes inopinées.

Chaque opérateur annonce des chemins vers des blocs d’adresses aux opérateurs voisins avec qui il a bien voulu nouer des liens bilatéraux. Les différents opérateurs réseaux se font quasi-aveuglément confiance sur ce point, de sorte que n’importe quel routeur sur Internet est en mesure d’annoncer une route sur Internet, y compris une qu’il ne devrait pas annoncer (affaire youtube/pakistan).

Prenons le schéma suivant :

A — B — C

B est un opérateur connecté à A et C. A et C n’ont aucun lien entre eux et n’ont même jamais entendu parler l’un de l’autre. Sans annonce de la part de B, si A veut router un paquet jusqu’à C il ne sait pas comment faire.

Sur internet, B va dire à à A qu’il est connecté à C et inversement. A et C seront donc en mesure de communiquer via B.

Ce petit schéma représente des opérateurs en faisant volontairement disparaitre toute la complexité des réseaux internes. Dans la vrai vie, ce schéma devrait plus ressembler à :

(nuage de point avec des lignes partout)

2.6 Qu’est ce que le DPI ?
DPI signifie « Deep Packet Inspection » ou encore « inspection en profondeur des paquets ».

Internet est un réseau de transport, son objectif est d’acheminer des paquets de données d’un point A(lice) à un point B(ob). Pour cela, chacun des éléments de la chaîne d’acheminement doit pouvoir passer les paquets de données au prochain maillon de la chaîne et a donc besoin d’accéder à certaines informations présentes dans les paquets réseaux. Généralement, le besoin en information se borne à l’adresse de destination du paquet.

On parle de DPI lorsqu’un élément dans la chaîne consulte plus d’information que techniquement nécessaire pour transmettre le paquet au prochain maillon.

Par analogie, on pourrait dire que la Poste effectue du DPI si elle ouvrait chaque lettre qu’elle reçoit pour en lire tout ou partie de son contenu avant de la remettre ou non à son destinataire.

Les routeurs doivent par exemple consulter l’adresse IP de destination pour savoir où envoyer le paquet. Ils n’ont pas besoin d’aller consulter l’adresse email de votre destinataire qui, elle, fait partie des données stockées dans le paquet (payload, que l’on peut traduire par charge utile) si celui-ci contient un email.

Un routeur qui chercherait à déterminer la teneur du contenu du mail que vous avez envoyé ou le nom de la page web que vous voulez consulter avant de décider s’il doit ou non être transmis, ou de lui appliquer un traitement particulier (par exemple supprimer un passage contenant une expression précise) pratiquerait du DPI.

Il est important de se rendre compte que les routeurs modernes sont en théorie tout à fait capables de faire, au moins partiellement, ce genre d’inspection ; mais celle-ci est aujourd’hui majoritairement réservée à la gestion du réseau pour en assurer la bonne fluidité (limitation du débit sur certains usages à certaines heures par exemple) sans que ceci ne soit nécessairement souhaitable ni légalement encadré.

Par ailleurs, les routeurs actuellement déployés par les plus grands opérateurs n’ont pas la capacité d’effectuer du DPI sur les débits très élevés qu’ils traitent habituellement et sont limités quant à leurs capacités du fait, par exemple, de l’asymétrie du trafic (un routeur peut, pourquoi pas, voir passer tous les paquets transitant de A vers B mais pas ceux effectuant le trajet inverse).

2.7 Qu’est ce qu’un VPN ?
Un VPN (Virtual Private Network) est un réseau privé virtuel. Pour un utilisateur final, un VPN se crée en utilisant un logiciel couplé à un service. Le logiciel permet la connexion, via Internet, à un serveur distant abritant un service de redirection du trafic.

Pour simplifier, on peut considérer qu’un VPN est un câble direct mais virtuel entre deux points sur internet. Concretement, en établissant un VPN avec un fournisseur Russe, mon ordinateur va se comporter sur internet comme si j’étais client de ce fournisseur Russe avec une adresse IP Russe.

La totalité du trafic généré par le VPN, entre l’utilisateur et le fournisseur, est généralement chiffrée, rendant l’interception des données et leur analyse quasi impossible. Il est même souvent impossible de distinguer le trafic d’un VPN d’une simple session de navigation sur un site sécurisé.

 

3 Où peut-on filtrer ?

3.1 Chez l’hébergeur
On ne parle généralement pas de filtrage ou de blocage dans ce cas. Il est question de retirer le contenu purement et simplement. C’est la piste la plus efficace pour empêcher l’accès au contenu puisque l’hébergeur est la source de diffusion.

3.2 Dans le cœur du réseau
Il s’agit d’équiper tout ou partie d’un réseau par nature acentré afin de contrôler les flux de données. Ceci se fait soit au détriment de la décentralisation, entrainant donc une baisse des performances et de la résilience, soit à un coût (humain et technique) très elevé de par le nombre d’équipements et de configurations à mettre en production et à maintenir.

3.3 Au niveau du Noeud de Raccordement Abonné (DSLAM)
Le Noeud de Raccordement de l’Abonné (ou NRO dans le cas de la fibre) sont les centraux dans lesquels aboutissent les lignes de communication des abonnés. C’est dans les NRA que se trouvent les DSLAM, qui sont les équipements qui accueillent la partie ADSL des lignes de téléphone.

Tous les DSLAM en service ne sont cependant pas forcément capables de traiter les paquets IP. Beaucoup ne sont en effet dédiés qu’au simple transport depuis le DSLAM vers un autre équipement et n’embarquent aucune capacité d’analyse, ne serait-ce que de la source ou de la destination des paquets. De manière générale, leur mission ne concerne que le transport de paquets et leurs capacités de traitement sont orientées vers cette mission.

L’ajout d’équipements permettant ce genre de traitement serait envisageable, sachant qu’il existe plus de 15000 centraux téléphoniques. Cela revient à l’ampleur du travail qui a dû être effectué pour déployer l’ADSL ces dix dernières années

3.4 Au niveau des serveurs DNS
C’est un cas particulier du filtrage qui intervient sur un service et non sur l’infrastructure elle-même. Il n’empêche pas de consulter le contenu mais limite son accessibilité. L’analogie la plus proche est celle du réseau routier sur lequel on retire les panneaux indicateurs : vous pouvez toujours vous rendre à votre destination si vous connaissez déjà le chemin.

3.5 Chez l’internaute
Sur la box, sur un boitier intermédiaire ou sur le poste client. Cette solution pose la problématique de la diversité matérielle et logicielle chez le client (OS, ou modem différent, par exemple).

Se pose aussi la question des autres terminaux tels que les smartphones, tablettes et consoles, utilisant un OS différent des ordinateurs classiques, pour lesquels il faudra bien souvent obtenir la coopération du fabricant, ce qui semble peu probable, notamment pour les modèles n’étant plus activement supportés mais dont l’usage est encore très répandu.

 

4 Ce que l’on veut filtrer

Il s’agit d’une liste de cas concrets où le filtrage a été proposé comme solution. Le détail de chaque solution technique est fait plus loin.

4.1 Site Web ou partie de site web, ou contenu
Le but est, par exemple, d’empêcher l’accès à http://www.porn.com/pedo :

  • Le blocage par IP n’est que très faiblement efficace, le site web pouvant changer d’adresse en quelques minutes ou bien, dès le début, utiliser plusieurs adresses sans que celles-ci puissent être toutes infailliblement connues. Le risque de surblocage aveugle est par ailleurs très important, puisqu’il est impossible de connaitre précisément la liste des sites Web ou services Internet abrités par une même adresse IP, potentiellement plusieurs centaines voire milliers selon la solution d’hébergement utilisée.
  • Le blocage du nom de domaine entrainerait, d’une part, un très fort taux de surblocage : plusieurs milliers de sites Web pourraient être bloqués en même temps que le site visé (Argentine – Blogger.com). D’autre part, cela n’empêcherait aucunement l’accès au site par d’autres noms ou, à l’extrême, par les adresses IP directement (Affaire ARJEL/Stanjames). Il nécessite en plus la publication du listing des sites à filtrer, ce qui n’est pas nécessairement souhaitable. De plus, changer de nom de domaine est une opération rapide et quasi triviale. Les moyens de communication du nouveau nom sont ensuite nombreux (réseaux sociaux, chat, forums spécialisés…).
  • Le filtrage par URL permettrait un filtrage précis avec un risque minime de surblocage mais il nécessite l’utilisation de DPI, soit extrêmement coûteux et difficilement déployable à grande échelle, soit dangereux pour le réseau de par la centralisation nécessaire. Le DPI est également une technique invasive dangereuse pour le respect de la vie privée et le secret de la correspondance.
  • Le filtrage sur le contenu permettrait de filtrer des parties de sites Web en fonction de leur contenu (mot clés interdit, etc…). Ce type de filtrage nécessite également l’utilisation de DPI. Le risque de surblocage est clair. Bloquer le mot pédophile bloquera mieux le site d’une association de victimes que celui publiant des photos. Le principe du blocage par URL décrit plus haut est une application de filtrage du contenu.
  • Le filtrage hybride, mélange d’un filtrage par IP puis d’un filtrage sur le contenu. Il évite de devoir effectuer du DPI sur la totalité des communication mais nécessite un ancrage fort dans le réseau du FAI et pose, in fine, les mêmes problèmes que le DPI.
  • Le retrait du contenu à la source est le seul moyen n’entraînant aucun risque de dommages colatéraux mais il est dépendant de la législation du pays où sont hébergées les données et/ou de la bonne coopération de l’hébergeur.

4.2 Usage illicite sur le réseau
Le but est, par exemple, d’empêcher le téléchargement d’œuvres protégées sur un site de direct download :

  • Les filtrages par IP ou par nom sont inefficaces puisqu’on ne peut préjuger du carractère licite ou illicite d’un contenu à partir de son adresse ou de son nom.
  • Le filtrage complet du site mettant le contenu à disposition conduit à un surblocage et sous-blocage, celui-ci ne proposant pas que du contenu illégal et ce même contenu pouvant être proposé ailleurs (sur un autre site par exemple).
  • Le filtrage protocolaire, si l’usage illicite est fait via un protocole spécifique, entraîne les mêmes risques de sur- ou de sous-blocage (par exemple le peer-to-peer). De plus, l’identification d’un protocole est parfois loin d’être aisé.
  • Le filtrage par contenu utilisant le DPI et basé sur une liste de signatures peut être efficace mais connait les mêmes problématiques de coût, de déploiement et de respect de la vie privée que le filtrage de sites Web.
  • La sensibilisation des utilisateurs aux bonnes pratiques et leur responsabilisation est l’option la moins invasive et la plus « durable » a priori.

4.3 Messagerie instantanée
Le but est, par exemple, de bloquer la messagerie de Facebook sur une zone géographique prédéfinie (cas des émeutes Anglaises de l’été 2011) :

  • Les filtrages par IP ou par nom sont inefficaces, sauf à admettre qu’il est nécessaire d’empêcher totalement l’accès à Facebook.
  • Le filtrage protocolaire est inefficace, les réseaux sociaux utilisant, comme tout autre site, le protocole http.
  • Le filtrage par contenu par zone géographique, en utilisant des technologies DPI dans des endroits ciblés du réseau, peut permettre d’interdire certains usages sur des sites Web tout en créant un sur- ou un sous-blocage important, tant les modes d’accès sont différents (Web, application mobile…) et les réseaux hétérogènes (nationaux, internationaux, roaming, VPN…).
  • Les risques sont également les mêmes que le filtrage des usages illicites, mais il est en plus très difficile de déterminer automatiquement la licéité d’un message transitant sur le réseau, et la frontière entre le licite et la censure antidémocratique est vite franchie.

4.4 Virus / spam / fish / menaces diverses
Les solutions de lutte anti-spam utilisent généralement une analyse du contenu des mails et la comparaison avec des bases de signatures pour distinguer le spam ou les virus du courrier légitime. La distinction peut se faire sur l’adresse mail d’origine tout comme sur le titre ou le corps du mail. Ces techniques sont mises en œuvre soit au niveau des fournisseurs de service Internet qui protègent leur messagerie, soit au niveau des utilisateurs par des outils appropriés.

Les infections ou les arnarques utilisant le Web sont généralement filtrées par les navigateurs Web qui consultent une base de donnée en ligne avant de permettre l’affichage du site et qui informent l’utilisateur en cas de risque potentiel.

De manière générale, toutes ces protections pourraient être mises en place au niveau du réseau des opérateurs en utilisant du DPI. Cependant, une analyse antivirus par DPI de l’ensemble des paquets réseaux se révèlerait extrêmement coûteuse financièrement et nécessiterait une importante puissance de calcul.

4.5 Autres usages abusifs (filtrage à vocation technique)
Néanmoins, les cas détaillés ci-dessus menacent plus l’humain que la machine. Le réseau connait également ses propres menaces, le principal usage abusif filtrable de nos jours étant le déni de service. Il s’agit, pour l’attaquant, de générer un grand nombre de requêtes vers une machine pour la saturer et en empêcher l’accès. Il peut également viser directement des nœuds réseau (en surchargeant un routeur) ou des liens (en saturant le débit disponible).

 

5 Les différentes sortes de filtrage
Cette partie expose en détail les différentes méthodes, leurs limites, les risques associés ainsi que les contournements possibles.

5.1 Blocage sur les noms de domaine (DNS, DPI)
Il s’agit d’empêcher, à un niveau ou à un autre, la conversion du nom d’un site en adresse IP pour empêcher les machines des utilisateurs de connaitre cette IP et donc d’accéder au site.

Cette technique se met généralement en place au niveau du DNS des fournisseurs d’accès, sachant que s’il n’en existe qu’une poignée de très gros représentant 95% des internautes, il faut également compter sur plusieurs centaines de petites structures n’ayant parfois qu’une dizaine d’utilisateurs.

Le blocage complet d’un nom de domaine entraine un surblocage potentiel, par exemple dans le cas ou plusieurs sous-domaines ou sous-sites sont hebergés à la même adresse (cas blogger.com/blog1 & blogger.com/blog2).

Il est possible pour n’importe quel utilisateur de se servir d’autres serveurs DNS que ceux de son FAI, souvent même en dehors du pays (Google en propose, par exemple) rendant le filtrage sur les DNS du FAI inopérant.

Le filtrage DNS peut alors être couplé avec un filtrage protocolaire n’autorisant les requêtes DNS que sur les serveurs du fournisseur d’accès effectuant le filtrage. Ce filtrage peut, en l’état, être considéré comme une atteinte à la neutralité et peut être contourné au moyen de services DNS utilisant d’autres ports ou protocoles, ou encore en passant par un VPN.

Cette technique peut aussi faire l’objet de DPI, avec tous les travers que cela comporte, directement en cœur de réseau, permettant cette fois d’intercepter la totalité des requêtes DNS effectuées.

De manière générale, le filtrage DNS peut aisément être contourné au moyen d’un VPN permettant de simuler une connexion depuis un autre opérateur, par exemple à l’étranger.

5.2 Blocage sur les adresses IP (DNS, DPI, BGP)
Il s’agit d’empêcher le trafic en provenance ou à destination d’une adresse IP prédéfinie. Contrairement au blocage au niveau du DNS, celui-ci est totalement aveugle quant au nombre de ressources ainsi filtrées.

Concrètement, sur le réseau d’un opérateur, cette mesure peut être implémentée au niveau du DNS, en l’empêchant de répondre l’adresse IP cible du blocage à ses clients. On retrouve les mêmes problématiques de contournement que sur le blocage des noms.

Il peut également être effectué au moyen d’injection BGP, technique consistant à donner, pour l’adresse IP cible, une fausse information à l’ensemble des routeurs du réseau afin que les demandes de connexions ne puissent atteindre le serveur réel. L’emploi de technologies type VPN permet de contourner très aisément ce type de filtrage, en employant d’autres réseaux non soumis aux mesures de blocage.

Il peut enfin être mis en place en inspectant les paquets et en interrompant la connexion une fois qu’elle a été établie. L’inspection de paquets permettant plus de flexibilité, elle ne s’arrête généralement pas à un simple blocage des adresses IP, puisqu’elle permet beaucoup plus.

Ce type de filtrage permet donc effectivement de bloquer l’accès à la cible définie depuis le réseau où est effectué le filtrage, mais le su-rblocage est énorme et non estimable au moment où l’ordre de blocage est donné et il est, en fonction de la méthode employée, aisé à contourner ou difficile à mettre en place.

5.3 Filtrage sur les URL (DPI)
Il s’agit de controler précisement les URL auxquelles on laisse accès. C’est un filtrage applicable uniquement au Web non chiffré. Il s’agit, via l’inspection de paquets, d’interrompre une connexion pré-établie lorsqu’une URL « interdite » est detectée.

Ce type de filtrage présente tous les problèmes du DPI et peut être facilement contourné par l’emploi de connexions chiffrées (https), par changement d’URL du contenu ou par l’utilisation de VPN.

L’utilisation de ces technologies sur https est théoriquement possible en ayant des certificats valides pour des sites que l’on ne possède pas. Il suffit pour ça de posséder une autorité de certification reconnue par les navigateurs. C’est le cas de nombreux états ou d’entreprises privées pouvant, le cas échéant, être soumises par un état.

5.4 Filtrage sur les contenus (DPI)
Suivant le même principe que le filtrage sur des URL, le filtrage sur le contenu inspecte les paquets transmis à la recherche d’un contenu spécifique : texte, image, son, vidéo, pour en empêcher la transmission.

Il ne présente pas le problème du filtrage par URL qui peut être contourné en publiant le même contenu a une autre adresse, mais il oblige alors à un contrôle de l’intégralité du trafic.

La nécessité d’inspecter la totalité du trafic implique de mettre en place des équipements d’inspection de paquets dimensionnés pour supporter l’intégralité de la charge induite sur le réseau par les abonnés. Cela nécessite aussi de centraliser le trafic ou bien de démultiplier les équipements pour en placer plus près des abonnés. Ces actions sont de nature à gravement fragiliser le réseau et impliquent un ralentissement notable de l’innovation puisque les équipements nécessaires sont beaucoup plus coûteux que ce qui est habituellement suffisant pour créer un réseau.

5.5 Blocage sur les ports
Pour simplifier, considérons que chaque type d’application utilisant Internet le fait par le biais d’un numéro prédéfini pour chacune. Par exemple, le Web utilise massivement le port 80 ou, pour les sites sécurisés, le 443. L’envoi d’email se fait quant à lui par le port 25.

Un filtrage par numéro de ports est simple à mettre en place. Presque tous les équipements réseau savent le faire. C’est le principe de base du fonctionnement des firewalls.

On pourrait, par exemple, décider que les serveurs usenet utilisant le protocole NNTP sur le port 119 sont une menace pour le respect du droit d’auteur. Il conviendrait donc de fermer le port 119 pour régler le problème.

Si on met de côté le fait que NNTP n’est qu’un protocole et ne determine donc pas la licéité des contenus qui y transitent, les personnes souhaitant l’utiliser auront tôt fait d’utiliser un autre port que le 119.

Certaines applications sont mêmes auto-adaptatives, comme beaucoup de logiciels peer-to-peer qui vont tester la connexion de l’internaute à la recherche de ports bloqués et utiliser les premiers disponibles qu’ils trouveront.

Le blocage de ports est donc l’un des plus simples mais aussi l’un des moins efficaces.

5.6 Filtrage hybride (voir http://www.laquadrature.net/files/note-quadrature-filtrage-hybride.pdf)
Il s’agit d’un mélange du filtrage utilisant BGP et d’inspection de paquets.

Concrètement, pour éviter le sur-blocage entraîné par l’interdiction totale d’accéder à une IP et pour éviter le coût et les problèmes de redondance engendrés par le DPI, le filtrage hybride propose de ne faire passer au travers du filtre DPI que le trafic à destination des adresses IP distribuant le contenu à bloquer.

L’effet sur le reste du trafic est supposé être nul, l’impact sur la globalité du réseau également. C’est bien entendu en supposant que les contenus à filtrer ne font pas partie de grosses plateformes de distribution de contenus. Car si ce genre de plateforme se retrouve soudain à devoir filtrer l’ensemble du trafic venant d’un site comme MegaUpload, elle aurait tôt fait d’être saturée et d’agir, finalement, comme un filtre simple interdisant l’ensemble du trafic.

Ce trafic théoriquement détourné est imprévisible. Une attaque simple sur ce genre de plateforme pourrait être l’utilisation de machines infectées chez le FAI pour générer un grand nombre de requêtes vers la plateforme de filtrage, la rendant inopérante et obligeant donc le FAI à la désactiver ou à laisser perdurer l’inaccessibilité.

Par ailleurs, l’utilisation détournée de BGP n’est pas un acte anodin. De nombreux administrateurs chevronés commettent souvent des erreurs de configuration ayant plus ou moins d’impact sur le réseau tout en étant des actions de pure routine, on envisage aisément que des affaires comme YouTube/Pakistan Telecom (note de bas de page : http://www.bortzmeyer.org/pakistan-pirate-youtube.html ) pourraient se produire régulièrement si l’utilisation du filtrage via BGP était institutionnalisée.

 

6 Les risques

6.1 Atteinte au développement du réseau
Le succès d’Internet repose sur la facilité qui existe de déployer le réseau. Avec 200 € on peut par exemple transporter du très haut débit sans fil sur de grandes distances (>40km) et amener du réseau dans des endroits où il est encore difficile d’envisager ne serait-ce que l’eau courante. Ces développements du réseau sont loins de n’être que marginaux aujourd’hui.

Imposer un arsenal législatif peut sembler sans danger si on observe le compte en banque des grands opérateurs qui n’auront aucun mal à financer les investissements nécessaires, mais il y a fort à parier que ces grands opérateurs trouveront la parade leur permettant de ne pas dépenser un centime de leur poche pendant que les plus petits (parfois une simple association desservant un groupe de villages isolés dans les Alpes et fonctionnant avec un budget annuel de 5000 €) seront amenés à cesser leurs activités ou à œuvrer dans l’illégalité.

L’impact sur la résilience du réseau est également très fort. Le DPI demande des traitements complexes sur des données envoyées par l’utilisateur. La probabilité de bogues dans l’implémentation des appareils de DPI est forte, de par la complexité du traitement, sans parler des tentatives d’attaques facilitées par cette complexité.

Du fait du coût élevé de ces équipements et de leur inutilité technique dans le bon fonctionnement du réseau, ils ne seront pas aussi bien secourus que les routeurs et représenteront donc un point de panne potentielle non négligeable.

Enfin, la rigidification des règles légales est un frein à la coopération internationale. La France se remet aujourd’hui péniblement de multiples erreurs de déploiement du réseau et de rayonnement à l’international, il serait fortement dommageable qu’un signal négatif émane des pouvoirs publics, signal qui risquerai de décourager les opérateurs étrangers qui sont aujourd’hui en train de rouvrir des liens avec les plateformes d’interconnexion françaises.

6.2 Risques pour la vie privée
Même si certains affirment que ce genre de risque est inexistant sous nos latitudes, l’installation, en un nombre réduit de points, d’équipements permettant l’interception de communications à grande échelle, qui plus est maitrisés par un petit nombre de personnes, présente toujours un risque pour la vie privée.

6.3 Dérives sociétales
Empêcher l’accès à quelque chose peut avoir plusieurs conséquences :
– soit la personne privée d’accès ne le sait pas et n’essaie pas d’accéder au contenu et tout se passe comme si le contenu et le blocage n’existaient pas ;
– soit la personne essaie d’accéder au contenu, en est empêchée, et pour diverses raisons ne le sait pas (croit à une panne temporaire, par exemple) : si la personne a réellement envie d’accéder au contenu elle finira par se rendre compte qu’il est bloqué, sinon, c’est que la consultation était opportuniste (quelqu’un ayant conseillé un lien par exemple) et que la sensibilisation morale de la personne aurait largement suffit ;
– soit la personne s’aperçoit du blocage, veut tout de même accéder au contenu, et va donc tenter de contourner le blocage mis en place.

Mécaniquement, si une majorité de gens appartiennent à la troisième catégorie, les méthodes de contournement vont devenir de plus en plus accessibles et simples d’utilisation, rendant le blocage de moins en moins efficace jusqu’à ce que la technologie majoritairement employée le rende totalement inopérant.

Le peer-to-peer est une illustration flagrante de cette capacité d’auto-défense d’Internet. Avant l’arrivée de Napster, les internautes utilisaient principalement le Web ou usenet pour se fournir en contenus « contrefaits ». Les avocats ont eu tôt fait de faire mettre en prison quelques gros diffuseurs en les repérant grâce à l’adresse IP de leur site. La réponse fut quasi immédiate : l’utilisation de la non-différenciation client/serveur fut exploitée pour permettre à tout le monde d’être à la fois spectateur et diffuseur.

Aujourd’hui, la loi Hadopi pousse les gens à abandonner le P2P au profit de sites de distribution situés dans des pays aux lois plus laxistes que d’autres, mais cette phase n’est que transitoire et sera à l’avenir abandonnée, peut-être au profit des réseaux P2P chiffrés ou à routage en oignon (comme par exemple TOR).

Même si elle reste aujourd’hui difficile à quantifier, l’augmentation du chiffrement de bout en bout des communications sur le réseau semble bel et bien réelle. Hier on ne voyait les téléphones chiffrés et autres « lignes sécurisées » que dans les films d’espionnage. Aujourd’hui, des logiciels de chiffrement très performants et très simples d’utilisation sont disponibles gratuitement en téléchargement sur Internet. Certains tendent même à être utilisés de façon quasi-systématique par le grand poublic, là où seuls les professionnels et les utilisateurs avertis les installaient il y a encore peu de temps.

6.4 Les réponses au filtrage
Il a été possible d’observer les réponses au filtrage par les réseaux dans les affaires Wikileaks http://www.lemonde.fr/technologies/article/2010/12/03/eric-besson-demande-que-le-site-wikileaks-ne-soit-plus-heberge-en-france_1448661_651865.html et Stanjames (http://www.maitre-eolas.fr/post/2010/08/18/L-affaire-StanJames.com-(TGI-Paris,-6-ao%C3%BBt-2010) ), ou tout dernièrement Copwatch. Le réseau réagi à la manière d’un organisme vivant en assurant, en fonction des moyens, l’accès au contenu qui est pris pour cible par une mesure de filtrage.

Dans le cas de stanjames.com qui faisait l’objet d’un simple filtrage DNS, un certain nombre d’internautes ont créé de nouveaux noms de domaine ou ont fait circuler directement les adresses IP concernées pour permettre aux joueurs de continuer à accéder au site.

Dans l’affaire Wikileaks, avant même que quiconque ait songé à saisir la justice pour obtenir la fermeture de l’hébergement du site qui, à ce moment là, était sur le sol français, plusieurs milliers de copies du contenu étaient déjà en place partout sur la planète.

Ce principe est connu sous le terme générique d’effet Streisand, du nom de Barbara Streisand qui fut la première à expérimenter la duplication à grande échelle d’un contenu qu’elle avait tenté de faire supprimer du réseau. Des variantes existent, mais le principe de base est qu’un contenu qu’on tente de supprimer par la violence (blocage, filtrage ou suppression à la source à grand renfort d’avocats) alors qu’il est jugé utile et pertinent par certaines personnes gagne généralement en audience et en réputation, ce qui est exactement l’inverse du résultat escompté par les personnes ayant voulu le blocage ou le filtrage.

6.5 Implications internationales
Certains Etats ont déjà utilisé et utilisent encore, pour certains, des technologie de filtrage et de blocage, le DPI par exemple, notamment la Syrie ou encore la Lybie afin d’espionner les populations, tenter de contrôler les émeutes, ou encore anticiper les mouvements rebelles. Il serait possible de résumer grossièrement en disant que la technologie de DPI permet non seulement une violation de la vie privée, mais également une répression (parfois indirectement sanglante) des populations qui souhaiteraient faire usage de leurs libertés d’expression, de manifestation, de droits politiques.

Ce type d’actions n’est pas acceptable en France et ce pour deux raisons. La première tient au fait que la France fait figure de Mère Patrie en matière de Droits de l’Homme et de libertés constitutionnellement garanties. La seconde raison est une question de rayonnement de la France sur la scène diplomatique, justement pour son attachement profond aux libertés fondamentales : certains Etats n’ont pas la même vision des réseaux et des libertés fondamentales que la France ou le Royaume-Uni et si certains risquent d’utiliser l’argument de l’exemple français pour procéder à l’installation de technologies de filtrage et de blocage, d’autres vont plutôt prendre le contre-pied pour devenir ce que l’on appelle parfois des paradis numériques.

Enfin, la mise en place de filtrage et de blocage entraine nécessairement l’apparition d’une minorité qui les refuse, minorité qui se réfugiera dans la crypto-anarchie. Or, Internet doit rester neutre, ouvert, libre et un système fonctionnant sur une base de crypto-anarchie n’est pas souhaitable, ne serait-ce que pour garantir un accès universel au réseau.

 

7 Conclusion

Aucune méthode de filtrage n’est efficace à 100%. On pourrait arguer du fait que l’exhaustivité n’est pas la cible, et qu’un filtre empêchant 98% des accès est amplement suffisant, mais ce serait perdre de vue que les 2% d’accès restants sont généralement précisément ceux qu’on cherche à empêcher.

L’exemple typique utilisé pour justifier le filtrage en est l’illustration idéale : filtrer les sites pédopornographiques est idiot puisque cela n’empêchera que les gens qui ne vont jamais les consulter d’y accéder, pendant que les visiteurs habituels de ce genre de contenu continueront à communiquer et échanger leurs contenus ailleurs, voire pire, opteront pour des méthodes de communications chiffrées rendant l’interception impossible et les investigations beaucoup plus difficiles.

Du coté des implications directes, justement, on gardera en tête l’énorme impact négatif sur l’économie présente et future d’un secteur tout entier qui s’imbrique de plus en plus dans l’ensemble des autres pans de l’économie française et mondiale.