PCI : l'étude d'impact des FAI sur le blocage des sites pédopornos

Quand le blocage débloque 58
Exclusif : Présenté comme un texte de première importance, le projet LOPPSI (loi d'orientation et de programmation pour la performance de la sécurité intérieure) a finalement été reporté au premier semestre 2010. Le projet n’est donc pas mort et les travaux continuent au ministère comme chez les opérateurs. Ainsi en atteste cette étude d’impact de la Fédération Française des Télécoms qui chiffre les coûts du blocage des sites pédopornographiques et que nous publions.

Le projet LOPPSI est pour le moins sensible puisqu’il autorise, en les encadrant, l’usage de mouchards informatique que la police pourra installer à l’insu de l’utilisateur. Le texte met également en place le fichier d'analyse sériel, en fait l’exploitation large de toutes les sources informatiques encerclant certaines infractions aussi bien auprès du suspect, des proches, que des éventuels témoins. On comprend ainsi les critiques de la CNIL. Mais la LOPPSI, c’est encore et surtout le filtrage ou blocage des sites pédopornographiques par les FAI. S’il évoque une obligation de résultat, le projet passe sous silence les dommages collatéraux que génèrent ces mesures sur les réseaux...

Selon nos informations, au ministère de l’Intérieur, deux groupes de travail planchent déjà sur les décrets d’application de cette loi non encore votée ni même discutée. L’un est dédié aux questions juridiques, l’autre aux modalités techniques. Cette démarche qui vise à inverser charrue et bœufs ne surprend plus, puisqu’elle avait déjà été utilisée pour la loi HADOPI...

Filtrage blocage BGP

La Fédération Française des Télécoms a ainsi remis cet été une étude d’impact à la cellule travaillant sur les modalités techniques. Cette étude d’impact du blocage des sites pédopornographiques a été éditée par MARPIJ et Insight, deux cabinets de conseil. Elle se propose de faire le bilan de toutes les questions touchant de près ou de loin le blocage d’accès des sites internet et d’en chiffrer le coût pour la collectivité. 

Blocage par IP, par redirection BGP (rertoutage d’adresse IP ), par redirection DNS ou par inspection de contenu (DPI) et enfin le blocage hybride. A chaque fois, l’étude établit les principes de fonctionnement, la mise en œuvre technique, mais aussi les effets de « bords » (surblocage) de chacune de ces techniques de blocage (voir tableau).

La démarche emprunte celle de Christophe Espern dans sa fameuse étude "fondatrice" ou les remarques de Free sur le blocage, l'un et l'autre cités dans ce document.

De multiples contournements possibles

L’étude de la FTT évoque aussi les différentes techniques de contournement. Le darwinisme des internautes étant sans borne, ces techniques sont nombreuses : sites miroirs, adresse IP à la place de l’Url pour déjouer le filtrage DNS, le changement fréquent d’IP, le piratage par fast-flux (on fait héberger un site sur plusieurs machines, à l’insu de l’utilisateur, en associant nom de domaine et cette liste d’IP remaniée plusieurs fois par minute), le changement de numéro de port, le changement de configuration de DNS, les proxy, les réseaux anonymes... Selon ces professionnels des réseaux, toutes les techniques de blocage, sans exception, sont contournables. « Il est fort à parier que dès lors que le blocage sera effectif, les sites spécialisés dans les techniques de contournement vont se multiplier, réduisant ainsi fortement l’efficacité du dispositif. »

tableau filtrage blocage contournement effets
Avantages et limites de chaque technologie de blocage

Selon cette étude, «  si les techniques les plus évoluées permettent d’effectuer des blocages plus précis, évitant ainsi des surblocages importants, leur coût reste élevé et peut ne pas être adapté à un contexte de blocage légal des sites pédopornographiques, dont l’objectif premier est de prévenir de l’accès involontaire à ces contenus. Plus la technique de blocage est précise, plus elle est coûteuse et plus elle présente un risque de congestion au niveau de l’équipement d’inspection (DPI), qui se matérialise le jour où un site à fort trafic (ex. Google, Youtube...) est inséré dans la liste des sites à bloquer ». Selon ce document, on pourrait limiter un peu la casse en limitant la liste noire des sites à bloquer (moins de 2000 entrées)...

Autre considération sur les risques du blocage : « les solutions de blocage (...) ne permettent d’empêcher que les accès involontaires à des contenus pédopornographiques disponibles sur le web (à travers le protocole http). Il est à souligner que tous les contenus diffusés sur les réseaux Peer-2-Peer, Usenet, Chat de type IRC ne sont pas inscrits dans le périmètre de blocage. Or d’après une enquête (...), IRC est depuis 20 ans une des principales plateformes d’échange d’images pédopornographiques ». Un coup d’épée dans l’eau...

De 100 000 € à 140 millions d'€ de coûts structurels

L’analyse de la FTT se poursuit par un survol de la situation internationale (au Royaume-Uni, Australie, Norvège, Pays-Bas, Italie, Suède et Canada...). Mais c’est surtout sur la partie d’évaluation des coûts que notre intérêt se porte. Le document a tenté de modéliser plusieurs scénarios techniques et opérationnels pour déterminer l’impact financier de ce blocage. Nous vous invitons à vous plonger dans les détails de cette étude, mais nous en retiendrons directement la conclusion.

Dans l’hypothèse d’une liste ne dépassant pas les 2000 sites et d’une adoption uniforme d’une même technologie de blocage par les principaux FAI (3 FAI fixe-mobile, 1 FAI fixe-câble, 1 FAI fixe-DSL), le coût direct total pour le secteur sur 3 ans se décline de la manière suivante :
  • Entre 100 k€ et 3 M€ respectivement pour le blocage BGP « externalisé État » et BGP « internalisé FAI »
  • près de 5 M€ pour le blocage DNS
  • près de 15 M€ pour le blocage hybride
  • près de 140 M€ pour le blocage DPI
« Les solutions BGP et DNS soient les plus appropriées » estime cette étude qui note aussi dans un tableau que le blocage BGP entraine un risque important de surblocage « en raison de la rupture totale de la communication avec l’hôte portant l’adresse IP à bloquer ». Le BGP peut générer aussi des risques de propagation d’erreurs aux domaines voisins. Quant au blocage DNS, il génère un risque de surblocage au niveau du nom de domaine, et non de l’url (ex blocage de www.geocities.com, et non de www.geoticies.com/pages...)

Des coûts indirects inconnus et liés aux risques de chaque technologie

Outre ces coûts, il fait ajouter les risques liés au surblocage comme le cas de Youtube Pakistan dont un blocage BGP mal négocié a entrainé l’inaccessibilité du site pendant plusieurs heures à l’échelle de la planète. Dans le même sens, l’affaire Virgin Killer sur Wikipedia qui a impacté l’encyclopédie...

scorpions virgin killer


Il faudra alors ajouter donc au coût structurel, les coûts liés aux dédommagements de ces victimes par ricochet :

« Les conséquences de telles erreurs peuvent être très dommageables aux FAI, en termes d’image de marque et de Qualité de Service perçue par leurs clients. Cela entraînerait sur le moyen terme une augmentation du taux d’attrition (churn) et réduirait ainsi l’utilité des dispositifs de blocage censés protéger les usagers d’internet. Les conséquences peuvent être également de natures financières. Cela pourrait se traduire par des coûts additionnels au niveau des centres d’appels à la suite d’erreurs de blocage de domaines à fort trafic (Wikipedia, Youtube, Google…). En considérant un coût de 5 euros par appel et un taux d’appel des abonnés de 1%, le surcoût immédiat pour le FAI générique serait de 140 k€ par heure.

À cela, il faudrait ajouter les dommages et intérêts que serait en mesure de réclamer un éditeur comme Google, sachant que le blocage d’une journée équivaut à une perte de CA de près de 100 k€ pour Google France (sur la base du CA 2007)
».

On précisera au passage que selon la jurisprudence constitutionnelle, c’est à l’État de prendre en charge le déploiement et les risques de ce blocage, les FAI n’étant que des « exécutants ».

Dans cette étude Orange France, SFR, Bouygues, Numéricale, Colt et Cisco ont été interrogés. Pour Free, on pourra se reporter à cette actualité où le FAI présentait des remarques similaires à celles soulevées dans cette étude d'impact.
Publiée le 02/10/2009 à 16:15
Marc Rees

Journaliste, rédacteur en chef

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité