Blocage par erreur chez Orange : Lionel Tardy demande des comptes à l'Intérieur

Blocage par erreur chez Orange : Lionel Tardy demande des comptes à l’Intérieur

Sous l'aiguillon de la CNIL

Avatar de l'auteur
Marc Rees

Publié dans

Droit

02/11/2016 4 minutes
47

Blocage par erreur chez Orange : Lionel Tardy demande des comptes à l'Intérieur

Le 17 octobre, Orange a bloqué Google, Wikipedia et d’autres sites pour apologie du terrorisme. Le député Lionel Tardy demande désormais des comptes au ministère de l’Intérieur.

Un décret de février 2015 permet à la place Beauvau d’adresser régulièrement une liste noire de sites à bloquer aux fournisseurs d’accès français. Dans cette procédure sans juge a priori, les FAI, n’ont pas d’autres choix : une fois cette liste non publique en main, ils doivent alors rediriger les visiteurs des sites litigieux vers l’adresse IP du ministère qui explique les raisons du blocage (apologie ou incitation au terrorisme, pédopornographie).

Voilà pour la théorie.

Mi-octobre, ces rouages bien huilés ont grincé chez Orange. Suite à « une erreur humaine », un cafouillage s’est produit lors de l’actualisation de la liste noire. Résultat ? Plusieurs sites légitimes ont été bloqués. Et pas des nains : Google, Wikipédia, OVH. Il y aurait même une centaine de sites frappés par ce « fail » selon les informations données par le ministère, lors d’une réunion interne. 

Le 18 octobre, l’Intérieur a communiqué sur l'incident : il a demandé des clarifications à Orange sur l'incident. Surtout, le même ministère a exigé de son prestataire technique « l’effacement définitif » des adresses IP collectées à des fins statistiques lors des consultations de la page de redirection.

Quelles ont été les données glanées dans la page de redirection ? 

Cette précision a suscité la curiosité du député Lionel Tardy qui vient de questionner Bernard Cazeneuve sur « le périmètre des données traitées » par la page de redirection. Et notamment sur « la conservation ou non de l'URL complète émise par le navigateur de l'Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi ».

Il se souvient à cette occasion que dans son avis sur le décret de février 2015, la CNIL « relevait que le cadre juridique actuel ne permet ni la collecte ni l'exploitation [par l’Intérieur], des données de connexion des internautes qui seraient redirigés vers la page d'information du ministère de l'Intérieur ».

Certes, la CJUE a récemment estimé que la conservation des adresses IP pour lutter contre les cyberattaques était possible pour l’exploitant, mais cette modalité doit être prévue par les textes. Or, le doigt sur la législation française, le député constate qu’« il n'existe à ce jour aucune obligation spécifique de conservation à la charge d'un exploitant de service Internet de l'adresse IP de ses visiteurs ou utilisateurs ». De fait, l’obligation de conservation des données d'identification ne concerne que la création et la modification des contenus en ligne. Pas la consultation.

La CNIL a-t-elle autorisé un tel traitement ?

Du coup, il demande au ministère de clarifier « la portée des obligations de conservation des données de connexion pour les exploitants de sites Internet, et savoir si l'adresse IP des visiteurs fait partie des données devant être conservées ». De même, il veut savoir si le traitement de données en vigueur sur la page de redirection « a bien fait l'objet d'un examen préalable par la CNIL, et dans l'affirmative quelles sont les raisons qui motivent l'absence de publication de l'avis ».

Précisons enfin que la CNIL autorise les mesures de fréquentations sans recueil préalable du consentement de l’internaute. Seulement, celui-ci doit alors profiter « d’une information claire et complète » sur ce traitement, tout en bénéficiant de la possibilité de s’y opposer. Par ailleurs, « les deux derniers octets de l’adresse IP doivent être supprimés » afin d’éviter une géolocalisation trop précise.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Quelles ont été les données glanées dans la page de redirection ? 

La CNIL a-t-elle autorisé un tel traitement ?

Commentaires (47)


il a pas tardy à se manifester lionel


<img data-src=" />



en plus on est même pas ‘dredi


L’un des élus que je trouve qui à un peu de jugeote, et qui change pas trop d’avis de mémoire.<img data-src=" />


ca m’étonne qu’ils n’aient pas à payer une compensation de perte de ca aux différents sites, pour la pub & l’image

ma foi, c’est quand même autre chose qu’un équipement réseau qui flanche

c’est un blocage validé par un humain (certes erroné)


Mouais, réponse dans 2 ans qui dira de pas s’inquiéter, que tout est sous contrôle et que c’est la faute du gouvernement précédent




Par ailleurs, « les deux derniers octets de l’adresse IP doivent être supprimés » afin d’éviter une géolocalisation trop précise.



Du coup ça fait des IP en 1.2.. non ?

C’est vrai que la geoloc doit être beaucoup plus compliquée.




Et notamment sur « la conservation ou non de l’URL complète émise par le navigateur de l’Internaute



Question très pertinente:

&nbsp;

Avec Google en page d’accueil par défaut, chargé depuis le cache.

L’abonné ne se rend pas compte que Google est coupé avant de valider sa recherche.



Le ministère peut récupérer toutes leurs requêtes.<img data-src=" />


He wasn’t Tardy to the Party ?


Et notamment sur «&nbsp;la conservation ou non de l’URL complète émise par le navigateur de l’Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi&nbsp;».&nbsp;&nbsp;Perso j’utilise un plugin sur chromium qui dégage le header “referer” de toutes les requetes, tranquille comme ça.&nbsp;



  &nbsp;        









Obidoub a écrit :



Du coup ça fait des IP en 1.2.. non ?



     C'est vrai que la geoloc doit être beaucoup plus compliquée.








   Voir même impossible, il manque littéralement la moitié des informations.   





Edit : le champ de saisie de com sur NX est vraiment pète couille à virer les retour à la ligne !!!



J’aime toujours autant les questions de Monsieur TARDY :)








Liara T’soni a écrit :



Et notamment sur « la conservation ou non de l’URL complète émise par le navigateur de l’Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi ».  Perso j’utilise un plugin sur chromium qui dégage le header “referer” de toutes les requetes, tranquille comme ça.







Sauf que là ce n’est pas le referer dont il est question mais la page demandée (“/news/101958-blocage-par-erreur-chez-orange-lionel-tardy-demande-comptes-a-interieur.htm” pour cette page et les éventuels paramètres GET ou POST).



Ah ! C’est encore plus grave…


Google est en https depuis longtemps.

Les requêtes utilisateurs ne peuvent donc pas être obtenues : la connexion TLS ne peut pas être établie avec un site qui ne connaît pas la clé secrète correspondant au certificat de Google.


Bientôt grâce aux TAFTA/CETA soutenus par l’état français, Google pourra exiger un procès privé contre l’état français dans ce genre d’affaire, et faire payer quelques milliards d’impôt supplémentaire aux français pour gonfler le portefeuille des propriétaires de Google <img data-src=" />


La faute est chez Orange qui a reconnu une erreur humaine. Google peut d’ores et déjà faire un procès civil contre Orange afin de récupérer le manque à gagner. L’État français n’a rien à voir dans ce dysfonctionnement.



Il faut arrêter de sauter sur n’importe quoi pour faire peur avec des arguments bâtis sur du vent !








fred42 a écrit :



Google est en https depuis longtemps.

Les requêtes utilisateurs ne peuvent donc pas être obtenues : la connexion TLS ne peut pas être établie avec un site qui ne connaît pas la clé secrète correspondant au certificat de Google.





Déjà c’est pas à la portée de monsieur et madame Michu qui font une recherche de “google” dans leur page d’accueil pour accéder à lien BING permettant d’accéder à google parce qu’ils savent pas faire autrement.

Alors leur demande d’utiliser par défaut le protocole https …. no comment :/



Et en partant du principe que même si tu connais ce protocole la volonté de réduire les manoeuvres des utilisateurs dans le navigateur fait que l’entête http n’est même plus obligatoire Chrome, Firefox and co se chargeant de le faire à ta place tu génères plus souvent des requêtes http que https









Liara T’soni a écrit :



Et notamment sur «&nbsp;la conservation ou non de l’URL complète émise par le navigateur de l’Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi&nbsp;».&nbsp;&nbsp;Perso j’utilise un plugin sur chromium qui dégage le header “referer” de toutes les requetes, tranquille comme ça.&nbsp;



   &nbsp;         






    Voir même impossible, il manque littéralement la moitié des informations.    





Edit : le champ de saisie de com sur NX est vraiment pète couille à virer les retour à la ligne !!!





En dégageant le referer tu n’as pas de problème lors de la validation de certains formulaire&nbsp; POST ?&nbsp; Vérifier la présence d’un Referer cohérent est une mesure anti-CSRF standard









MaybeFish a écrit :



Et en partant du principe que même si tu connais ce protocole la volonté de réduire les manoeuvres des utilisateurs dans le navigateur fait que l’entête http n’est même plus obligatoire Chrome, Firefox and co se chargeant de le faire à ta place tu génères plus souvent des requêtes http que https





Dans quels cas les navigateurs génèrent plus de HTTP que de HTTPS?

Quand je fais une recherche dans le champ unifié ça m’envoie en HTTPS



Sur certains sites oui, on peut donc white-lister une url / un domaine en spécifiant si on veut conserver le referer du même domaine ou pas.


C’est par défaut, donc ils n’ont rien à faire. Le http redirige vers le https.


Autant pour moi sur Chrome et Firefox c’est du https par défaut depuis quelques versions&nbsp;<img data-src=" />



edit :&nbsp;







Mihashi a écrit :



C’est par défaut, donc ils n’ont rien à faire. Le http redirige verse le https.



Je viens de m’en rendre compte



Je ne sais pas pour Liara T’soni, mais le module que j’utilise avec Firefox, permet de remplacer le referer par l’adresse de la racine du site visité. Donc il y a bien un referer, mais « bidon ».



Ça bloque juste pour certains sites qui utilisent un autre nom de domaine pour une partie de la page avec vérification du referer (typiquement des sites de visionnage d’images, pour pas se faire pomper la bande passante par d’autres sites).


A mon avis Mr Tardy va se prendre un gros blanc comme d’hab, chaque fois qui’il pose une question juste et pertinente où il se la laisse pas raconter.


Il est bon Lionel.


Essaie un truc moins galère : “spoof” le referer : indique comme valeur la page vers laquelle tu te rends. (C’est une option dans Firefox : network.http.referer.spoofSource)




Résultat ? Plusieurs sites légitimes ont été bloqués. Et pas des nains : Google, Wikipédia, OVH

&nbsp;J’aurais plutôt dis “et pas des moindres” &nbsp;mais les nains, c’est sympa aussi <img data-src=" />


ministere-in-the-middle


Ce genre de bidouilles n’est quand même aps super recommandé car peut gêner certaisn sites comme les sites de banque. Pas glop …



refControl fait bien le job, et tu définis toi-même ce que tu veux, comme tu le veux.


Chouette une nouvelle adresse pour remplacer les vidéos Rickroll. <img data-src=" />


Moi j’ai une autre question (technique certes) pertinente.



Si je spoof le referer avec un des sites “terroriste” (donc je m’y suis jamais connecté) en me rendant directement sur leur site avec un refresh toute les 5 secs, comment ça se passe avec le procès ?



J’ai jamais visité le site “terroriste” et pourtant pour eux, avec le référer que je spoof, ils considèrent que si, ça se passe comment ? Leur château de carte bancale s’effondre ou ils me la mettent profond ? <img data-src=" />


Bon, j’ai un train de popcorn à écouler, je sens que je ne vais pas avoir de mal…



Au passage, j’ai d’autres DNS que ceux du fruit sur mes ordis, ça m’évite ce genre de gag.


Tu veux vraiment connaitre la réponse ? Regarde juste l’exemple avec Bluetouff comment il a été considéré comme un criminel. Dans ton exemple, tu risquerais de passer pour un terroriste rien que parce que tu connais l’adresse du site et qu’ils pensent que t’as juste trouver un moyen d’y aller sans le montrer clairement.


Avant que le referer me pose un soucis, y a uMatrix à passer <img data-src=" /> (et jamais de soucis rencontrés chez moi. Ma banque fait n’imp’ sur le Net, mais pas de ce côté là ;) )


HTTPS ou pas c’est kiff kiff … suffit de chopper le certificat à la volée : les pare-feu/sonde/passerelle (chez les OIV) sérieux de moins de 4 ans font déjà cela … alors aujourd’hui …


eh oui , merde….

Et c’est pour cela qu’on a besoin de monde à l’UPR !



Pas quand cela sera trop tard …








ledufakademy a écrit :



HTTPS ou pas c’est kiff kiff … suffit de chopper le certificat à la volée : les pare-feu/sonde/passerelle (chez les OIV) sérieux de moins de 4 ans font déjà cela … alors aujourd’hui …







Déchiffrer à la volée oui, mais ils ne peuvent chiffrer avec le certificat d’origine ensuite… donc tu vois la magouille (enfin si tu affiches le certificat, ce que personne ou presque ne fait on est d’accord) Encore qu’il faut que ce certificat “générique” soit accepté par ton OS.









CryoGen a écrit :



Déchiffrer à la volée oui, mais ils ne peuvent chiffrer avec le certificat d’origine ensuite… donc tu vois la magouille (enfin si tu affiches le certificat, ce que personne ou presque ne fait on est d’accord) Encore qu’il faut que ce certificat “générique” soit accepté par ton OS.





Je pense qu’un grand nombre d’ordinateurs a subit une augmentation du nombre de certificats racine (virus, installeurs, Lenovo, …)



C’est bien de penser, mais il vaudrait mieux étayer ! C’est combien “un grand nombre” ? Comment un installeur peut ajouter un certificat racine sur un OS/navigateur un minimum sécurisé sans l’autorisation de l’utilisateur ?



ledufakademy fait des approximations et des généralisations comme d’habitude.








fred42 a écrit :



ledufakademy fait des approximations et des généralisations comme d’habitude.



?





fred42 a écrit :



C’est bien de penser, mais il vaudrait mieux étayer ! C’est combien “un grand nombre” ? Comment un installeur peut ajouter un certificat racine sur un OS/navigateur un minimum sécurisé sans l’autorisation de l’utilisateur ?



J’ai bien dit “je pense”, ça valait pas argument

Comment? Déjà effectivement avec autorisation de l’utilisateur, on parle de gens lambda ici, et aussi avec ce qu’il y a dans ma parenthèse : virus car si les gens mettaient à jour ça se saurait (non j’ai pas de chiffre), installeurs d’on ne sait où qui installe 12 trucs dont un certif (toujours pas de chiffre), et Lenovo.

Mais je serais très intéressé d’avoir des chiffres à propos de certificats racine qui n’ont pas à être là



C’est vrai qu’un “analyseur” de certificat root serait sympa. Un genre d’antivirus mais pour l’aspect certificat ^^“.



A noter que le magasin de certificat de firefox est indépendant de celui de windows.


Lionel ? tu veux pas te présenter pour être président ?….. on a que des boulets la ….








CryoGen a écrit :



C’est vrai qu’un “analyseur” de certificat root serait sympa. Un genre d’antivirus mais pour l’aspect certificat ^^“.



A noter que le magasin de certificat de firefox est indépendant de celui de windows.







C’est ce que fait l’extension HTTPS everywhere il me semble. Il y a un «observatoire ssl» qui vérifie les certificats.



MAis est-ce qu’il vérifie la présence de certificat root/confiance non désir-é/able ? Je ne crois pas.

Par contre, il est effectivement capable de détecter une tentative type “homme-du-milieu” via l’observatoire effectivement.








CryoGen a écrit :



MAis est-ce qu’il vérifie la présence de certificat root/confiance non désir-é/able ? Je ne crois pas.

Par contre, il est effectivement capable de détecter une tentative type “homme-du-milieu” via l’observatoire effectivement.







J’ai pas creusé, mais ils indiquent dans les préférences que l’extension envoie le certificat à leurs serveurs pour comparer avec leur base. Du coup je pense que ça protège d’une CA corrompu.



Je doute quand même qu’ils utilisent le referer. Surtout si tu tape l’adresse directement ou vie favoris le referer est vide….



Plutôt un truc du genre $_SERVEUR[‘REQUEST_URI’].


Bouh, il y a énormément d’approximations dans ce fil.

Si

le ministère de l’intérieur s’était amusé à introduire un certificat

bidon pour Google et compagnie, sur un nombre de visiteurs aussi large,

ils se seraient fait chopper par l’intégration dans chrome de la

certificate transparency. Cf Symantec qui s’était fait prendre la main

dans le sac:https://sslmate.com/blog/post/ct_redaction_in_chrome_53