Filtrage des sites terroristes : pourquoi ça bloque

Filtrage des sites terroristes : pourquoi ça bloque

Quand la majorité oublie son opposition alors dans l'opposition

Avatar de l'auteur
Marc Rees

Publié dans

Droit

15/09/2014 13 minutes
28

Filtrage des sites terroristes : pourquoi ça bloque

Alors que l’Assemblée nationale s’apprête à examiner le projet de loi sur le terrorisme dès 17h, plusieurs députés ont déposé des examens afin de contrer une des mesures du dispositif, le blocage administratif des sites provocants ou faisant l’apologie de ces actes.

La suppression pure et simple de l’article 9

Dans la liasse d’amendements déposés avant l’examen en séance, il y a du fin, du malin et de la dynamite. Dans cette dernière catégorie, les députés Isabelle Attard, Cergio Coronado, Cécile Duflot et Noel Mamère demandent ainsi la suppression pure et simple de l’article 9 du projet de loi.

 

Cet article instaure ce contre quoi le PS s’était toujours opposé sous l’ère Sarkozy, le blocage administratif des sites. Pour ce faire, ces quatre députés prennent appui sur l’avis de la Commission sur les libertés numériques qui a justement condamné un tel processus. Risque de surblocage et atteinte à la liberté d’expression puisque lorsqu’un site est bloqué, tout part dans l’eau du bain, aussi bien les propos considérés comme illicites que les autres. De plus, « des techniques permettent de contourner chaque type de blocage de manière relativement simple : l’utilisation de sites « miroir », l’utilisation d’un proxy, le chiffrement ou le recours à un réseau privé virtuel ».

 

Plusieurs députés PS dont Christian Paul et Patrick Bloche, qui furent très actifs durant la loi LOPPSI, reprennent d'ailleurs ces arguments dans cet amendement 130.

 

Dans son amendement 77, Lionel Tardy rappelle l’avis du Conseil national du numérique qui avait précisé que « la qualification des notions de commission d’actes terroristes ou de leur apologie prête à des interprétations subjectives et emporte un risque réel de dérive vers le simple délit d’opinion ». Et le CNNum, comme le député UMP, de recommander chaudement à Bernard Cazeneuve le recours préalable à une autorité judiciaire pour décider si oui ou non un site devait être bloqué.

Préciser le type de blocage

Dans cet amendement 70, la députée UMP Laure de la Raudière constate le silence du gouvernement sur le mode opératoire du blocage administratif. « Tout comme au moment des discussions sur l’article 4 de projet de loi LOPSSI2, le gouvernement n’explique pas dans l’étude d’impact comment il va opérer ce filtrage administratif » regrette-t-elle. Selon la députée UMP, le filtrage est contreproductif puisqu’il rendra plus difficile le suivi des personnes consultant les sites bloqués, et parce que ces mesures vont généraliser des stratégies d’esquives : des « réseaux clandestins, cryptés, renforçant la difficulté du travail des enquêteurs. »

Limiter le blocage aux seuls contenus pédopornographiques

Dans l'amendement 39, les mêmes députés écologistes et apparentés proposent de limiter le blocage administratif aux seuls pédopornographiques. Une mesure qui avait été validée exceptionnellement par le Conseil constitutionnel. « La qualification de ce qui relève de l’apologie ou de la provocation au terrorisme est plus délicate que pour une image pédopornographique, dont la possession constitue en soi un délit » préviennent les auteurs du texte.

S’inspirer des procédures en matière de jeux d’argent en ligne illicites

Ces mêmes parlementaires proposent avec l’amendement 47 de s’inspirer de la procédure mise en œuvre par l’ARJEL (autorité de régulation des jeux en ligne) : l’autorité administrative signalerait à la justice, au besoin dans le cadre d’une procédure d’urgence, les sites à bloquer. Une fois la décision en poche elle notifierait les acteurs directement pour dénoncer les miroirs, ces sites qui reprennent sous une autre adresse les mêmes contenus. La procédure suivie dans le cadre de l’ARJEL a également inspiré Laure de la Raudière et Lionel Tardy dans cet amendement 78.

Des bornes et de la publicité

Afin d’éviter l’irréparable, la députée Marie-Anne Chapdelaine voudrait que les intermédiaires ne soient astreints qu’à une obligation de moyen dans le blocage, et sûrement pas de résultat où leur responsabilité serait alors très facilement mise en œuvre en cas d’échec de blocage (amendement 121).

 

Tout aussi intéressant, Laure de la Raudière et Lionel Tardy voudraient dans leur amendement 79 qu’à tout le moins les mesures ne portent « pas atteinte à l’exploitation normale des réseaux et [garantissent] l’absence d’analyse du contenu des informations consultées par les utilisateurs finals. » Ils veulent dans le même temps que la liste noire diffusée aux intermédiaires soit communiquée « selon un mode de transmission automatisé et sécurisé qui en garantit la confidentialité, l’intégrité et la traçabilité ». Le gouvernement pourrait-il prendre le risque de s’y opposer ?

Le défenseur des droits plutôt que la CNIL

On le sait, une personnalité qualifiée doit suivre les mesures de blocage décidées par l’administration selon ses critères. Elle peut lui adresser des recommandations si elle estime que le contenu visé ne rentre pas dans les clous de la loi. Dans le texte actuel, cette personnalité est désignée par la CNIL Les députés écologistes et apparentés aimeraient que ce suivi soit plutôt de la compétence du défenseur des droits (amendement 3). Pourquoi ? « L’objet de la CNIL est en effet de veiller sur les données personnelles et non au respect des droits et libertés ».

 

Dans la même idée, leur amendement 14 voudrait que la recommandation se mue en vraie mise en demeure, soit une demande nettement plus musclée qu’une simple politesse adressée à l’administration.

Un peu de publicité, svp

Les mêmes députés écologistes demandent dans un amendement 4 un document utile qu’ont oublié les auteurs socialistes. La publication par cette personnalité qualifiée d’un rapport annuel public sur ses recommandations, où il devra en outre préciser le nombre de demandes de retraits, le nombre de contenus qui ont été retirés, les motifs de retrait et le nombre de recommandations faites à l’autorité administrative. Histoire d’ajouter un peu de publicité là où la majorité rêve de silence feutré.

L’opposition historique des FAI au blocage : Free

Ces critiques ne sont pas une nouveauté puisque le PS soutenait une opposition similaire au blocage administratif soutenu par l'ex majorité UMP. Si on se replonge dans le passé, les opérateurs ont eux-aussi, c’est peu de le dire, rechigné à faire n’importe quoi en cette matière.

 

Free par exemple nous avait déjà dit dans le passé tout le mal qu’il pense de ces mesures. Voilà six ans, en 2008, alors que ces questions de blocage d’accès étaient déjà d’actualité, la direction de Free expliquait que « les réseaux mis en œuvre chez les opérateurs, desservant des millions d'abonnés et hautement critiques pour la sécurité nationale, ne sont pas des laboratoires d'expérimentations pour pouvoirs publics en mal d'effets d'annonce. »

 

Selon l’opérateur, aucune solution n’est parfaite. Le filtrage par DNS est facilement contournable, mais provoque parfois des effets de bords et des cas de surblocage. Le filtrage par adresse IP est certes plus fin, mais provoque lui aussi des effets collatéraux lorsque l’adresse est mutualisée par plusieurs sites (voir un cas récent en Australie où 250 000 sites ont été frappés par erreur). Quant au filtrage hybride, s’il est présenté comme la solution la moins mauvaise d'un point de vue technique, cette solution « doit être considérée avec beaucoup de prudence au regard du risque majeur d'interruption de service découlant du blocage d'une URL pointant en pratique vers un bloc d'IP important ». Autre chose, ce type de filtrage peut conduire à des mesures de rétorsion. « Un exemple : l'exploitant du site grospervers.mondomaine.com sur l'IP 1.1.1.1 peut se venger d'une mesure de filtrage en reconfigurant ses enregistrements DNS pour les associer aux IP correspondant à Free / Orange / Google / impots.gouv.fr / (compléter la liste ici). Résultat, tout le trafic de impots.gouv.fr se retrouve rerouté vers les plateformes de filtrage qui, si elles ne sont pas dimensionnées en conséquence, vont s'écrouler (genre on va passer de quelques requêtes / Secondes à 100 000). Sachant que l'exploitant du site grospervers.mondomaine.com peut très être agir pour le compte d'organisations peu recommandables, qui trouveront là un bon moyen de nuire à Orange / Free / SFR / Bouygues / .gouv.fr ... »

 

De même, « avec les techniques de dissémination de contenus par botnet / phishing, on peut très vite monter à une centaine de milliers de sites web à filtrer. Là aussi, imaginez une organisation qui aurait comme idée de démultiplier / disséminer sur plusieurs dizaines de milliers d'IP du contenu pouvant faire l'objet de filtrage. Sans aller jusque-là, on peut envisager une erreur de manip au niveau administration / opérateur avec une mise à jour débouchant sur un nombre significatif de routes impactées. »

L’opposition historique des FAI au blocage : la FFT

En 2009, lors des débats préparatoires à la LOPPSI, qui instaurait un blocage administratif des sites pédopornographiques, nous avions révélé l’existence d’une étude de la Fédération Française des Télécoms sur les modalités techniques du blocage. Outre le coût structurel de ces mesures et leur efficacité limitée, celle-ci dénonçait les coûts liés aux dédommagements des victimes par ricochet de ces mesures en cas de surblocage. « Les conséquences de telles erreurs peuvent être très dommageables aux FAI, en termes d’image de marque et de Qualité de Service perçue par leurs clients. Cela entraînerait sur le moyen terme une augmentation du taux d’attrition (churn) et réduirait ainsi l’utilité des dispositifs de blocage censés protéger les usagers d’internet. Les conséquences peuvent être également de natures financières. Cela pourrait se traduire par des coûts additionnels au niveau des centres d’appels à la suite d’erreurs de blocage de domaines à fort trafic (Wikipedia, YouTube, Google…). En considérant un coût de 5 euros par appel et un taux d’appel des abonnés de 1%, le surcoût immédiat pour le FAI générique serait de 140 k€ par heure. À cela, il faudrait ajouter les dommages et intérêts que serait en mesure de réclamer un éditeur comme Google, sachant que le blocage d’une journée équivaut à une perte de CA de près de 100 k€ pour Google France » (chiffre lié au CA de 2007 de l’entreprise américaine). 

Un remède pire que le mal ?

Une note d’analyse signée Christophe Espern, un des cofondateurs de la Quadrature du net, avait aussi pointé les angles morts du filtrage hybride dans une étude qui fut remise en 2008 au ministère de l’Intérieur. En 2009, une autre étude menée cette fois à l’échelle européenne par Cormac Callanan (Irlande), Marco Gercke (Allemagne), Estelle De Marco (France) et Hein Dries-Ziekenheiner (Pays-Bas) avait elle aussi dénoncé l’efficacité très limitée de ces pratiques. Elle pointait aussi les effets de bords parfois très importants comme on peut le revoir dans ce tableau.

 

filtrage blocageCrédits : Cormac Callanan, Marco Gercke, Estelle De Marco, Hein Dries-Ziekenheiner

 

En octobre 2009, nous révélions encore un courrier de l’Association des Fournisseurs d’Accès (AFA). Alors que le gouvernement allemand faisait marche arrière en matière de blocage des sites pédopornographiques, une étude menée outre-Rhin indiquait que «sur 8000 URLs contenues dans les listes noires présumées de la police, seuls 110 sites web contenaient des images d'abus sexuels sur mineurs et des images érotiques de mineurs, et après notification à l'hébergeur, seulement 7% de ces contenus illégaux, hébergés dans des pays non membres d'Inhope, étaient encore en ligne après 14 jours (alors que la plupart des contenus notifiés ont été supprimés dans les 48h après notification) ». En clair, les mesures effectuées directement chez l’hébergeur seraient plus efficaces.

L'étude d'impact de la LOPPSI dénonçait ce qu'elle instituait

Ce n’est pas tout. L’étude d’impact annexée à la loi LOPPSI de 2011, à propos du blocage des sites pédopornographiques, confirmait elle-même le risque de surblocage sur plusieurs techniques envisagées (p.14 de ce PDF):

 

a) le blocage par DNS: l'abonné saisit une adresse en texte dans la barre d'adresse de son navigateur. Celle-ci est envoyée à un serveur appelé DNS qui doit renvoyer l'adresse électronique chiffrée (IP) correspondante. Quand le nom figure sur la liste noire, le serveur ne renvoie pas l'adresse IP. L'abonné ne peut donc pas se connecter au site. Ce système comporte plusieurs inconvénients : l'ensemble des services proposés sur le domaine concerné sont bloqués, les pages Web, mais aussi les méls, le tchat... Ce système comporte intrinsèquement un risque de « surblocage »; enfin, il suffit de connaître l'adresse IP du site concerné pour contourner le blocage.

b) le blocage par adresse IP : dans ce cas, l'adresse IP est renvoyée par le serveur DNS, mais est bloquée ensuite au niveau du "routeur". L'avantage par rapport au blocage par DNS est que les autres services (courriers électroniques, tchat...) ne sont pas bloqués. Inconvénient : toutes les pages Web présentes sur l'IP sont bloquées (risque ici encore de surblocage).

c) le blocage de l'URL par proxy (serveurs par lesquels passent les connexions): Beaucoup plus fine que le blocage par DNS ou par IP, cette solution permet d'éviter les risques de surblocage.

e) le filtrage hybride: L'adresse IP est renvoyée par le serveur DNS, mais quand l'adresse est inscrite sur la liste noire, l'abonné est réorienté vers un serveur de proxy qui filtre. Avantages et inconvénients des blocages par DNS et par proxy.

 

Ces critiques sont-elles dépassées ? Pas si sûr. La semaine dernière, Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information a clairement exposé qu’« il y a au sein de l’ANSSI des gens qui comprennent ces techniques de blocage et les difficultés à les mettre en œuvre… et savent aussi les contourner. J’ai été amené à signaler le problème de l’efficacité de ces mesures ». Lors de cette conférence organisée à Paris, il exposera sans nuance : « Je suis très réservé sur ces mesures d'un point de vue technique. »

28

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La suppression pure et simple de l’article 9

Préciser le type de blocage

Limiter le blocage aux seuls contenus pédopornographiques

S’inspirer des procédures en matière de jeux d’argent en ligne illicites

Des bornes et de la publicité

Le défenseur des droits plutôt que la CNIL

Un peu de publicité, svp

L’opposition historique des FAI au blocage : Free

L’opposition historique des FAI au blocage : la FFT

Un remède pire que le mal ?

L'étude d'impact de la LOPPSI dénonçait ce qu'elle instituait

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (28)


Mais qu’ils le fassent ce foutu blocage DNS, ça sera la fête au surblocage et on va rire. Surtout sur un gros nom de domaine.








Groumfy a écrit :



Mais qu’ils le fassent ce foutu blocage DNS, ça sera la fête au surblocage et on va rire. Surtout sur un gros nom de domaine.







Ben non! Le gouvernement veut faire porter la responsabilité du blocage aux FAI. Donc si y a sur blocage, ca sera la faute du FAI, et non celle des incompétents qui leur imposent cette mission.









Groumfy a écrit :



Mais qu’ils le fassent ce foutu blocage DNS, ça sera la fête au surblocage et on va rire. Surtout sur un gros nom de domaine.





Fb.com par exemple ?



Ptre pas un mal du coup <img data-src=" />



Moi ,j’aime leur graph/ tableau en anglais dans une assemblée nationale…



Et, comment se déresponsabiliser en mettant tout sur le dos du fai …



Cela va finir par une carte / permis du net avec adn et empreinte digitale …oh ,wait !<img data-src=" />








Papa Panda a écrit :



Moi ,j’aime leur graph/ tableau en anglais dans une assemblée nationale…



Et, comment se déresponsabiliser en mettant tout sur le dos du fai …



Cela va finir par une carte / permis du net avec adn et empreinte digitale …oh ,wait !<img data-src=" />







C’est extrait d’une étude européenne, bien lire svp ;)









MarcRees a écrit :



C’est extrait d’une étude européenne, bien lire svp ;)





Je sais mais ,dans les textes, à l’assemblée nationale,seule la langue Française à sa place.



Il y a un service de traduction pour ce genre de document justement ^^.



Même si ,je reconnais qu’il n’est pas bien dur de comprendre, seule notre langue a sa place dans l’assemblée. (expliqué dans une visite de cette même assemblée ;) ).









Papa Panda a écrit :



Je sais mais ,dans les textes, à l’assemblée nationale,seule la langue Française à sa place.



Il y a un service de traduction pour ce genre de document justement ^^.



Même si ,je reconnais qu’il n’est pas bien dur de comprendre, seule notre langue a sa place dans l’assemblée. (expliqué dans une visite de cette même assemblée ;) ).





Mais rien ne dit dans la news que ces éléments ont été présentés à l’AN, c’est juste pour appuyer l’argumentation.









Papa Panda a écrit :



Je sais mais ,dans les textes, à l’assemblée nationale,seule la langue Française à sa place.



Il y a un service de traduction pour ce genre de document justement ^^.



Même si ,je reconnais qu’il n’est pas bien dur de comprendre, seule notre langue a sa place dans l’assemblée. (expliqué dans une visite de cette même assemblée ;) ).





le monsieur a dit de bien lire l’article.

je sais pas où tu as vu qu’ils utilisaient un tel tableau à l’assemblée… <img data-src=" />



Le problème avec le “site terroriste”:





  1. Si on ne filtre rien, c’est pas bien.

  2. Si on filtre, on risque de trop filtrer ou de ne pas assez filtrer



    Solution: on monte une commission/autorité chargée du problème, on implémente une solution technique bancale/inefficace (et couteuse)… et on laisse pourrir le problème.





    (fonctionne aussi avec le “site pirate”)




Quand la majorité oublie son opposition alors dans l’opposition



Ze yes need ze no to win against ze no ? <img data-src=" />


Je connais pas mal de gens qui sont devenus terroristes parce qu’ils ont cherché comment construire une bombe sur internet. <img data-src=" />


Il y a un oubli dans le tableau comparatif des différents mediums, je vois pas les darknets <img data-src=" />








ActionFighter a écrit :



Il y a un oubli dans le tableau comparatif des différents mediums, je vois pas les darknets <img data-src=" />





P2P. Per protocol. Le truc fourre tout quand ils ne connaissent pas.









psn00ps a écrit :



P2P. Per protocol. Le truc fourre tout quand ils ne connaissent pas.





Ça m’étonnerai <img data-src=" />



La méthode de blocage n’est pas du tout la même, d’ailleurs, il n’y en a pas vraiment pour les darknets.



Vraiment une grosse bande d’ignares pour rester polie, de toutes façons, faut pas se leurrer, si de tels lois passent, demain le www se fera sans les terroristes, on les retrouvera avec tor, i2p, etc… sans même parler de la stéganographie.



Laissez donc les débiles jouer avec les sites terroristes, identifiez les, ce sera déjà pas mal.



Quand on pense que tout cela n’est que du flan, le but étant d’abord de violer des lois comme le droit au secret journalistique, bancaire et j’en passe.








ActionFighter a écrit :



Ça m’étonnerai <img data-src=" />



La méthode de blocage n’est pas du tout la même, d’ailleurs, il n’y en a pas vraiment pour les darknets.





Si mais le surblocage est violent : faut couper Internet.



En même temps c’est pas avec ce qu’on trouve dans les darknets qu’on va devenir terroriste <img data-src=" />









ActionFighter a écrit :



Ça m’étonnerai <img data-src=" />



La méthode de blocage n’est pas du tout la même, d’ailleurs, il n’y en a pas vraiment pour les darknets.





Pense au blocage de Skype par la Chine, pourtant réputé pour passer partout.

Tu détectes le protocole et tu bloques / perturbes la connexion.









psn00ps a écrit :



Pense au blocage de Skype par la Chine, pourtant réputé pour passer partout.

Tu détectes le protocole et tu bloques / perturbes la connexion.







Pour le p2p, tu peux le faire passer par un tunnel comme n’importe quel autre protocole via proxy.

Après en Chine, je crois qu’il y a un seul et même tuyau pour tout le pays, d’après ce que j’ai compris, c’est un immense intranet tenu de main de fer par le PCC, donc bloquer Skype à l’entrée ne doit pas être très dur.









Khalev a écrit :



Si mais le surblocage est violent : faut couper Internet.





Ou bloquer les trames chiffrées <img data-src=" />







Khalev a écrit :



En même temps c’est pas avec ce qu’on trouve dans les darknets qu’on va devenir terroriste <img data-src=" />





T’as pas assez cherché <img data-src=" />



Enfin, c’est une supposition, loin de moi l’idée d’aller visionner du contenu illicite <img data-src=" /> <img data-src=" />









psn00ps a écrit :



Pense au blocage de Skype par la Chine, pourtant réputé pour passer partout.

Tu détectes le protocole et tu bloques / perturbes la connexion.





Sauf que “Tom Skype” qui est distribuée en Chine est une version “particulière” de Skype, développée par une entreprise chinoise TOM online en collaboration avec Microsoft.



Ce qui permet pas mal de chose.









ActionFighter a écrit :



Mais rien ne dit dans la news que ces éléments ont été présentés à l’AN, c’est juste pour appuyer l’argumentation.





autant pour moi,

j’ai relu deux fois mais les politicards qi prennent des trucs de Bruxelles pour argumenter ou se préparer à emmerder lors de débats de l’AN …ça me donne des envies d’aiguiser mon coupe cigarre géant <img data-src=" />



«&nbsp;L’objet de la

Commission nationale de l’informatique et des libertés est en effet de veiller sur les données personnelles et non au respect des droits et libertés&nbsp;».





C’est pas gagné…&nbsp;<img data-src=" />







Edith : la mise en forme des commentaires dans la v6, c’est pas gagné non plus… <img data-src=" />


Je note l’absence de l’option impossible dans la colonne circumvention.

Je pense donc que le blocage administratif a de fortes chances de faire plus de mal que de bien.








ActionFighter a écrit :



Sauf que “Tom Skype” qui est distribuée en Chine est une version “particulière” de Skype, développée par une entreprise chinoise TOM online en collaboration avec Microsoft.



Ce qui permet pas mal de chose.





Tout à fait, mais la version normale ne passe pas, elle est bloquée. <img data-src=" />





sachant que le blocage d’une journée équivaut à une perte de CA de près de 100 k€ pour Google France





Voilà qui pourrait intéresser le fisc <img data-src=" />


je n’ai rien compris à :



“Autre chose, ce type de filtrage peut conduire à des mesures de rétorsion. « Un exemple : l’exploitant du site grospervers.mondomaine.com sur l’IP 1.1.1.1 peut se venger d’une mesure de filtrage en reconfigurant ses enregistrements DNS pour les associer aux IP correspondant à Free / Orange / Google / impots.gouv.fr / (compléter la liste ici). Résultat, tout le trafic de impots.gouv.fr se retrouve rerouté vers les plateformes de filtrage qui, si elles ne sont pas dimensionnées en conséquence, vont s’écrouler (genre on va passer de quelques requêtes / Secondes à 100 000).”



un exemple concrêt ppour éclairer ma pauvre lanterne ?


Pour lutter contre le terrorisme, faut aller à la source, mais à force de coups d’épée dans l’eau on ne sera bientôt plus du tout capable de “surveiller” les activités illicites.



Ces démarches coûteuses : études, experts, débats ne servent au final à rien, si ce n’est à améliorer les compétences en réseau, anonymat, cryptage des même qu’on prétend combattre.








jpaul a écrit :



Je connais pas mal de gens qui sont devenus terroristes parce qu’ils ont cherché comment construire une bombe sur internet. <img data-src=" />





une bombe de chantilly ou de mousse à raser ?