Le Forum des droits sur l'Internet (FDI) a présenté hier sa recommandation sur le filtrage des sites pédopornographiques (*). La démarche est aujourd'hui critiquée par Free qui démonte ,l'une après l'autre, les solutions mises en avant par le Forum. Pour rappel, le FDI veut que les FAI, à partir d’études techniques approfondies, déterminent eux-mêmes le système de filtrage le plus adéquat à leur infrastructure. Le temps presse : l’organisation leur accorde un délai de quatre mois à partir de la publication d’un cahier des charges, défini par le Forum avec le concours du Conseil général des technologies de l’information (CGTI). Cette phase devrait ensuite être suivie par une phase législative, comme l’avaient prévu le ministère de l’Intérieur et Nadine Morano, secrétaire d’État à la famille.
Cette recommandation s’inscrit dans la lignée de différents travaux communs entre l’AFA, le FDI, et des ministères dont nous avions révélé le contenu (voir la Charte sur le Filtrage ici et, pour sa dernière version, là ).
Si la démarche (consensus puis loi) ressemble à celle de la loi Création et Internet (accord Olivennes puis loi), un acteur de poids s’oppose d’ores et déjà à ces grandes manœuvres : Free qui a procédé à une analyse technique de la situation, en dépassionnant le débat lié à l'ultra-sensibilité du sujet.
« Les réseaux ne sont pas des laboratoires d’expérimentations »
Contactée, la direction de Free fustige : « Les réseaux mis en œuvre chez les opérateurs, desservant des millions d'abonnés et hautement critiques pour la sécurité nationale, ne sont pas des laboratoires d'expérimentations pour pouvoirs publics en mal d'effets d'annonce ».
Le fournisseur d’accès nous explique sa vision du problème : « La liberté du commerce et de l'industrie (en application de laquelle on décide souverainement de notre architecture dans le cadre des normes en vigueur) est un principe avec lequel le Conseil Constitutionnel ne plaisante pas. Et ils n'ont toujours pas percuté que les exemples Scandinaves (d'ailleurs, je crois que le Danemark vient de renoncer, pour cause d'incompatibilité avec le passage au NGN) et le Royaume-Uni ont été mis en œuvre sur des périmètres limités, et sur des réseaux correspondant à ce qui était mis en œuvre ici il y a 10 ans sur les réseaux câbles (proxy + NAT). »
Aucune solution de filtrage n’est parfaite
Dans une longue note, dont nous nous sommes procuré une copie, le FAI a expliqué par A+B qu’aucune solution de filtrage présentée par le FDI n’est praticable. Ces solutions peuvent même générer des problèmes lourds pour les réseaux réduisant à néant les effets dans la lutte contre l'accès à a pédopornographie,
Le filtrage DNS ? Si l’on résume, il générera des effets graves, alors que son contournement est facile. « Le DNS du fournisseur de la connectivité IP d'un abonné n'est pas exclusif : un abonné peut tout à fait choisir de le contourner en optant pour un DNS fourni par un tiers (ex :OpenDNS) ou en activant son propre DNS dans la mesure où les systèmes d'exploitation de type Unix (incluant donc Mac OS dans sa version X) ont cette fonctionnalité installée (désactivée par défaut sur Mac OS, mais facilement activable), et qu'un simple .exe suffit à implanter cette fonction sur Windows ».
Free cite aussi l’exemple manifeste du cas AAARGH, site révisionniste filtré en France mais dont le contenu était accessible quelques heures après la mise en œuvre du filtrage prescrit avec une multitude de sites miroirs, réduisant à peu de choses l’efficacité de la décision de justice… Au cas pratique, l'inertie inhérente liée à la fonction cache de Google qui comporte des filtres sur les images pédopornographiques « mais qui comme tout filtre, c'est jamais efficace à 100% ». Et le FAI de se demander : « Faut-il filtrer tout le domaine *.google.* ? ».
Autre problème, le caractère globalisant de cette mesure : « Un contenu litigieux est détecté sur une page perso d'un abonné s'étant fait phisher son compte et servant donc de relais ». Avec le filtrage DNS ordonné sur *.fai.fr, ce sont les autres pages persos qui sont frappées et pire, « cette mesure visera également à couper du reste du monde niveau mail l'ensemble des abonnés du FAI concerné ».
Le Filtrage par l'adresse IP ? S’il affine l’efficacité du filtrage, il n’écarte pas les dommages collatéraux « notamment en cas de serveur "point d'entrée" mutualisant plusieurs services en vue de retraitement par des serveurs de second rang, non visibles de l'extérieur ». De même, ces mesures vont être un terreau pour le contournement, « avec une incitation au recours à des proxys Web situés à l'étranger ou des solutions de type TOR ». Couplées à du cryptage, ces démarches auront surtout pour effet de rendre très délicates les missions de police ou de gendarmerie et être du coup contre-productives sur le terrain de la lutte contre la cybercriminalité.
Le filtrage hybride ? (au niveau des URL) « Présentée comme la solution la moins pire d'un point de vue technique. [Mais] aussi séduisante soit-elle, une telle solution doit être considérée avec beaucoup de prudence au regard du risque majeur d'interruption de service découlant du blocage d'une URL pointant en pratique vers un bloc d'IP important » explique Free. Le FAI prend ainsi l'exemple de Blogspot, la plateforme de blogs de Google : « Une mesure de filtrage concernant un contenu accessible via un blog hébergé par cette plateforme aboutira en pratique sur le reroutage d'une portion significative de sous-réseaux, voire de sous-réseaux entiers de cette plateforme vers les serveurs de filtrage. Au bas mot, 10 Gbit/s d'un coup au minimum, et plantage quasi assuré du système avec l'effet boule de neige qu'on connait pour cause d'accès aux services Google dégradé ».
Autres embûches du filtrage hybride, il ne s’accorde pas en navigation HTTPS et la solution ne peut s’appliquer sur toutes les solutions comme celles d’Akamaï où « des structures d'hébergement exploitent plusieurs plateformes sur plusieurs IP réparties au niveau mondial, qui peuvent basculer plusieurs fois par jour pour répartir la charge ». Pire, ce type de filtrage incite la cible à des mesures de rétorsion en démultipliant ses effets. « Un exemple : l'exploitant du site grospervers.mondomaine.com sur l'IP 1.1.1.1 peut se venger d'une mesure de filtrage en reconfigurant ses enregistrements DNS pour les associer aux IP correspondant à Free / Orange / Google / impots.gouv.fr / (compléter la liste ici). Résultat, tout le trafic de impots.gouv.fr se retrouve rerouté vers les plateformes de filtrage qui, si elles ne sont pas dimensionnées en conséquence, vont s'écrouler (genre on va passer de quelques requêtes / Secondes à 100 000). Sachant que l'exploitant du site grospervers.mondomaine.com peut très être agir pour le compte d'organisations peu recommandables, qui trouveront là un bon moyen de nuire à Orange / Free / SFR / Bouygues / .gouv.fr ... »
Free ne s’arrête pas là et pointe aussi l'asymétrie du routage ou encore la délicate question de l'IPV6 « En IPv6, chaque utilisateur peut avoir 1 million d'adresses IP à sa disposition. Et s'il elles changent régulièrement, comment fait-on ? »
Enfin, « avec les techniques de dissémination de contenus par botnet / phishing, on peut très vite monter à une centaine de milliers de sites web à filtrer. Là aussi, imaginez une organisation qui aurait comme idée de démultiplier / disséminer sur plusieurs dizaines de milliers d'IP du contenu pouvant faire l'objet de filtrage. Sans aller jusque-là, on peut envisager une erreur de manip au niveau administration / opérateur avec une mise à jour débouchant sur un nombre significatif de routes impactées ».
Le risque est alors grand de planter tout internet ou tout le moins d’exiger la mise en place d’une armada de garde-fous « ce qui sera forcément inducteur de coûts et délais supplémentaires, il faut bien l'avoir à l'esprit ».
L’absence d’étude d’impact
En conclusion de cette note, Free estime qu’« encore une fois, il est regrettable qu'aucune étude d'impact n'ait été faite sur la base des réseaux mis en œuvre en France, pour déterminer si l'expérience scandinave est transposable ici en terme de volumétrie de trafic et de coûts ».
Chacune des solutions de filtrage présente d’une part des risques importants sur la continuité de l'exploitation des différents réseaux et la permanence des services essentiels et d’autre part est facilement contournable à coup de « TOR, proxys ouverts à l'étranger ou serveurs hébergés à l'étranger pour faire du tunnelling crypté ».
« Dans un contexte budgétaire au demeurant tendu, l'État est-il prêt à consacrer potentiellement plusieurs centaines de millions d'euros pour un tel dispositif à l'efficacité aléatoire ? » constate l’opérateur qui regrettait encore voilà peu n’avoir « jamais vu des gens de la famille ou de conseiller ministériel de la Culture chez nous ».
Quelle solution ?
Pour Free, la solution est simple : « On ne nous enlèvera pas l'idée que tout ce qui est sensible (traduire plantogène) et peut à ce titre impacter la bonne gestion du réseau doit être autant que faire se peut déporté à la périphérie du réseau. » Avant tout, les dispositifs de contrôle parental installés sur les machines de l’utilisateur final ont les préférences de Free. D'autres pistes pourraient y être associées en collaboration avec les éditeurs de logiciels et les équipementiers, voire des solutions dans les box, même si celles-ci n'ont pas été conçues pour cela.
Dans une précédente actualité, le FAI concluait en lorgnant du côté d’Interpol, « cela fait huit ans qu’on porte le sujet de la coopération internationale en disant qu’il faut qu’on agisse à la source ».
(*) Conditions nécessaires à la mise en place du filtrage des sites pédopornographiques par les fournisseurs d’accès à l’internet. Voir le PDF.
