Pédopornographie : la LOPPSI reconnait les risques de surblocage

C'est grave donc pas grave 96
Le projet de loi sur LOPPSI intègre une étude d’impact riche d’enseignements. L’environnement technique et juridique de chacun des articles y est décrit avec plus ou moins de détails. Si l’on se concentre sur l’un des points les plus sensibles, le blocage des sites pédopornographiques, on découvre que le projet de loi admet sans rougir les risques de surblocage. Un danger qui avait été souligné plusieurs fois par différents acteurs.

D’abord un rappel : la LOPPSI (loi d'orientation pour la programmation et la performance de la sécurité intérieure) prévoit dans son article 4 que « lorsque les nécessités de la lutte contre la diffusion des images ou des représentations de mineurs relevant des dispositions de l’article 227-23 du Code pénal le justifient, l’autorité administrative notifie aux personnes mentionnées au point I les adresses internet des services de communications au public en ligne entrant dans les prévisions de cet article, et auxquelles ces personnes doivent empêcher l’accès sans délai ».

filtrage LOPPSI pédophilie FAI LCEN

En clair, l’État pourra, via une autorité administrative, dresser une liste « d’adresses internet »  de sites hébergeant du contenu pédopornographique, que les intermédiaires devront obligatoirement bloquer. Il s’agit d’une obligation de résultat : FAI et hébergeurs se verront sanctionner jusqu’à 75 000 euros d’amende en cas de manquement à cette contrainte.

Dans cette obligation de résultat, la loi n’envisage aucune solution technique particulière, laissant à chaque FAI le soin de dénicher la bonne voie pour atteindre cet objectif impératif. Cet état de fait est normal puisqu’il ne revient pas à la loi de s’occuper des détails. Reste que lorsqu’on lit la fameuse étude d’impact, on mesure à nouveau la situation inextricable dans laquelle se situent les FAI.

Des exemples étrangers, très étrangers

L’étude dresse d’abord bilan en droit comparé en analysant le blocage tel qu’il se pratique dans les pays scandinaves. On y apprend ainsi que « l’effet du blocage aboutit à proposer à l’internaute la consultation d’une page d’accueil de la police, qui varie d’un pays à l’autre, mais présente globalement les caractéristiques suivantes : un logo de la police (qui assume la responsabilité du classement en « liste noire »), un rappel des textes de loi et un avis indiquant que le site demandé supporte des images ou des représentations pédopornographiques et ouvrant la voie à la possibilité d’une réclamation portant sur ce classement par une « hot line » ou par une adresse email. La page d’accueil peut également proposer des liens permettant de procéder à des signalements à la police de sites jugés pédopornographiques ». Par ailleurs, le filtrage (DNS et URL…) est radical : « les effets du classement en liste noire s’exercent sur l’ensemble du site recensé, alors même qu’une partie de celui-ci peut constituer une activité légale » mais que « les radiations de la liste peuvent intervenir après vérifications du changement de contenu des sites ». Enfin, les coûts de mise en place sont « faibles, dans la mesure où le logiciel permettant l’établissement de la « liste noire » a été développé en interne dans les services de police et que les FAI interviennent à titre gracieux ».

A titre statistique, pour la seule Norvège, il y a « une consultation filtrée sur 300 en moyenne. Par jour, 15 000 connexions sont ainsi filtrées (sur un total de 5.5 millions dans un pays de 4.5 millions d’habitants). La « liste noire » comporte environ 5 000 noms de domaines »

On se souvient que Nadine Morano, secrétaire d'État à la Famille, indiquait dans une interview au Figaro que le filtrage en France ne posait aucun problème : « cela se fait déjà en Norvège, je ne vois pas pourquoi ce ne serait pas le cas en France ». Dans le projet de loi, on concède  timidement que « techniquement, il faut aussi indiquer que les installations scandinaves auraient des réseaux alternatifs beaucoup moins développés qu’en France, que le système scandinave est proche d’un modèle non dégroupé qui ne laisse subsister qu’un seul opérateur de raccordement et qu’il y est plus facile de mettre en œuvre des filtrages, car il n’y a qu’un seul interlocuteur ». C’est pile-poil ce que nous disait Free : le FAI nous expliquait les différences pointant « l’architecture bien particulière » des réseaux français qui ne correspond en rien au cas norvégien (des abonnés qui sont NATés, un réseau alternatif quasi désert, très peu d’abonnés, de la centralisation, etc.) « Le gestionnaire d’un intranet, qui n’est pas un réseau ouvert au public, est fondé à analyser le trafic. Nous, non ».

Aucune solution de filtrage parfaite

Bien plus, le FAI dans nos colonnes tout comme une étude menée par Christophe Espern avaient exposé qu’aucune solution de filtrage n’est parfaite. Surprise : l’étude d’impact qui épaule ce projet de loi LOPPSI reprend presque à la lettre ces arguments. Nous les citons in extenso :

Le blocage par DNS: l'abonné saisit une adresse en texte dans la barre d'adresse de son navigateur. Celle-ci est envoyée à un serveur appelé DNS qui doit renvoyer l'adresse électronique chiffrée (IP) correspondante. Quand le nom figure sur la liste noire, le serveur ne renvoie pas l'adresse IP. L'abonné ne peut donc pas se connecter au site. Ce système comporte plusieurs inconvénients : l'ensemble des services proposés sur le domaine concerné sont bloqués les pages Web mais aussi les méls, le tchat... Ce système comporte intrinsèquement un risque de « surblocage »; enfin, il suffit de connaître l'adresse IP du site concerné pour contourner le blocage.

Le blocage par adresse IP : dans ce cas, l'adresse IP est renvoyée par le serveur DNS mais est bloquée ensuite au niveau du "routeur". L'avantage par rapport au blocage par DNS est que les autres services (courriers électroniques, tchat...) ne sont pas bloqués. Inconvénient : toutes les pages Web présentes sur l'IP sont bloquées (risque ici encore de surblocage).

Le blocage de l'URL par proxy (serveurs par lesquels passent les connexions): Beaucoup plus fine que le blocage par DNS ou par IP, cette solution permet d'éviter les risques de surblocage. L’inconvénient tient à leur coût : il faudrait que les FAI fassent l'acquisition de multiples serveurs (plusieurs millions d'euros par FAI).

Le filtrage hybride: L'adresse IP est renvoyée par le serveur DNS mais quand l'adresse est inscrite sur la liste noire, l'abonné est réorienté vers un serveur de proxy qui filtre. Avantages et inconvénients des blocages par DNS et par proxy.

On concède ainsi que quelle que soit la solution choisie, il y aura un risque de surblocage ou un coût important (plusieurs millions d’euros par FAI. L’étude d’impact reconnaît d’ailleurs que « le risque de bloquer l’accès à des contenus qui ne sont pas illicites existe du fait, d’une part, de la volatilité des contenus sur internet et, d’autre part, de la technique de blocage utilisée (blocage de l’accès à la totalité d’un domaine alors qu’un seul contenu est illicite) ». Pour pallier ces risques, il est alors simplement prévu « que la liste communiquée aux fournisseurs d’accès soit une liste d’URL (cf. les modalités techniques du blocage) et qu’elle soit mise à jour selon une périodicité compatible avec la durée d’existence constatée des contenus considérés. »

La piqûre du Scorpion et l'attention de l'industrie musicale

Le cas de la pochette de l'album de Scorpion est d'ailleurs évoqué, tout comme les critiques de The Pirate Bay qui pense que ce filtrage serait "comme un prototype qui viserait à s’étendre à toutes formes de téléchargement pour faire respecter les droits intellectuels des auteurs ou compositeurs" Une possibilité qui n'est pas exotique : le SNEP (Universal, etc.) nous avouait en juin 2008 que "la question de la pédophile un, ne m’étonne pas et deux, m’intéresse forcément parce qu’il va bien falloir que Free nous explique que, si c’est possible pour la pédophilie, c’est peut être possible pour des contenus illégaux de musique même si je ne mets pas les deux choses en rapport !". Quant à la SPPF qui représente les indépendants, elle nous confiait à la même époque que : « le débat nous intéresse de très près car les engagements qui seraient pris concernant les contenus pédophiles peuvent effectivement passer par du filtrage. Ce sont des mesures d’engagements volontaires prises dans un projet de charte (...)  les problématiques de l’industrie musicale ne sont pas éloignées de ces autres préoccupations qui peuvent paraitre évidemment beaucoup plus graves et urgentes à traiter. Bien évidemment, les solutions de filtrage qui pourraient être déployées à cette occasion devraient faire l’objet d’une réflexion à l’égard des contenus, dans le cadre de la propriété intellectuelle ».

Aucune donnée chiffrée sur l'impact économique

L’étude d’impact ne chiffre pas encore …l’impact économique du dispositif. Elle reconnait le principe d’une prise en charge par les finances publiques du déploiement de ce système et projette simplement une mission d’expertise pour une évaluation précise.

« À l’occasion d’une réunion qui s’est tenue le 5 février 2009 sous l’égide du ministère de l’Intérieur, à laquelle ont participé des policiers, des informaticiens et des fournisseurs d’accès à Internet norvégiens, le coût avancé pour la mise en place d’un blocage par DNS a été évalué à 4 000 euros pour 100 000 abonnés. À titre de comparaison, ce dispositif a coûté 62 millions d’euros aux autorités australiennes, alors que les FAI sont intervenus à titre gracieux en Norvège ». En Australie, on a chiffré le filtrage à 90 000 dollars par site bloqué... Il faudra en plus ajouter les coûts humains pour l’État puisque gérer et tenir à jour ces listes ne s’organise pas avec cinq gus dans un garage, selon l’expression autorisée...