Tribune : Comment censurer Internet ?

Censure et sans parole 95
Voilà peu, Turb(l)o(g) publiait cet excellent billet « Prospective pour ayant droit » qu'on retrouvait dans nos colonnes. Avec son accord – le texte est sous licence Creative Common – nous publions un nouveau billet de ce blogueur. Intitulé « Comment censurer internet ? » il explique en des mots simples et accessibles comment bloquer l'information en ligne. Cette tribune est publiée sous les mêmes conditions de diffusion. N’hésitez pas à réagir dans les commentaires. (Marc Rees)

Étant donné les derniers développements du sujet dans le monde ces derniers temps, je me sens un peu obligé d’expliquer leur nouveau métier à ceux qui vont devoir tailler dans le gras d’internet.
Alors, concrètement, comment fait-on pour censurer ?

Dans la vraie vie, c’est facile. Lorsque quelqu’un dit ou fait quelque chose de déplaisant, vous pouvez, au choix, lui expliquer que ce n’e st pas bien, lui coller un pain, le mettre en taule ou, pour certains, le suicider de façon plus ou moins discrète.

censure Crédit photo : Umberto Lopez (flickr)
Crédit photo : Umberto Lopez (flickr)
 
La facilité de la chose réside dans le fait qu’une personne n’est ni plus ni moins qu’un objet tangible, et que tant qu’on peut, au sens propre du terme, l’attraper, on a une bonne raison de courir après.

Qu’en est-il sur internet ? Bien sûr, vous pourrez toujours, à l’ancienne, attraper le responsable d’un propos ou d’un acte qui vous déplaît, encore faut-il réussir à l’attraper. L’ennui, c’est qu’une fois réduit au silence, votre malfaisant peut encore nuire. Le contenu publié sur internet ne peut jamais disparaître complètement. Par exemple, je sais très bien que dans les 5 minutes qui suivront la publication de cet article, il aura été copié et stocké a pas moins de 200 endroits géographiques différents sur la planète. Demain, il en existera probablement plusieurs milliers de copies, et ce n’est absolument pas du au fait que les contenus de ce blog sont sous licence Creative Common BY.
Toutes ces copies ne seront bien entendu pas consultables. On peut même dire qu’une infime partie le sera. Mais ça n’empêche pas le contenu de remonter à la surface à des moments où on s’y attend le moins.
Pour les contenus déjà diffusés sur le réseau, c’est donc cramé, c’est pour ainsi dire mission impossible que de le faire disparaître à coup sûr sauf quelques cas que nous verrons dans un article à venir. Ce qu’il est par contre possible de faire, c’est de limiter l’accès à ce contenu indésirable.

Ça n’a que peu d’intérêt comme nous l’avons déjà démontré, mais comment empêcher quelqu’un d’aller voir un site en particulier ? Vous avez plusieurs méthodes qui ont toutes deux caractéristiques fondamentales : leur coût et leur efficacité. Vous vous en doutez, plus c’est cher, plus c’est efficace. Heureusement, aucun n’est efficace à 100%. Petit tour d’horizon :

Les serveurs DNS

Nous en avons déjà parlé lors de l’affaire Stanjames/ARJEL. C’est une technique relativement simple qui consiste à effacer de l’annuaire utilisé par ses abonnés l’adresse d’un site. Ou plus exactement, de lui donner de fausses informations (par exemple “ça n’existe pas” ou bien “ça pointe sur mon serveur qui explique que c’est interdit d’aller sur ce site”). Pour plus d’info sur les DNS, voir mon petit article sur ce gros annuaire réparti.

Il n’y a que très peu de risques de dommages collatéraux (censurer des sites “qui n’ont rien fait”) avec cette méthode, sauf si plusieurs sites sont hébérgés sur le même nom de domaine (http://www.site.fr/site1 et http://www.site.fr/site2 par exemple, ce qui est rarement le cas des sites d’entreprise, et de moins en moins le cas des sites personnels)

Le contournement par le propriétaire du site est trivial, il suffit de changer de nom de domaine, voir d’ajouter simplement un sous domaine (par exemple http://www.caremarche.stanjames.com/). La communauté des internautes relaie généralement assez vite la nouvelle.

Le contournement pour les clients des fournisseurs d’accès pratiquant le blocage par DNS est aussi simplissime, il suffit de ne pas utiliser les serveurs DNS attribués par le FAI et tout rentre dans l’ordre. Google fournit, même si c’est mal, de très jolis serveurs DNS, par exemple 8.8.8.8.

La contre offensive qui, à ma connaissance, n’a pas encore été appliquée ou que ce soit (ou en tout cas pas chez des fournisseurs d’accès réputés) est de bloquer toute communication depuis les abonnés vers l’extérieur sur le port 53 (celui du DNS), empêchant, de facto, de se servir d’un DNS externe, voir, de se retrouver automatiquement dirigé vers le DNS interne du fournisseur d’accès. C’est une grave atteinte à la neutralité du réseau, mais au point ou on en est, ça ne m’étonnerait pas de voir fleurir ce genre de chose.

La contre-contre-offensive, qui n’existe pas encore puisqu’elle n’a rien à combattre pour l’instant prendra environ 48h de gestation avant de voir le jour le cas échéant. Il s’agit simplement d’avoir un petit serveur DNS a soi sur sa machine qui ira communiquer avec un serveur DNS situé en dehors du réseau du FAI sur un autre port que le 53 (443, au hasard), avec, pourquoi pas, un autre protocole qu’UDP (TCP, au hasard). Cette solution ayant besoin d’un serveur extérieur dédié à ça sera donc probablement monétisée par son créateur.

Bloquer les sites via le DNS, ça peut permettre d’éviter que Mme Michu n’y aille pendant à peu près 12 à 24h, mais ça n’empêchera jamais une personne qui veut vraiment, et ça provoquera une fuite de capitaux vers l’étranger. Pas bien malin, donc, si on regarde bien.

Le blackhole

Je vous en parlais hier, plus du côté sécurité que du côté répression. Il s’agit donc de filtrer l’ensemble des paquets passant sur son réseau et allant vers une cible indésirable. Cette cible pouvant être, au plus petit, une adresse IP isolée, et au pire, un ou plusieurs préfixes entiers.

Les dommages collatéraux potentiels sont énormes puisqu’il est impossible, sans être administrateur des machines qui sont derrière, de connaitre la liste exacte des sites répondant sur ces adresses. Une seule et même IP peut avoir plusieurs millions de sites derrière elle pendant qu’a coté, un seul et même site utilisera plusieurs dizaines d’adresses pour lui tout seul.

Pour l’administrateur du site, la solution consiste à modifier l’adresse IP de son site. S’il a de la chance et que le blocage ne se fait que sur une seule IP, il a quelques jour de répit avant que le blocage ne suive le changement. Une autre solution consiste, si le blocage se fait de façon dynamique (le fournisseur d’accès répercute le blackhole en fonction de l’IP qu’utilise un nom de domaine) à répartir le site sur plusieurs IP, voir, éventuellement, à installer un serveur DNS qui va donner des réponses différentes en fonction de la source de la demande et réussir, ainsi, à tromper l’automatisme du FAI en l’aiguillant sur une fausse piste qui le conduira à blackholer une IP qui ne sert à rien.

Pour l’utilisateur, il suffit de passer sur un autre réseau avec une autre IP. Soit en frappant fort au porte-monnaie de ce cochon de FAI qui filtre en résiliant pour s’abonner ailleurs, soit en utilisant l’un des nombreux VPN disponibles sur le marché si le filtrage est une mesure légale qui s’applique à tous les FAI du pays.

Il n’y a pas réellement de contre-offensive possible pour le FAI, si ce n’est d’observer très précisément ce que font ses abonnés, ce qui nous amène tout naturellement à …

L’analyse poussée du trafic

Le quasi ultime échelon de la bataille pour le contrôle de l’information, l’analyse de trafic (ou DPI, Deep Packet Inspection) consiste à automatiser l’analyse de tout ce que transmet un ordinateur, un peu comme on analyse aujourd’hui tous les emails pour détecter les spams.

Vous seriez étonné de voir ce qu’on peut faire avec du DPI. En vrac :
  • Lister des tendances politiques dans le texte et les avis qui s’y rattachent (par exemple, une phrase comme “j’adore ce que fait Segolène Royal”, même si ce n’est pas vrai, pourra être interprétée et me caser dans l’armoire des partisans socialistes. Le système pourra aussi être poussé jusqu’à détecter que cette phrase, inscrite entre guillemets, est probablement une citation et qu’étant donné le ton général du texte autour, je contredis la citation, me classant donc de facto dans l’armoire adverse. Alors qu’en vérité, je ne suis ni dans l’une, ni dans l’autre.
  • Extraire les images et les analyser automatiquement jusqu’à être capable de dire (par exemple) si la personne sur la photo est habillée ou pas. Oh le cochon qui regarde des images avec des gens tout nus dessus !
  • Conserver un listing et des informations très précises sur les personnes avec qui je communique, on sait jamais, ça pourrait toujours servir pour me mettre le nez dans mon caca plus tard si je commence à devenir gênant.
En bref, tout ce qui peut aujourd’hui être sorti d’un disque dur saisi par un spécialiste de l’informatique peut déjà être intercepté et analysé au vol par les dispositifs d’inspection du trafic. Vous avez entendu parler d’UKUSA ? Eh ben on est en plein dedans, mais au service des industriels et plus des nations.

Vous n’y croyez pas ? Pourtant, ces machines existent et sont en vente libre.

Le contournement possible ? Quasiment aucun pour les éditeurs de contenu, si ce n’est de trouver un autre canal de distribution que ceux qui sont surveillés.

Par contre, pour les clients de fournisseurs d’accès la solution est toute trouvée : les VPN, et des VPN chiffrés s’il vous plait. Il existera toujours des nations qui ne souhaiteront pas jouer le jeu de la censure des autres, ces gens-là tiennent l’eldorado de demain. Ils commenceront par concentrer un tas de services VPN pour finir par attirer à eux tous les contenus jugés subversifs par les nations “vertueuses”.

On sait déjà détecter (par exemple) du peer2peer caché dans un VPN chiffré (sans, heureusement, pouvoir en connaitre le contenu). Les progrès en matière de camouflage sont donc à faire par nos amis développeurs, mais il sera impossible de bloquer ce trafic qui finira par ressembler à une banale session d’achat en ligne (protocole TCP, port 443 chiffré SSL).
Sauf si ces messieurs sont suffisamment cinglés pour adopter …

Le filtrage par liste blanche

C’est l’inverse du filtrage par liste noire tel qu’il se pratique en bloquant les DNS ou en blackholant les IP de façon sélective. Il s’agit ici d’éditer une liste des adresses IP autorisées à diffuser du contenu et de rayer toutes les autres de la carte par blackhole. Bad trip, n’est-ce pas ? Et pourtant, ça pourrait arriver, un député l’a proposé à l’assemblée l’été dernier.

Heureusement, le net reste tenu par de bons vieux geeks qui s’empresseront de proposer un tas de contenus et de services de rebond plus ou moins cachés sur lesdits IP, le contrôle de tout ceci restant finalement dans leurs mains.

Amis férus de censure, vous allez réussir à dépenser des fortunes pour interdire l’accès à certains contenus … mais seulement pour ceux qui n’ont aucune envie d’aller les voir. Les gens qui s’en donnent les moyens accèdent toujours au contenu.

Et vous pouvez continuer à prendre la Chine pour exemple, c’est justement comme ça que ça se passe là-bas. Vous pensez bien que ceux qui vont à l’encontre du système ne sont pas réellement enclins à le crier sur les toits, surtout dans un pays où les têtes sont coupées plutôt que d’être mises derrière des barreaux.

C’est la même morale que pour la sécurité informatique. On dit souvent que la seule machine inviolable est celle qui est éteinte et enfermée dans un coffre, et que ça ne constitue en rien une sécurité absolue et définitive. Pour l’accès au contenu, c’est pareil, le seul moyen d’empêcher les internautes, tous les internautes, d’accéder au réseau, c’est de couper le réseau.

A bon entendeur …