Surblocage de sites : l’aveu de méconnaissance des autorités australiennes

Surblocage de sites : l’aveu de méconnaissance des autorités australiennes

Tu débloques ?

Avatar de l'auteur
Marc Rees

Publié dans

Droit

28/08/2014 4 minutes
32

Surblocage de sites : l’aveu de méconnaissance des autorités australiennes

En 2013, l’Australian Securities & Investments Commission avait admis avoir bloqué accidentellement 250 000 sites. Répondant à une enquête parlementaire, l’ASIC vient d’expliquer que les causes de cet incident venaient de la méconnaissance de ses équipes sur l'existence des hébergements mutualisés.

La mesure de blocage visait initialement un site de fraude en ligne. Comme le permet la section 313 du Telecommunications Act, cette autorité avait donc exigé une action de la part des FAI. Seulement, pour ce site ciblé, 250 000 autres avaient été surbloqués accidentellement. L’autorité minorait ce « fail » en précisant que dans le lot, « moins de 1 000 sites (0,4 %) ont pu être temporairement affectés », les 99,6 % restants ne contenant pas de contenu substantiel. En clair, la majorité des sites bloqués était vide, n'affichant qu'un nom de domaine en attente de contenu.

 

L'incident avait provoqué la colère de l’Electronic Frontier Foundation : « L’ASIC a-t-elle examiné chacun des 250 000 sites pour déterminer s’ils contiennent des « contenus substantiels » ? Comment définit-elle cette expression ? Croit-elle que ces 1 000 sites actifs sont un niveau acceptable de dommages collatéraux ? ». L’EFF demandait une pause immédiate de ces procédures de blocage « jusqu’à ce que l’ASIC apprenne comment le système d’adressage fonctionne. »

Une enquête parlementaire après ces cas de surblocage

Cette mise en œuvre de l’article S313 a depuis provoqué - à la demande du gouvernement - l’ouverture d’une enquête parlementaire. La réponse de l’ASIC (PDF) est désormais accessible. « Notre expérience dans l'utilisation de cet article visant à bloquer les sites indique qu'il s'agit d'un instrument utile pour perturber les fraudes financières et alerter les investisseurs australiens sur ces offres non légitimes, témoigne l’autorité. Cependant, cette expérience a aussi mis en évidence le risque d’un blocage par inadvertance d’autres sites dans cette procédure ».

 

Parmi ces exemples, elle cite donc le cas des 250 000 sites injustement bloqués mais aussi celui de 1 090 autres sites ciblés à tort, dont celui de la Melbourne Free University.

L'ASIC ignorait l'existence d'IP partagées entre plusieurs sites

Mais d’où vient ce bug ? « Une fois que nous avons été alertés du risque que ces mesures pouvaient générer un blocage par inadvertance d’autres sites, nous avons passé en revue nos procédures pour identifier l’origine du problème » poursuit l’ASIC dans sa réponse. « Notre enquête interne a identifié que les équipes de l’ASIC demandant ce blocage S313 n’avaient pas été alertées qu’une seule adresse IP peut être partagée par plusieurs sites ». Un aveu qui a été diversement commenté, The Register évoquant par exemple un « EPIC FACEPALM » et Computer World Australie dénonçant une méconnaissance profonde d'Internet.

 

Cette section devra à l’avenir travailler avec une autre équipe dédiée aux services juridiques mais aussi avec les FAI afin de se concentrer sur le blocage d’un seul et même site, uniquement. De fait, après ces casseroles, l’ASIC n’a d'ailleurs plus émis de demande de blocage depuis 2013, conformément aux voeux de l'EFF.

 

Afin de prévenir un nouvel incident de ce type, l'institution marque sa préférence désormais sur des mesures volontaires auprès des FAI ou des bureaux d’enregistrement des noms de domaine. Elle recommande dans le même temps de réserver les mesures de blocage qu’aux cas de criminalité les plus graves et de prévenir les utilisateurs par une notification placardée sur le site visé : « Cette page devrait au minimum indiquer que la mesure a été prise par le gouvernement australien et, quand c’est possible, d’en révéler les raisons. Elle devrait également prévoir un lien de contact avec l’agence pour obtenir plus d’informations. »

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une enquête parlementaire après ces cas de surblocage

L'ASIC ignorait l'existence d'IP partagées entre plusieurs sites

Commentaires (32)


Que dire … c’est consternant… <img data-src=" />


<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



<img data-src=" />



Quand on disait que le blocage servait à rien…



Et si l’un des possesseurs d’un de ces sites “non substantiels” se retourne contre le gouvernement australien, ça va donner quoi ?



Genre, tu as réservé ton nom de domaine pour un site commercial très important et paf, bloqué à titre de dommage collatéral, pardon aux familles, toussa…



A suivre ! <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


Dans ce cas, je pense que tu as droit à compensations qui pourraient s’avérer élevées.


C’est pas faute d’avoir prévenu.

On appréciera au moins le fait qu’ils avouent leurs erreurs et qu’ils se remettent en question.


C’est violent de filer ce genre de pouvoir à quelqu’un qui n’a aucune idée de sur quoi il s’applique <img data-src=" />









sebcap26 a écrit :



C’est pas faute d’avoir prévenu.

On appréciera au moins le fait qu’ils avouent leurs erreurs et qu’ils se remettent en question.





oui s’il y a un mieux, c’est déjà ça de gagné mais je pense qu’on n’est, hélas, qu’au début d’une longue suite d’évènements de ce type…





cet incident venaient de la méconnaissance de ses équipes sur l’existence des hébergements mutualisés



Je rie ? Je pleure ?

Je dois avouer que j’hésite là…<img data-src=" />


Ils confirment donc que dans leur commission il n’y a que des juristes et même pas un technicien qui pourrait les éclairer…


Du coup je sens que certains organismes vont pousser pour l’abandon de l’ipv4 au profit du v6.








SFX-ZeuS a écrit :



Du coup je sens que certains organismes vont pousser pour l’abandon de l’ipv4 au profit du v6.







Qu’est ce que cela changera ???? Rien en fait









eliumnick a écrit :



Qu’est ce que cela changera ???? Rien en fait







Je pense qu’il parle dans le sens où en V4 vu que tu as du NAT/PAT etc.. quand tu bloques une @IP tu bloques au final plusieurs utilisateurs.

Alors qu’en V6, vu que chacun doit avoir sa propre @IP, il n’y aura pas de dommages collatéraux (normalement hein).







SFX-ZeuS a écrit :



Du coup je sens que certains organismes vont pousser pour l’abandon de l’ipv4 au profit du v6.







Est-ce cela, mon cher (voir au dessus) ?









eliumnick a écrit :



Qu’est ce que cela changera ???? Rien en fait





Si tu peux avoir plusieurs IPv6 sur une machine, on peut aisément penser que tu peux en avoir une par site. Donc un bloquage ne coupera que le site concerné même dans le cas d’un mutualisé.



Mais c’est trop cool, enfin un qui le comprends!! Ca commence..







eliumnick a écrit :



Qu’est ce que cela changera ???? Rien en fait





Sachant qu’en IPv6, il est très facile d’attribuer une IP fixe à chaque site, si. Surtout vu les facilités de gestions que cela occasionne.










Bobmoutarde a écrit :



Je pense qu’il parle dans le sens où en V4 vu que tu as du NAT/PAT etc.. quand tu bloques une @IP tu bloques au final plusieurs utilisateurs.

Alors qu’en V6, vu que chacun doit avoir sa propre @IP, il n’y aura pas de dommages collatéraux (normalement hein).







Est-ce cela, mon cher (voir au dessus) ?







Tu peux faire des “sous-réseau” en ipv6 aussi. Lors du dernier article sur le sujet, les commentateurs m’ont appris ça.





L’autorité minorait ce « fail » en précisant que dans le lot, « moins de 1 000 sites (0,4 %) ont pu être temporairement affectés », les 99,6 % restants ne contentant pas de contenu substantiel.



Je sais qu’il faut utiliser le bouton signaler, mais là il y a du copier coller de typo dans l’air <img data-src=" />








Funigtor a écrit :



Si tu peux avoir plusieurs IPv6 sur une machine, on peut aisément penser que tu peux en avoir une par site. Donc un bloquage ne coupera que le site concerné même dans le cas d’un mutualisé.









patos a écrit :



Mais c’est trop cool, enfin un qui le comprends!! Ca commence..



Sachant qu’en IPv6, il est très facile d’attribuer une IP fixe à chaque site, si. Surtout vu les facilités de gestions que cela occasionne.







Oui effectivement ce risque existe. A voir comment les hébergeurs vont gérer ça.









eliumnick a écrit :



Tu peux faire des “sous-réseau” en ipv6 aussi. Lors du dernier article sur le sujet, les commentateurs m’ont appris ça.







Oui ça je sais, mais du coup tu bloques un sous réseau et non une @IP. Enfin je le vois comme ça.



HS on



Et cette affaire elle en est où ?



http://www.lepoint.fr/economie/australie-la-banque-centrale-dans-un-scandale-de-…



https://wikileaks.org/aus-suppression-order/press.html



http://www.lemonde.fr/pixels/article/2014/07/30/les-medias-australiens-contraint…



Parce que l’on a affaire à quelque chose d’énorme là ! Sauf que ça a fait pschit mystérieusement…



Il s’agit également d’une affaire de censure (et de corruption à la tête de l’état), ils ont du utiliser des moyens considérables …



HS off


Comme dirait laspales et chevalier dans un sketch “Il y a des vedettes” ! <img data-src=" />









Bobmoutarde a écrit :



Oui ça je sais, mais du coup tu bloques un sous réseau et non une @IP. Enfin je le vois comme ça.





Non, tu ne bloques que l’IP finale, même si elle est très simple à changer, les DNS ont un temps de mise à jour monstrueux, eux.









patos a écrit :



Non, tu ne bloques que l’IP finale, même si elle est très simple à changer, les DNS ont un temps de mise à jour monstrueux, eux.







Pas spécialement, si tu précises un TTL faible pour le record enregistré, c’est bon.

Si tu sais que ton site sera potentiellement amené à être bloqué, tu mets un faible très faible et si t’as besoin de changer ton @IP ça passe crème ! Interruption de service de quelques secondes.









Bobmoutarde a écrit :



Pas spécialement, si tu précises un TTL faible pour le record enregistré, c’est bon.

Si tu sais que ton site sera potentiellement amené à être bloqué, tu mets un faible très faible et si t’as besoin de changer ton @IP ça passe crème ! Interruption de service de quelques secondes.





Globalement, un TTL de moins de 5mn sera certainement augmentés par des DNS soucieux de leurs ressources processeur / bande passante… et sera rendu inutile par le cache machine qui ne se mettra pas rapidement à jour lui. Et une interruption, même courte, fait perdre des “clients”.



Bordel…

Au moins, ils avouent leur méconnaissance du sujet. C’est tout de même plus agréable à entendre qu’un bon vieux hoax politicien.


Vrai Chillax, le pire aurait été une langue de bois anéfienne…


L’autoroute Axx permet de se rendre chez un dealer il faut la fermer immédiatement !…


Sûrement la faute des prestataires de la SSII X, gageons qu’ils aient été licenciés sur le champs <img data-src=" />









<img data-src=" />


Ils ont une phobie des petits saints <img data-src=" />



————&gt; voila ! (…que je ne voudrais voir)<img data-src=" />








patos a écrit :



Globalement, un TTL de moins de 5mn sera certainement augmentés par des DNS soucieux de leurs ressources processeur / bande passante… et sera rendu inutile par le cache machine qui ne se mettra pas rapidement à jour lui. Et une interruption, même courte, fait perdre des “clients”.









Hum ça j’en suis pas si sûr, en tout cas sur BIND c’est impossible qu’un resolver force le TTL d’une zone. Sachant que c’est en grosse partie le soft qui est utilisé pour le DNS.



Et juridiquement, le resolver ne peut pas forcer le TTL. Si le cas est avéré je pense que la personne/entité qui s’occupe des DNS peut jouer gros (après je ne connais pas assez le Droit pour voir ce qu’il peut se passer)









Bobmoutarde a écrit :



Je pense qu’il parle dans le sens où en V4 vu que tu as du NAT/PAT etc.. quand tu bloques une @IP tu bloques au final plusieurs utilisateurs.

Alors qu’en V6, vu que chacun doit avoir sa propre @IP, il n’y aura pas de dommages collatéraux (normalement hein).







Ouais mais à contrario le blocage sera inefficace car dans beaucoup de cas là ou un utilisateur possède une IP v4 chez son hébergeur il en possède une plage en IP v6. Et même sur du mutu il est probable que les utilisateurs possèdent plusieurs IPs v6 (là par contre je suppose, ça fait longtemps que j’ai abandonné le mutu) tellement c’est abondant.



C’est pas comme si on leur avait dit à ces bandes de glands… Comme quoi, les kangourous ont les mêmes crétins au gouvernement que nous <img data-src=" />




L’autorité minorait ce « fail » en précisant que dans le lot, « moins de 1 000 sites (0,4 %) ont pu être temporairement affectés », les 99,6 % restants ne contenant pas de contenu substantiel.



J’adore le fait qu’un taux de 1000 innocents touches pour un coupable leur semble acceptable.





Notre enquête interne a identifié que les équipes de l’ASIC demandant ce blocage S313 n’avaient pas été alertées qu’une seule adresse IP peut être partagée par plusieurs sites.



N’importe quel admin reseau, voire meme etudiant en informatique aurait pu le leur expliquer s’ils avaient pris la peine de se renseigner un minimum de ce sur quoi ils allaient travailler.

En plus de cette suspension du blocage, ils devraient suspendre toute nouvelle loi sur le sujet jusqu’a ce qu’ils comprennent ne serait-ce que les bases de ce sur quoi ils legiferent. Et ca, ca vaut aussi en France. Ainsi, quand quelqu’un se permet de balayer nonchalamment les debats a l’Assemblee en parlant de “parefeu Open Office”, la loi devrait etre renvoyee a son brouillon illico. De plus quand un president de groupe parlementaire envoie un courrier indiquant a ses godillots que “ce n’est plus la teneur du texte qui en jeu”, lui et pas mal de ses sous-fifres meritent la porte.


<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Ces boulets… Retournez faire du surf et choper votre mélanome, les trous de fesse ignorants.









Chillax a écrit :



Bordel…

Au moins, ils avouent leur méconnaissance du sujet. C’est tout de même plus agréable à entendre qu’un bon vieux hoax politicien.





Avouer une évidence ? ‘tain, quel progrès dans le genre humain……

Ils avouent être des boulets pour arrêter de se l’entendre dire par d’autres, ouais… <img data-src=" />









wormidable a écrit :



J’adore le fait qu’un taux de 1000 innocents touches pour un coupable leur semble acceptable.





Ils ont dû être formés ou inspirés de l’armée des Etats Unis…