Filtrage des sites terroristes : pourquoi ça bloque

Quand la majorité oublie son opposition alors dans l'opposition 28
En bref
image dediée
Crédits : zabelin/iStock/Thinkstock
Loi
Par
le lundi 15 septembre 2014 à 16:40
Marc Rees

Alors que l’Assemblée nationale s’apprête à examiner le projet de loi sur le terrorisme dès 17h, plusieurs députés ont déposé des examens afin de contrer une des mesures du dispositif, le blocage administratif des sites provocants ou faisant l’apologie de ces actes.

La suppression pure et simple de l’article 9

Dans la liasse d’amendements déposés avant l’examen en séance, il y a du fin, du malin et de la dynamite. Dans cette dernière catégorie, les députés Isabelle Attard, Cergio Coronado, Cécile Duflot et Noel Mamère demandent ainsi la suppression pure et simple de l’article 9 du projet de loi.

Cet article instaure ce contre quoi le PS s’était toujours opposé sous l’ère Sarkozy, le blocage administratif des sites. Pour ce faire, ces quatre députés prennent appui sur l’avis de la Commission sur les libertés numériques qui a justement condamné un tel processus. Risque de surblocage et atteinte à la liberté d’expression puisque lorsqu’un site est bloqué, tout part dans l’eau du bain, aussi bien les propos considérés comme illicites que les autres. De plus, « des techniques permettent de contourner chaque type de blocage de manière relativement simple : l’utilisation de sites « miroir », l’utilisation d’un proxy, le chiffrement ou le recours à un réseau privé virtuel ».

Plusieurs députés PS dont Christian Paul et Patrick Bloche, qui furent très actifs durant la loi LOPPSI, reprennent d'ailleurs ces arguments dans cet amendement 130.

Dans son amendement 77, Lionel Tardy rappelle l’avis du Conseil national du numérique qui avait précisé que « la qualification des notions de commission d’actes terroristes ou de leur apologie prête à des interprétations subjectives et emporte un risque réel de dérive vers le simple délit d’opinion ». Et le CNNum, comme le député UMP, de recommander chaudement à Bernard Cazeneuve le recours préalable à une autorité judiciaire pour décider si oui ou non un site devait être bloqué.

Préciser le type de blocage

Dans cet amendement 70, la députée UMP Laure de la Raudière constate le silence du gouvernement sur le mode opératoire du blocage administratif. « Tout comme au moment des discussions sur l’article 4 de projet de loi LOPSSI2, le gouvernement n’explique pas dans l’étude d’impact comment il va opérer ce filtrage administratif » regrette-t-elle. Selon la députée UMP, le filtrage est contreproductif puisqu’il rendra plus difficile le suivi des personnes consultant les sites bloqués, et parce que ces mesures vont généraliser des stratégies d’esquives : des « réseaux clandestins, cryptés, renforçant la difficulté du travail des enquêteurs. »

Limiter le blocage aux seuls contenus pédopornographiques

Dans l'amendement 39, les mêmes députés écologistes et apparentés proposent de limiter le blocage administratif aux seuls pédopornographiques. Une mesure qui avait été validée exceptionnellement par le Conseil constitutionnel. « La qualification de ce qui relève de l’apologie ou de la provocation au terrorisme est plus délicate que pour une image pédopornographique, dont la possession constitue en soi un délit » préviennent les auteurs du texte.

S’inspirer des procédures en matière de jeux d’argent en ligne illicites

Ces mêmes parlementaires proposent avec l’amendement 47 de s’inspirer de la procédure mise en œuvre par l’ARJEL (autorité de régulation des jeux en ligne) : l’autorité administrative signalerait à la justice, au besoin dans le cadre d’une procédure d’urgence, les sites à bloquer. Une fois la décision en poche elle notifierait les acteurs directement pour dénoncer les miroirs, ces sites qui reprennent sous une autre adresse les mêmes contenus. La procédure suivie dans le cadre de l’ARJEL a également inspiré Laure de la Raudière et Lionel Tardy dans cet amendement 78.

Des bornes et de la publicité

Afin d’éviter l’irréparable, la députée Marie-Anne Chapdelaine voudrait que les intermédiaires ne soient astreints qu’à une obligation de moyen dans le blocage, et sûrement pas de résultat où leur responsabilité serait alors très facilement mise en œuvre en cas d’échec de blocage (amendement 121).

Tout aussi intéressant, Laure de la Raudière et Lionel Tardy voudraient dans leur amendement 79 qu’à tout le moins les mesures ne portent « pas atteinte à l’exploitation normale des réseaux et [garantissent] l’absence d’analyse du contenu des informations consultées par les utilisateurs finals. » Ils veulent dans le même temps que la liste noire diffusée aux intermédiaires soit communiquée « selon un mode de transmission automatisé et sécurisé qui en garantit la confidentialité, l’intégrité et la traçabilité ». Le gouvernement pourrait-il prendre le risque de s’y opposer ?

Le défenseur des droits plutôt que la CNIL

On le sait, une personnalité qualifiée doit suivre les mesures de blocage décidées par l’administration selon ses critères. Elle peut lui adresser des recommandations si elle estime que le contenu visé ne rentre pas dans les clous de la loi. Dans le texte actuel, cette personnalité est désignée par la CNIL Les députés écologistes et apparentés aimeraient que ce suivi soit plutôt de la compétence du défenseur des droits (amendement 3). Pourquoi ? « L’objet de la CNIL est en effet de veiller sur les données personnelles et non au respect des droits et libertés ».

Dans la même idée, leur amendement 14 voudrait que la recommandation se mue en vraie mise en demeure, soit une demande nettement plus musclée qu’une simple politesse adressée à l’administration.

Un peu de publicité, svp

Les mêmes députés écologistes demandent dans un amendement 4 un document utile qu’ont oublié les auteurs socialistes. La publication par cette personnalité qualifiée d’un rapport annuel public sur ses recommandations, où il devra en outre préciser le nombre de demandes de retraits, le nombre de contenus qui ont été retirés, les motifs de retrait et le nombre de recommandations faites à l’autorité administrative. Histoire d’ajouter un peu de publicité là où la majorité rêve de silence feutré.

L’opposition historique des FAI au blocage : Free

Ces critiques ne sont pas une nouveauté puisque le PS soutenait une opposition similaire au blocage administratif soutenu par l'ex majorité UMP. Si on se replonge dans le passé, les opérateurs ont eux-aussi, c’est peu de le dire, rechigné à faire n’importe quoi en cette matière.

Free par exemple nous avait déjà dit dans le passé tout le mal qu’il pense de ces mesures. Voilà six ans, en 2008, alors que ces questions de blocage d’accès étaient déjà d’actualité, la direction de Free expliquait que « les réseaux mis en œuvre chez les opérateurs, desservant des millions d'abonnés et hautement critiques pour la sécurité nationale, ne sont pas des laboratoires d'expérimentations pour pouvoirs publics en mal d'effets d'annonce. »

Selon l’opérateur, aucune solution n’est parfaite. Le filtrage par DNS est facilement contournable, mais provoque parfois des effets de bords et des cas de surblocage. Le filtrage par adresse IP est certes plus fin, mais provoque lui aussi des effets collatéraux lorsque l’adresse est mutualisée par plusieurs sites (voir un cas récent en Australie où 250 000 sites ont été frappés par erreur). Quant au filtrage hybride, s’il est présenté comme la solution la moins mauvaise d'un point de vue technique, cette solution « doit être considérée avec beaucoup de prudence au regard du risque majeur d'interruption de service découlant du blocage d'une URL pointant en pratique vers un bloc d'IP important ». Autre chose, ce type de filtrage peut conduire à des mesures de rétorsion. « Un exemple : l'exploitant du site grospervers.mondomaine.com sur l'IP 1.1.1.1 peut se venger d'une mesure de filtrage en reconfigurant ses enregistrements DNS pour les associer aux IP correspondant à Free / Orange / Google / impots.gouv.fr / (compléter la liste ici). Résultat, tout le trafic de impots.gouv.fr se retrouve rerouté vers les plateformes de filtrage qui, si elles ne sont pas dimensionnées en conséquence, vont s'écrouler (genre on va passer de quelques requêtes / Secondes à 100 000). Sachant que l'exploitant du site grospervers.mondomaine.com peut très être agir pour le compte d'organisations peu recommandables, qui trouveront là un bon moyen de nuire à Orange / Free / SFR / Bouygues / .gouv.fr ... »

De même, « avec les techniques de dissémination de contenus par botnet / phishing, on peut très vite monter à une centaine de milliers de sites web à filtrer. Là aussi, imaginez une organisation qui aurait comme idée de démultiplier / disséminer sur plusieurs dizaines de milliers d'IP du contenu pouvant faire l'objet de filtrage. Sans aller jusque-là, on peut envisager une erreur de manip au niveau administration / opérateur avec une mise à jour débouchant sur un nombre significatif de routes impactées. »

L’opposition historique des FAI au blocage : la FFT

En 2009, lors des débats préparatoires à la LOPPSI, qui instaurait un blocage administratif des sites pédopornographiques, nous avions révélé l’existence d’une étude de la Fédération Française des Télécoms sur les modalités techniques du blocage. Outre le coût structurel de ces mesures et leur efficacité limitée, celle-ci dénonçait les coûts liés aux dédommagements des victimes par ricochet de ces mesures en cas de surblocage. « Les conséquences de telles erreurs peuvent être très dommageables aux FAI, en termes d’image de marque et de Qualité de Service perçue par leurs clients. Cela entraînerait sur le moyen terme une augmentation du taux d’attrition (churn) et réduirait ainsi l’utilité des dispositifs de blocage censés protéger les usagers d’internet. Les conséquences peuvent être également de natures financières. Cela pourrait se traduire par des coûts additionnels au niveau des centres d’appels à la suite d’erreurs de blocage de domaines à fort trafic (Wikipedia, YouTube, Google…). En considérant un coût de 5 euros par appel et un taux d’appel des abonnés de 1%, le surcoût immédiat pour le FAI générique serait de 140 k€ par heure. À cela, il faudrait ajouter les dommages et intérêts que serait en mesure de réclamer un éditeur comme Google, sachant que le blocage d’une journée équivaut à une perte de CA de près de 100 k€ pour Google France » (chiffre lié au CA de 2007 de l’entreprise américaine). 

Un remède pire que le mal ?

Une note d’analyse signée Christophe Espern, un des cofondateurs de la Quadrature du net, avait aussi pointé les angles morts du filtrage hybride dans une étude qui fut remise en 2008 au ministère de l’Intérieur. En 2009, une autre étude menée cette fois à l’échelle européenne par Cormac Callanan (Irlande), Marco Gercke (Allemagne), Estelle De Marco (France) et Hein Dries-Ziekenheiner (Pays-Bas) avait elle aussi dénoncé l’efficacité très limitée de ces pratiques. Elle pointait aussi les effets de bords parfois très importants comme on peut le revoir dans ce tableau.

filtrage blocageCrédits : Cormac Callanan, Marco Gercke, Estelle De Marco, Hein Dries-Ziekenheiner

 

En octobre 2009, nous révélions encore un courrier de l’Association des Fournisseurs d’Accès (AFA). Alors que le gouvernement allemand faisait marche arrière en matière de blocage des sites pédopornographiques, une étude menée outre-Rhin indiquait que «sur 8000 URLs contenues dans les listes noires présumées de la police, seuls 110 sites web contenaient des images d'abus sexuels sur mineurs et des images érotiques de mineurs, et après notification à l'hébergeur, seulement 7% de ces contenus illégaux, hébergés dans des pays non membres d'Inhope, étaient encore en ligne après 14 jours (alors que la plupart des contenus notifiés ont été supprimés dans les 48h après notification) ». En clair, les mesures effectuées directement chez l’hébergeur seraient plus efficaces.

L'étude d'impact de la LOPPSI dénonçait ce qu'elle instituait

Ce n’est pas tout. L’étude d’impact annexée à la loi LOPPSI de 2011, à propos du blocage des sites pédopornographiques, confirmait elle-même le risque de surblocage sur plusieurs techniques envisagées (p.14 de ce PDF):

a) le blocage par DNS: l'abonné saisit une adresse en texte dans la barre d'adresse de son navigateur. Celle-ci est envoyée à un serveur appelé DNS qui doit renvoyer l'adresse électronique chiffrée (IP) correspondante. Quand le nom figure sur la liste noire, le serveur ne renvoie pas l'adresse IP. L'abonné ne peut donc pas se connecter au site. Ce système comporte plusieurs inconvénients : l'ensemble des services proposés sur le domaine concerné sont bloqués, les pages Web, mais aussi les méls, le tchat... Ce système comporte intrinsèquement un risque de « surblocage »; enfin, il suffit de connaître l'adresse IP du site concerné pour contourner le blocage.

b) le blocage par adresse IP : dans ce cas, l'adresse IP est renvoyée par le serveur DNS, mais est bloquée ensuite au niveau du "routeur". L'avantage par rapport au blocage par DNS est que les autres services (courriers électroniques, tchat...) ne sont pas bloqués. Inconvénient : toutes les pages Web présentes sur l'IP sont bloquées (risque ici encore de surblocage).

c) le blocage de l'URL par proxy (serveurs par lesquels passent les connexions): Beaucoup plus fine que le blocage par DNS ou par IP, cette solution permet d'éviter les risques de surblocage.

e) le filtrage hybride: L'adresse IP est renvoyée par le serveur DNS, mais quand l'adresse est inscrite sur la liste noire, l'abonné est réorienté vers un serveur de proxy qui filtre. Avantages et inconvénients des blocages par DNS et par proxy.

 

Ces critiques sont-elles dépassées ? Pas si sûr. La semaine dernière, Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information a clairement exposé qu’« il y a au sein de l’ANSSI des gens qui comprennent ces techniques de blocage et les difficultés à les mettre en œuvre… et savent aussi les contourner. J’ai été amené à signaler le problème de l’efficacité de ces mesures ». Lors de cette conférence organisée à Paris, il exposera sans nuance : « Je suis très réservé sur ces mesures d'un point de vue technique. »


chargement
Chargement des commentaires...