Deux affaires récentes ont attiré l’attention sur les aspects clandestins du Web : les sites de jeux et de paris illicites ainsi que le site de fichage de policiers Copwatch. Face à la présence de telles pages, les pouvoirs publics et les ayants droit disposent actuellement de deux méthodes de riposte. La première consiste à obtenir la fermeture pure et simple du site en envoyant une injonction à son hébergeur, ce qui n’est faisable que si ce dernier se trouve physiquement dans la même juridiction ou dans celle d’un pays acceptant de coopérer. Mais lorsqu’on est dans l’impossibilité, technique et juridique, d’attaquer le mal à la racine, un seul recours subsiste : empêcher l’accès à ce site à tous les internautes du pays en faisant du filtrage.
La solution technique la plus simple
Consiste à placer un filtre au niveau des serveurs DNS (le système de noms de domaine). C’est d’ailleurs la méthode préconisée par le récent décret qui impose aux fournisseurs d’accès Internet (FAI) français de bloquer les sites illégaux de jeux en ligne. Ces serveurs DNS, généralement exploités par les FAI, constituent des sortes d’annuaires chargés de faire la correspondance entre un nom de domaine et le serveur où sont stockées les données du site correspondant. En effet, nous sommes tous habitués à taper le nom de domaine d’un site (son adresse ou URL) pour y accéder sans nous soucier que cette suite de caractères, facile à retenir, est une adresse de substitution. La véritable adresse d’un serveur hébergeant un site Internet, c’est son adresse IP : c’est grâce à elle que les ordinateurs parviennent à s’identifier les uns par rapport aux autres. Elle est constituée d’une série de quatre nombres séparés par des points et peut d’ailleurs être employée pour afficher directement un site.
Un filtre facilement contournable
Comme ce sont généralement les serveurs DNS des FAI qui établissent ces correspondances entre noms de domaine et adresses IP, il leur est très facile d’en supprimer certaines et de rendre ainsi un site inaccessible ? ou encore de rediriger l’internaute vers un message d’information ou de sensibilisation. Le hic, c’est que tout internaute peut très facilement configurer son ordinateur pour qu’il utilise non pas le serveur DNS de son FAI, mais un serveur de noms de domaine indépendant ne pratiquant aucun tri sélectif – il est même possible, pour un utilisateur averti, de gérer son propre serveur DNS. En outre, certains experts des réseaux craignent que ces manipulations sur les serveurs DNS ne créent quelques dommages collatéraux. “ La méthode de filtrage par DNS pourrait engendrer des problèmes de fonctionnement du protocole DNSSEC, un système de sécurisation des serveurs DNS ”, s’inquiète ainsi David Monniaux, chercheur au CNRS. Le filtrage par DNS est cependant fréquemment utilisé sur les réseaux d’entreprises voulant empêcher leurs salariés de consulter leurs boîtes mails personnelles, les réseaux sociaux… ou d’autres sites peu recommandables. Vous l’aurez compris, cette méthode de filtrage DNS est loin d’être idéale, ne serait-ce que parce qu’il suffit de connaître l’adresse IP du site concerné pour contourner l’obstacle. Mais alors, ne pourrait-on pas filtrer directement l’adresse IP pour être totalement efficace ? Cette solution, bien que techniquement possible, reste assez peu utilisée car elle présente notamment de grands risques de blocage de sites non concernés, pour la simple raison que plusieurs sites peuvent être hébergés sur un même serveur et donc avoir la même adresse IP – c’est le cas quand vous mettez en ligne votre site personnel sur un serveur dit mutualisé.
Un filtrage plus fin avec la méthode hybride
Autre point faible du filtrage DNS : il ne permet pas de filtrer des pages spécifiques d’un site Web. En effet, lorsqu’un nom de domaine est effacé d’un serveur DNS, c’est l’ensemble du site qui devient inaccessible, voire les autres sites hébergés sur les sous-domaines (du type monsite.free.fr). Pour bloquer l’accès à quelques pages seulement, on doit alors recourir à une technique de filtrage d’adresses, beaucoup plus compliquée et onéreuse à mettre en place car elle requiert de lourds équipements. Cette solution nécessite en effet d’analyser toutes les adresses de pages Web demandées par les internautes via des serveurs proxy (également appelés serveurs mandataires), au risque de ralentir considérablement l’ensemble du trafic Internet. Pour pallier ce risque d’engorgement, les FAI disposent cependant d’une alternative avec la méthode dite hybride : un premier serveur intercepte uniquement les requêtes portant sur un nom de domaine particulier (ou sur les adresses IP correspondantes) et les détourne vers un autre serveur qui se charge, lui, d’effectuer le tri entre les pages censurées et les autres. La charge de travail de ce second relais devient alors bien moins importante que s’il devait analyser les pages de tous les sites. Cette méthode a par exemple déjà été utilisée fin 2008 par les FAI britanniques pour bloquer l’accès à une page de Wikipédia jugée illégale outre-Manche. Cependant, l’opération avait dû être rapidement interrompue car la navigation sur l’ensemble de l’encyclopédie collaborative s’était alors retrouvée fortement ralentie pour tous les internautes britanniques. Autre faiblesse : cette solution de filtrage par proxy peut être contournée par les internautes en paramétrant un autre serveur mandataire que celui du FAI, voire par le propriétaire du site, simplement en utilisant le protocole sécurisé HTTPS au lieu du classique HTTP.
Contribution des moteurs de recherche
Les hébergeurs et les fournisseurs d’accès ne sont pas les seuls prestataires techniques auxquels on demande de coopérer dans la lutte contre les contenus illicites. Les moteurs de recherche conduisent énormément de visiteurs vers les sites : ils sont donc également priés de supprimer de leurs index les pages condamnées afin de leur ôter toute visibilité. Leur implication va plus loin dans les pays comme la Chine, où la censure est totale : à la demande des autorités locales, les moteurs bloquent carrément la recherche de certains mots-clés sensibles en affichant une page blanche en guise de résultat. Rappelons cependant que Google a décidé en mars 2010 de ne plus céder au diktat chinois : le site www.google.cn renvoie depuis cette date vers son homologue de Hong Kong sur lequel aucun filtrage de mots-clés n’est imposé.
Le filtrage sauvage avec le BGP
Une dernière technique pouvant être mise en œuvre par les FAI ou les États existe, mais elle est beaucoup moins contrôlable. Elle consiste à manipuler les routeurs BGP (Border Gateway Protocol). Explications : pour voyager sur Internet, les informations peuvent prendre de multiples chemins en transitant par divers relais matériels, notamment ceux appelés routeurs BGP. Leur rôle consiste à trouver le chemin le plus rapide pour aller d’un point A (par exemple, le serveur sur lequel un site est hébergé) à un point B (l’ordinateur de l’internaute). Pour cela, ces routeurs s’échangent en temps réel des informations sur l’état du trafic Internet et les éventuels chemins déjà saturés. L’astuce consiste donc à détourner toutes les demandes d’affichage d’un site donné en demandant à son propre routeur BGP d’annoncer aux autres que le chemin le plus rapide vers ce contenu passe par lui. Bien que fausse, cette information se propagera alors entre tous les routeurs les plus proches et transformera ce routeur menteur en un véritable trou noir absorbant toutes les requêtes d’affichage du site – requêtes qu’il enverra alors aux oubliettes, bien entendu.Le danger de cette méthode est que la propagation de ce piège n’est pas parfaitement contrôlable au sein d’un État, comme ont pu le constater les autorités pakistanaises il y a quelques années. En manipulant le BGP pour interdire l’accès, à partir du Pakistan, à une page sur Youtube, le pays avait alors involontairement bloqué l’ensemble du site de vidéos dans une grande partie de l’Asie et même au-delà. Comme on le voit, il n’existe pas de solution parfaite pour bloquer l’accès à un site, certaines ressemblant même à des méthodes d’apprenti sorcier…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.