Ces protocoles ennemis de la censure des FAI

Image illustrant l'article : Ces protocoles ennemis de la censure des FAI

Ces protocoles ennemis de la censure des FAI

par Korben -

Le blocage de sites pirates est considéré comme un outil assez efficace par les ayants droit de tous bords. C’est d’ailleurs devenu une mesure importante pour l’industrie du divertissement qui cible ces sites puis demande leur suppression.

La pratique du blocage existe déjà depuis plus d’une décennie et s’est progressivement étendue à des dizaines de pays à travers le monde. Concrètement le blocage d’un site est effectué par les fournisseurs Internet, souvent à la suite d’une décision de justice. Ces mesures peuvent aller du simple blocage DNS à des actions plus élaborées impliquant par exemple “l’indication du nom du serveur” (ou SNI en anglais : Server Name Indication), voire une combinaison des deux.

Illustration d’un homme tentant de briser une chaîne représentant la censure d’un FAI

Et ça ne fonctionne pas trop mal puisque plus de 4000 sites ont déjà étés bloqués dans 31 pays (dont beaucoup sont européens). Pour votre culture générale, sachez que le premier site blacklisté a été AllOfMP3 au Danemark en 2006. Et la tendance s’accélère, car si sur les 10 premières années (2006-2016), seuls environs 1000 sites ont étés bloqués , il y en a eu plus de 3000 depuis (2016-2019). Dont “seulement” une petite quarantaine en France.

Cependant, les experts des réseaux et les fournisseurs d’accès à Internet préviennent que de nouvelles “menaces” anti-blocage se profilent à l’horizon.

La première est l’utilisation accrue des DNS chiffrés (DoH ou DNS over HTTPS). Cela permet de faire passer le trafic DNS via le protocole sécurisé HTTPS. Du coup il est plus difficile pour les gens de l’extérieur, y compris les FAI, d’espionner les sites auxquels les utilisateurs accèdent. Et si le fournisseur ne peut plus voir les sites web visités par ses clients, il a forcément plus de mal à les bloquer.

Capture d’écran de la page de configuration d’un routeur permettant de contourner la censure d’un FAI

British Telecom, via Andy Fidler (le principal architecte réseau du groupe), est conscient de ce “problème” et s’en est d’ailleurs ému récemment (vous pouvez retrouver sa présentation dans ce PDF).

«Si les FAI britanniques ne sont plus un passage obligé pour les requêtes DNS, ils risquent de ne pas être en mesure de répondre à certaines demandes de blocage issues de demandes de tribunaux spécifiques », note Fidler dans son exposé.

Il explique également que le blocage DNS est l’action la plus fine et précise qu’il est possible de mener actuellement, et sans elle le blocage devient moins spécifique (blocage via adresse IP du serveur …). Et bien qu’il reconnaisse qu’une plus grande confidentialité pour les utilisateurs n’est pas en soi une mauvaise chose (c’est déjà ça de prit vous me direz) … les blocages de sites web devenus inefficaces, les filtres parentaux rendus inutiles…etc sont considérés comme problématiques.

Diagramme montrant les différents protocoles de communication utilisés pour contourner la censure des FAI

Mais le processus est déjà bien enclenché et il y a peu de chances qu’un retour en arrière s’effectue. Pour ne citer qu’eux, Cloudflare et Firefox (depuis la v62) supportent déjà les DNS chiffrés et cela devrait se généraliser petit à petit. Car petit à petit l’oiseau fait son SNI (vous l’avez ?).

En effet il faudra aussi compter avec la démocratisation des SNI chiffrés (ESNI - E pour Encrypted) qui permettent d’héberger plusieurs sites web sur une même adresse IP.

Aujourd’hui, alors que HTTPS couvre près de 80% de tout le trafic Web, le fait qu’un SNI classique permette à votre FAI de connaitre tous les sites que vous consultez est devenu une véritable faille en matière de confidentialité. Avec un SNI chiffré, ce ne sera plus le cas. Là encore Firefox et Cloudflare sont précurseurs, d’ailleurs je vous conseille ce très bon article sur le sujet.

Image par défaut

Source : Cloudflare

C’est cette combinaison de DNS et SNI chiffrés qui rendra compliqué le travail de censure des fournisseurs d’accès Internet. Attention cela ne veut pas dire pour autant qu’ils ne pourront plus bloquer de sites, juste que ce sera plus difficile et moins précis. Si un site pirate est identifié sur une IP qui est partagée avec d’autres, l’IP pourra toujours être bloquée. Mais les autres sites (peut être tout à fait légitimes) vont morfler en même temps, et ça va hurler dans tous les sens.

Bref nous allons encore voir de nombreux sites disparaître avant que tout cela ne devienne la norme, et même lorsque ce sera le cas, ce ne sera pas la fête du slip pour autant. Il faudra sans doute encore plusieurs années avant que les réseaux et les navigateurs ne supportent tous les DoH et ESNI et d’ici là d’autres moyens / protocoles auront fait leurs apparitions dans cette course sans fin.

Source