La consultation d'une page web pas à pas

Lorsqu'il tape l'adresse d'une page web dans son navigateur, comme www.parti-socialiste.fr/mapage, dans son navigateur préféré, l'internaute demande implicitement à son ordinateur de procéder aux actions suivantes :

  1. Résolution à l'aide de l'annuaire DNS de l'adresse www.parti-socialiste.fr en une adresse IP; compréhensible par sa machine ;
  2. Connexion (par TCP/IP) au serveur en charge de www.parti-socialiste.fr ;
  3. Identification par le serveur du serveur virtuel en charge de www.parti-socialiste.fr ;
  4. Demande (à l'aide du protocole HTTP) de la page /mapage.
  5. Réception des données demandées et affichage dans le navigateur.

Le processus est répété autant de fois que nécessaire pour télécharger et afficher notamment toutes les images présentes dans une page web.

Est-il possible technique de filtrer efficacement l'Internet ?

On dispose en apparence de plusieurs points de contrôle de l'accès :

  1. lors de la résolution du nom en adresse IP (filtrage DNS) ;
  2. lors de la connexion au serveur (filtrage IP) ;
  3. lors de la demande d'une page spécifique (filtrage hybride).

Filtrage DNS

Cette méthode suppose le contrôle des serveurs de noms utilisés par l'Internaute. Or, il est relativement facile pour l'Internaute de paramétrer l'utilisation de serveurs alternatifs.

Filtrage IP

Cette technique consiste à demander aux fournisseurs d'accès de dérouter le trafic à destination d'une certaines adresse. Les requêtes pourront ainsi par exemple être expédiées à un serveur spécial, affichant une page d'erreur ou d'avertissement. Cette technique de filtrage peut être contourné par l'utilisation d'un serveur mandataire (proxy). Elle pose par ailleurs un risque important de surfiltrage. Filtrer l'adresse IP de www.site-8.biz provoquera également le filtrage de tous les autres serveurs virtuels hébergés sur ce même serveur.

Filtrage hybride

Le filtrage hybride est un « affinage » du filtrage IP. Avec cette technique le trafic vers certaines adresses IP est renvoyé vers un serveur de d'analyse en profondeur («Deep Packet Inspection») et de filtrage, qui analyse plus en détail la requête afin de déterminer s'il décide de la laisser arriver à son terme. Il permet ainsi théoriquement de distinguer www.site8.biz/photo_illicite.png du reste du contenu hébergé sur www.site8.biz et a fortiori des contenus des autres serveurs virtuels disponibles à la même adresse.

Ce type de filtrage pose deux grands problèmes :

  • Il limite les protocoles autorisés à ceux connus par le « serveur de filtrage ».
  • Il suppose de disposer d'un serveur de filtrage (en pratique, un nombre important de machines) capable de traiter toutes les requêtes suffisamment rapidement. En pratique, ce filtrage revient le plus souvent à ralentir dramatiquement la vitesse de communication. Le déploiement d'une telle infrastructure confine à l'impossible sur un réseau Internet ouvert, comme le réseau français. Il est par contre opérationnel sur les réseaux de pays non démocratiques, comme la Chine ou l'Iran.

Des techniques mises en échec par les vrais criminels

Aucune des techniques sus-mentionnées ne résiste aujourd'hui à la criminalité organisée ou aux pédopornographes. Ces véritables criminels recourent en effet à des techniques sophistiques, comme par exemple la combinaison de changements très rapides des entrées de l'annuaire de noms (DNS) avec un réseau de machines compromises, renvoyant à leur tour vers l'adresse IP d'un serveur où est, au moins pour un temps, hébergé le contenu délictueux («fast flux»).

Des techniques de contournement simples, à la portée de M. Tout-le-monde

Les simples utilisateurs de l'Internet peuvent également facilement contourner tous ces types de filtrage, en combinant l'utilisation de serveurs mandataires et du chiffrement.

Un serveur mandataire permettra de déjouer le filtrage IP.

Le chiffrement peut consister en l'utilisation du protocole https, qui chiffre tous les échanges entre un client et un serveur. Il peut également consister en l'utilisation d'un réseau privé virtuel (ou VPN, «Virtual Private Network»), qui permet de faire transiter toutes ses communications via un tunnel chiffré vers une autre machine, typiquement un serveur à l'étranger. Des offres de VPN efficaces sont disponibles pour quelques euros par mois. On peut également contourner le filtrage DNS en utilisant en lieu et place des serveurs paramétrés par défaut par son fournisseur d'accès ceux d'un opérateur spécialisé, comme par exemple opendns. Ceux de ces opérateurs situés à l'étranger n'ont peu ou pas de raisons d'obtempérer aux injonctions de la France.

Que penser du choix technique du filtrage DNS par le Ministre de l'Intérieur ?

À l'occasion de l'examen du projet de loi sur le terrorisme, le Ministre de l'Intérieur a écarté l'utilisation du filtrage IP et du filtrage hybride et préconisé le recours au filtrage DNS. Ce choix est peut-être justifié par l'expérience de l'ARJEL (Autorité de Régulation des Jeux en Ligne). Contrer la propagande de groupes terroristes est cependant une toute autre affaire que bloquer le site d'un opérateur de jeu. Ce dernier, du moins pour les acteurs grands publics, développe une image, une identité, une marque, dont son nom de domaine est une partie essentielle. Betclic, pour ne citer qu'un exemple, parle systématiquement de betclic.fr, son nom de domaine.

À l'opposé, les blogs ou vidéos «djihadistes» (pour reprendre la préoccupation du moment, et bien qu'il existe bien d'autres menaces) sont rarement publiés sur des sites dédiés. On trouve beaucoup de vidéo de l'«État Islamique» sur YouTube et des blogs se livrant à l'apologie de son action sur de nombreuses plateformes. Le filtrage DNS ne permettrait de filtrer que l'intégralité de YouTube, et est donc inefficace. Son utilisation aboutirait à la répétition de, de triste mémoire, le blocage de l'intégralité de Yahoo lors de l'affaire de la vente d'objets nazis.

Il faut bien comprendre que l'accès à la recette du Gloubi Boulga (puisqu'on vient de fêter les 40 ans de Casimir) et celui à une vidéo de propagande de l'État Islamique ne diffèrent que par un paramètre passé au serveur :

Ce paramètre nommé v a pour valeur Zfu1mwyXlYI dans le premier cas vt-dWsrY424. La résolution DNS s'arrête à la détermination de l'adresse d'un serveur du domaine www.youtube.com. Le reste est une requête qui lui est formulée, de surcroît ici via une connexion chiffrée, YouTube proposant systématiquement de passer en https.

La seule solution viable est donc le retrait. Le blocage DNS ne devrait être envisagé que de manière subsidiaire, pour les sites ayant pignon sur rue, avec toutes les réserves sur son efficacité précédemment énumérés.