Vous n'êtes pas identifié.
Pages: 1
Réponse : 1 / Vues : 3 307
Philippe
« Le décret n° 2015-125 du 5 février 2015 « relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l'apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique » est désormais rentré en application. Cela fait quoi, en pratique ? Regardons un peu ce qui se passe pour un site Web censuré.
Prenons l'exemple de http://islamic-news.info/ dont, je suppose, d'après son nom de domaine, qu'il s'agit d'un site de propagande intégriste (je n'ai pas pu le consulter, pas à cause de la censure française, facile à contourner, mais parce qu'il semble en panne). Si on essaie de le consulter depuis un FAI français typique, on obtient à la place une page Web avec une main rouge menaçante et un texte TOUT EN MAJUSCULES « VOUS AVEZ ÉTÉ REDIRIGÉ VERS CE SITE OFFICIEL CAR VOTRE ORDINATEUR ALLAIT SE CONNECTER À UNE PAGE DONT LE CONTENU PROVOQUE À DES ACTES DE TERRORISME OU FAIT PUBLIQUEMENT L'APOLOGIE D'ACTES DE TERRORISME ». Comment est-ce réalisé ?
Les différents textes officiels sur ces mesures de censure n'imposaient pas aux FAI une technique particulière mais les conditions de mise en œuvre (liste noire de noms de domaine, obligation de rediriger vers « CE SITE OFFICIEL » situé au ministère de l'Intérieur), fait que la solution la plus simple est de mettre en place un résolveur DNS menteur.
[...]
Est-ce bien ce trompeur 90.85.16.52 qui est le site officiel servant la « main rouge » ? Testons-le en HTTP. Il y a plusieurs méthodes pour cela mais j'ai utilisé une des plus simples, mettre dans mon fichier local /etc/hosts l'adresse de ce site pour un nom bidon :
% cat /etc/hosts
...
90.85.16.52 front-liberation-potamocheres.example
Et, en visitant http://front-liberation-potamocheres.example/, j'ai bien la page à la main rouge.
Notez que cela veut dire que le ministère de l'Intérieur est au courant de mon intérêt pour cet animal : avec ce système, l'utilisateur est redirigé, à son insu, vers un serveur Web du ministère de l'intérieur, qui aura accès, via le champ HTTP Host: (RFC 7230, section 5.4) au nom originellement demandé. Lourde responsabilité pour le FAI qui, en configurant son résolveur DNS pour rediriger, fait cette redirection, il envoie ses clients vers un site qui saura si on aime les potamochères, le djihad ou les photos pédophiles.
Notez que la CNIL avait formulé un avis sur ce point, et noté que « [les textes officiels ne] permet ni la collecte ni l'exploitation, par l'OCLCTIC, des données de connexion des internautes qui seraient redirigés vers la page d'information du ministère de l'intérieur. Elle [la CNIL] rappelle que si des traitements de données à caractère personnel spécifiques étaient alimentés par ces données, ils devraient être soumis à l'examen préalable de la commission. » Bref, la CNIL ne se mouille pas. Pas d'avis concret, du genre « l'adresse IP source et le champ Host: ne devront pas être journalisés", ce qui serait la moindre des choses, et laisserait quand même le minstère de l'Intérieur faire des statistiques sur le nombre de visiteurs des sites censurés. (Note technique au passage, si vous utilisez Apache, la directive pour journaliser l'adresse IP source est %h - ou %a - et celle pour le champ Host: est %v. Ce sont ces deux directives qu'il faudrait retirer du LogFormat du ministère pour ne pas fliquer les utilisateurs. Cf. la documentation d'Apache.)
[...]
Continuons avec d'autres détails techniques : le « SITE OFFICIEL » est sans doute en place depuis très peu de temps car DNSDB (qui n'est pas temps réel, loin de là), n'a pas encore vu de noms se résolvant en 90.85.16.52 (DNSDB permet de chercher par le contenu de la réponse DNS, pas juste par le nom demandé).
[...]
% python resolve-name.py --country=FR islamic-news.info
Measurement #1895736 for islamic-news.info/A uses 498 probes
[] : 22 occurrences
[90.85.16.52] : 346 occurrences
[37.59.14.72] : 403 occurrences
Test done at 2015-03-15T15:39:15Z
À peu près la moitié des sondes Atlas en France voient la censure. Notez que les sondes Atlas ne sont pas du tout représentatives : installées par des volontaires, sans doute dans des réseaux plus geek que la moyenne, elles ont plus de chances d'avoir un résolveur local non menteur (voir plus loin, pour cette solution anti-censure).
[...]
Et DNSSEC ? Est-ce qu'il résoudrait ce problème ? Non, car la validation est faite dans le résolveur. S'il est menteur, le fait de valider ne changera rien. Seul avantage, les gens qui valident avec DNSSEC ne verront pas la page d'information du ministère de l'intérieur (et ne seront pas enregistrés par ledit ministère) puisque le mensonge dans le résolveur entrainera une erreur (SERVFAIL : Server Failure) sur les domaines signés (ce qui n'est de toute façon pas le cas de islamic-news.info).
Quelles solutions sont disponibles si on veut quand même voir la propagande djihadiste ? La seule solution propre techniquement est d'avoir son propre résolveur DNS. En attendant, on peut utiliser un résolveur non-menteur (en supposant qu'il ne soit pas détourné et que le port 53 ne soit pas filtré). Dans tous les cas, il est sûr que la stabilité et la sécurité de l'Internet vont en souffrir. »
Réponse : 1 / Vues : 3 307
Pages: 1