Titre: Le filtrage administratif, encore, vraiment ? Auteur: Benjamin Bayart Date: Thu 11 Sep 2014 13:37:00 +0200 Lien: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment Depuis presque 20 ans, l'envie d'effectuer un filtrage sur décision administrative d'Internet revient régulièrement chez nos politiques. On a tellement souvent dû expliquer pourquoi c'est une mauvaise idée, pourquoi ça ne résout rien, et pourquoi ça ajoute des problèmes au lieu d'en enlever, qu'on a un peu l'impression de radoter. Mais puisque nos politiques radotent, imitons-les. On rappellera donc que le filtrage en cœur de réseau marche mal, que la censure sur décision secrète de la police n'est pas une bonne idée, et que de donner de tels pouvoirs aux opérateurs sans contrôle est une idiotie. Encore une fois. C'est devenu un rituel. En moyenne deux ou trois fois par législature, le gouvernement veut filtrer Internet pour résoudre un problème urgent, qui existe en général depuis à peu près cent ans, mais qu'on va résoudre en filtrant le réseau. La parure change à chaque fois, en bouclant sur trois thèmes habituels, avec quelques variantes. Les thèmes récurrents sont : la pédo-pornographie, le néo-nazisme, et le terrorisme. Le site http://pedonazi.com[1], issu d'une campagne contre une des lois précédentes sur le sujet, date de 2004. Ça ne va rajeunir personne. L'idée est toujours la même, il s'agit de filtrer Internet sur décision de la police, sans passer par une décision judiciaire contradictoire, en contradiction brutale avec tous les principes démocratiques. Le prétexte est toujours le même: sur Internet, c'est beaucoup plus grave que dans la vraie vie. Normalement, si les cycles sont respectés, juste après le terrorisme, on reparlera de filtrer les sites qui contreviennent aux droits de propriété intellectuelle^[1[2]]. Voici donc, une fois de plus encore, quelques raisons de penser que « le projet de loi Cazeneuve, caypôbien ». Mauvais usage du réseau Le rôle premier du réseau est de transporter, le plus rapidement possible, et si possible de manière efficace, du contenu d'un émetteur à un récepteur. Bien entendu, quand on souhaite censurer un contenu, le réseau semble un bon moyen de l'intercepter. Pour un abonné donné à un instant donné, tout le contenu passe par son FAI. En faisant faire le filtrage par les fournisseurs d'accès qui sont relativement peu nombreux, on peut ainsi censurer ce que consulte la totalité de la population. Mais cette impression est trompeuse. En pratique, soit on fait un filtrage véritablement intelligent, et alors on a complètement changé la nature du réseau, soit on fait un filtrage approximatif, et alors la raquette est pleine de trous dans tous les sens. Pour le moment, à chaque fois qu'un gouvernement s'est intéressé au fait de filtrer du contenu, c'est le filtrage approximatif qui a été retenu. Et donc à chaque fois, le système mis en place a une quantité d'effets secondaires pervers bien supérieurs aux effets de censure escomptés. Les méthodes habituellement retenues sont simples: le filtrage par nom de domaine, le filtrage par adresse IP (dite filtrage par le routage) ou le filtrage BGP+Proxy (comme les britanniques). Le filtrage par nom de domaine a déjà montré ses limites: pour un site mutualisé^[2[3]], le fait de filtrer le domaine filtre *tous* les sites mutualisés. Le cas s'est déjà produit. Le plus visible récemment est celui d'un serveur américain: 84.000 sites dans le noir pour une page incriminée^[3[4]]. Beau score. Et pour un site vraiment incriminé, acheter un nom de domaine... voyons... 12 euros, 12 minutes. Non seulement c'est dangereux, mais en plus ça ne sert à rien. Le filtre par l'adresse IP apporte des résultats similaires. Le principe est différent: un routeur du ministère de l'intérieur annonce aux opérateurs nationaux des routes spécifiques pour les adresses IP qu'il faut filtrer, ce qui rend ces adresses invisibles sur les réseaux concernés. Ici, le filtrage est beaucoup plus difficile à contourner : acheter simplement un domaine ne fait pas l'affaire. Bon, il suffit d'acheter un VPN qui ressorte ailleurs, même pas forcément loin, pour permettre de contourner le filtrage. Par exemple en prenant un VPN qui sorte ailleurs qu'en France, ou encore plus simplement qui ressorte en France sur un opérateur qui n'est pas concerné par le filtrage^[4[5] ]. Le filtrage hybride, entre routage et filtrage des URLs est le plus efficace. Le principe est assez simple: le routeur du ministère de l'intérieur annonce les adresses des sites à filtrer comme étant les siennes. Il attire donc à lui le trafic de ces adresses IP. Ensuite, le ministère place un proxy filtrant sur l'adresse qui laisse passer tout le trafic et intercepte les pages qu'il faut retirer. C'est la méthode qui a été utilisée en Grande Bretagne pour filtrer des sites. L'effet ? Quand une image sur Wikipedia fait grogner les associations de bienpensance locales, tout le trafic de Wikipedia est re-routé par le ministère de l'intérieur local. Et Wikipedia voyant tant de trafic venir d'un seul endroit le détecte comme une attaque, bref, tout ce qu'on veut sauf discret. Vouloir faire du filtrage sur le réseau, c'est une mauvaise idée, parce que le réseau n'est pas fait pour ça. Il faudrait en changer complètement la structure et les principes, mettre des machines beaucoup plus puissantes à chaque nœud du routage pour que ces machines puissent filtrer. Mais ça revient à exiger des investissements délirants des opérateurs, ou à prendre artificiellement du retard dans la croissance du réseau. C'est typiquement l'approche de l'ASI dans la Tunisie de l'époque Ben Ali: un réseau entièrement centralisé, sous contrôle du gouvernement, pour être filtré et espionné en permanence. Cela suppose de perdre quelques points de croissance en prenant du retard dans les nouvelles technologies, et ça suppose un État totalitaire. Délicieux. Censure sur décision secrète Le filtrage sur le réseau pose par principe un problème. Soit il y a un seul opérateur, contrôlé par le gouvernement, qui se charge de censurer, et en pratique une partie de cet opérateur est suffisamment enchevêtrée avec les services de police (secrète?) chargés de la censure. Soit le réseau est tenu par une multiplicité d'opérateurs de toutes tailles. Puisque l'Europe libérale nous interdit cette solution radicale, on devrait rester en France dans un système au moins partiellement ouvert. Dans ce second cas, soit on ne s'appuie que sur les quelques opérateurs majeurs pour faire le filtrage (SFR-Numéricable, Orange, Free, Bouygues), et alors il y a une rupture d'égalité devant la loi. En effet, les 1200 autres opérateurs, PME, TPE, associations, et autres, ne seront pas traités de la même manière, et pourraient se voir reprocher de ne pas appliquer la loi. Soit le filtrage est vraiment appliqué à tout le monde. Et dans ce cas-là, la liste des sites à filtrer ne restera pas secrète plus de quelques heures. Dans la mesure où il est peu probable que la police souhaite publier un annuaire, estampillé République Française, des sites les pires possibles en matière d'apologie du terrorisme ou de diffusion d'images pédo-pornographiques^ [5[6]], la liste des sites à censurer devrait donc rester secrète. On s'oriente donc probablement vers une censure sur décision secrète d'une police administrative, appliquée en secret par une poignée d'opérateurs choisis comme légitimes par le pouvoir en place. Autrefois, on appelait ça le ministère de l'information. Un grand pouvoir, sans responsabilité Comme chacun sait, un grand pouvoir entraîne de grandes responsabilités, si on en croit la célèbre maxime. Le grand pouvoir, en l'occurrence, est entre les mains des opérateurs, et entre les mains de l'administration chargée du filtrage. Pour l'irresponsabilité de donner des pouvoirs qui relèvent du judiciaire à une administration de l'exécutif, on peut utilement relire Montesquieu, ou, plus moderne, les analyses de La Quadrature^[6[7]]^[7[8]]. Pour ce qui concerne les opérateurs, s'ils ont l'obligation de mettre en place des outils de filtrage, en période de disette budgétaire, on peut être certain que l'État ne payera pas pour ça, et que donc les outils se mettront en place aux frais des opérateurs. S'ils sont obligés de mettre en place des outils à leur frais, il va être délicat de leur interdire de s'en servir pour leur usage propre. Ils auront donc, de fait, une autorisation tacite du gouvernement pour filtrer sur leur réseau ce qu'ils ont envie de filtrer, tant qu'ils n'en abusent pas de manière ouverte franche et massive. Un peu comme le policier et sa matraque, tant qu'il n'abuse que modérément, tout va bien. Nous, nous militons pour la défense de la neutralité du net. C'est-à-dire pour qu'on interdise fermement aux FAIs de filtrer ce qu'ils ont envie. Nous considérons que les données qui transitent sur les réseaux n'appartiennent pas aux opérateurs, et qu'ils n'ont pas à toucher aux octets des autres. L'idée qu'on donne un blanc-seing aux opérateurs pour filtrer ce qu'ils veulent, forcément, ça ne peut que nous déplaire. La confiance dans les intermédiaires techniques Dans la construction de la société numérique, la confiance dans les intermédiaires techniques est un élément central. L'absence de cette confiance est un des problèmes majeurs que nous devons résoudre en ce moment. Savoir si le système ne marche pas parce qu'il est temporairement en panne, ou parce qu'il est volontairement saboté, c'est quelque chose d'important. Pour le moment, on peut distinguer deux approches très classiques des outils numériques. Ceux qui sont méfiants, qui n'aiment pas ce que font les ordinateurs, qui sont en quelque sorte réfractaires aux technologies du numérique. Le fait de savoir qu'en utilisant un ordinateur ils donnent un pouvoir de contrôle au gouvernement ne va pas calmer leur crainte, et ne peut qu'alimenter toutes les théories du complot. La seconde approche est celle des gens qui, souvent par ignorance ou par paresse, font une confiance aveugle aux outils, au point de se faire déposséder de leurs données personnelles sans même s'en rendre compte. Ils ont souvent une approche très naïve de l'informatique et des techniques du numérique. Le fait d'ajouter une part mystérieuse et peu compréhensible de contrôle gouvernemental ne va pas aider. Soit parce que, du coup, si quelque chose est accessible ce sera considéré comme validé par le pouvoir, soit parce qu'on va renforcer toutes les idées de contrôles et, là encore, de théorie du complot. Le rôle des pouvoirs publics devrait être d'aider à améliorer la confiance des citoyens dans le monde numérique en train de se construire, d'aider à empêcher les abus des intermédiaires techniques tout puissants. L'idée de donner un pouvoir de censure à une police administrative, même si c'est habillé des meilleures intentions du monde, est une idée mortifère pour la confiance. Mais nos politiques sont désormais tellement coupés de toute forme de réalité qu'il y a fort à parier qu'ils ne sont plus à ça près. Notes [1[9]] Par habitude, les ayants droits arrivent toujours à caser dans le débat que si on le fait pour XXX, on peut aussi le faire pour le téléchargement et les zodieux pirates qui tuent les artistes avec leurs modems. [2[10]] C'est le cas par exemple de tout ce qui ressemble aux pages perso, aux plateformes de blogs, aux skyblogs, etc. [3[11]] Voire l'article de Numerama sur le sujet Les autorités américaines confirment avoir bloqué par erreur 84.000 sites[12] [4[13]] C'est par exemple le cas des décisions de filtrage sur les sites de jeux en ligne. Elles ne sont imposées qu'à quelques grands opérateurs nationaux. Du coup, les gens qui utilisent un VPN fourni par FDN ne subissent pas ce filtrage. [5[14]] Le gouvernement explique en effet qu'il va utiliser les mêmes méthodes de filtrage pour le pédo-porn, prévu par la LOPPSI. Filtrage auquel les députés PS de l'époque s'étaient vigoureusement opposés, mais ils l'ont oublié depuis. [6[15]] Voir le site de campagne de la Quadrature du Net sur le projet de loi : http://presumes-terroristes.fr/[16] [7[17]] Voir également l'analyse de fond de Philippe Aigrain, co-fondateur de la Quadrature du Net, et membre de la Commission Parlementaire sur le Numérique: Une démarche dangereuse déclinée dans de nombreux articles[18] Liens: [1]: http://pedonazi.com (lien) [2]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#pnote-71-1 (lien) [3]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#pnote-71-2 (lien) [4]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#pnote-71-3 (lien) [5]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#pnote-71-4 (lien) [6]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#pnote-71-5 (lien) [7]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#pnote-71-6 (lien) [8]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#pnote-71-7 (lien) [9]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#rev-pnote-71-1 (lien) [10]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#rev-pnote-71-2 (lien) [11]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#rev-pnote-71-3 (lien) [12]: http://www.numerama.com/magazine/18123-les-autorites-americaines-confirment-avoir-bloque-par-erreur-84-000-sites.html (lien) [13]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#rev-pnote-71-4 (lien) [14]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#rev-pnote-71-5 (lien) [15]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#rev-pnote-71-6 (lien) [16]: http://presumes-terroristes.fr/ (lien) [17]: http://blog.fdn.fr/?post/2014/09/07/pjl-cazeneuve-le-filtrage-administratif-encore-vraiment#rev-pnote-71-7 (lien) [18]: http://blogs.mediapart.fr/edition/libres-enfants-du-numerique/article/240814/projet-de-loi-terrorisme-une-demarche-dangereuse-declinee-dans-de-nombre (lien)