Censure et surveillance de l'Internet Français, main rouge sur Google, Wikipedia et OVH : et après ?

Lundi dernier, les clients du FAI Orange, lorsqu'ils consultaient Google, Wikipedia ou OVH étaient redirigés sur le site du ministère de l'Intérieur, si tant est qu'ils utilisaient les résolveurs DNS de Orange.

On le dira jamais assez, la censure c'est sale, la surveillance aussi. Il en va de même pour les méthodes de blocage d'accès à un service sur Internet (dans le cas présent, ce blocage peut aussi empêcher d'envoyer des mails à des gens hébergés sur les domaines de google, wikipedia ou ovh).

Un résolveur DNS, c'est un serveur. C'est grâce à lui que votre ordinateur sait comment appeler Wikipedia quand vous demandez wikipedia.org. Pour réussir cette prouesse, le serveur DNS va donner à votre ordinateur l'adresse IP de Wikipedia quand votre ordinateur lui demande "wikipedia.org".

En temps normal, tous les résolveurs DNS doivent répondre de la même façon : le résolveur DNS ne doit pas prendre de décision sur la réponse à renvoyer : seul le propriétaire du site consulté doit avoir la main là dessus.

Le blocage actuel est réalisé par votre FAI grâce à un résolveur DNS qui ment à votre ordinateur en indiquant l'adresse IP du ministère de l'Intérieur (minint) quand vous demandez l'accès à un site considéré comme dangereux par le Gouvernement (ou par votre FAI : la liste des sites bloqués n'étant pas public, il est possible d'y ajouter www.jacquieetmichel.net si votre FAI trouve ça drôle)

C'est donc en ajoutant à Internet un équipement défaillant (résolveur DNS menteur) qu'il a été possible de transférer le trafic vers Google, Wikipedia et OVH vers le site du ministère de l'Intérieur lundi dernier.

Quand vous êtes redirigés vers le site du minint, ils sont bon princes de vous afficher la main rouge le point d'exclamation rouge (pardon) :

Capture d'écran de la page en question

Oui ils sont bon princes.

Combien de temps se retiendront-ils de mettre en place un bon gros proxy qui laissera aux gens l'accès aux site de manière transparente tout en pouvant savoir qui voit quoi ? Ouais les boites noires du pauvre en somme.

On pourrait même aller jusqu'à altérer le contenu des sites visés, trop génial.

En soit, rien ne les empêche de le faire : quand votre FAI vous ment en changeant la réponse de son résolveur DNS, votre navigateur ne voit aucune différence comparé à une réponse vraie, légitime, de confiance.

Par exemple, prenons cet article : http://wikipedia.org/wiki/Censure (je m'autorise l'approximation du nom d'hôte : je ne sais pas quel est le domaine de Wikipedia qui était visé) :

Lundi dernier, la seule chose qui changeait c'est que quand vous demandiez wikipedia.org, vous ne tombiez pas sur la machine de wikipedia mais sur une machine du ministère de l'Intérieur.

Ce changement est complètement invisible pour l'utilisateur : votre navigateur affichait bien "http://wikipedia.org/wiki/Censure" dans sa barre d'adresse.

Techniquement, ca veut dire que la requête HTTP suivante était envoyée au ministère :

Host: wikipedia.org GET /wiki/Censure

A partir de là, le serveur du ministère de l'intérieur répond "bêtement" avec la main rouge.

Techniquement, il est complètement possible de renvoyer autre chose qu'une main rouge à l'utilisateur : on peut très bien lui retourner le contenu original (ou modifié) de la page "/wiki/Censure" de Wikipedia, tout en faisant un détour par le minint.

Il existe des techniques pouvant limiter les dégâts :

  • coté serveur (DNSSEC, certificate pining, ...), mais qui les implémente ? Réponse : vraiment pas grand monde.
  • de votre coté vous devriez changer de résolveur DNS pour en utiliser un de confiance (indice : clairement pas celui de votre FAI), vous devriez également utiliser tor.

Nextinpact a d'ailleurs publié un super article faisant le tour de l'état de l'art en la matière et expose les problématiques en présence.

Internet est donc cassé (qui en doutait ?), c'est un exemple de plus de la mainmise de certains sur cet outil symbole de notre liberté d'expression et pourtant : who cares¹ ?

Sous prétexte de lutte contre la fraude ou le terrorisme, nos communications peuvent être épiées et altérées par un État.

¹ Perso, j'ai rien entendu sur les quelques chaines de radio-france que j'ai exprès lancé exprès, juste-pour-voir™.