Est-il possible qu’Orange ait bloqué les visites vers Google et Wikipedia et affiché qu’il s’agissait de sites terroristes, uniquement par « erreur humaine », comme l’assure l’opérateur ?

Mise à jour : selon un mail interne d’Orange publié par Mac Génération, une erreur aurait été commise lors de l’ajout du domaine equals.cineday.orange.fr sur la zone Orange.fr du serveur DNS de l’opérateur. « Pour une raison encore indéterminée, un ancien fichier de test a été intégré à tort lors de la phase de blacklistage sur les serveurs DNS, ce qui a provoqué un blocage de certaines URL. Les clients qui ont tentés d’accéder à l’un de ces sites entre 09h42 et 10h30, ont récupéré un mauvais fichier DNS. L’impact technique est résolu à 10h30 suite à la réalisation du retour arrière de l’opération par PEA : cette action consistait à la remise en production d’un fichier DNS datant du 12/10 sur l’ensemble des serveurs de la plateforme », dit le message interne.

Lundi matin, les clients Orange qui utilisaient leur accès à Internet fixe ou mobile étaient redirigés vers la page du ministère de l’Intérieur dédiée aux sites bloqués pour apologie du terrorisme, lorsqu’ils tentaient d’accéder à Google, Wikipédia ou OVH. Pour expliquer une telle bévue, inédite, Orange a rapidement fait savoir dans sa communication officielle qu’il s’agissait d’une « erreur humaine ».

« Suite à une erreur humaine lors d’une opération technique sur un serveur, nos clients ont pu rencontrer des difficultés à se connecter au site google.fr et wikipedia.fr et se voir reroutés vers un message du ministère de l’intérieur. L’incident a duré environ 1h et l’accès aux sites est en voie de rétablissement », pouvait-on ainsi lire sur les pages d’aide de l’opérateur. Le service presse d’Orange livre la même explication.

Pourtant selon nos informations, l’explication officielle suscite pour le moins l’interrogation au sein-même des équipes d’Orange. L’opérateur, qui a immédiatement créé une cellule de crise lundi matin, a bien envisagé l’hypothèse d’un piratage externe ou d’un acte volontaire de malveillance. Car « Il est impossible de faire une telle erreur, ou alors il faut être très bête et endormi », s’étonne auprès de Numerama un bon connaisseur des infrastructures techniques chez Orange. « Officiellement c’est une erreur humaine, mais nous faisons face à un blocage complet pour avoir plus d’informations ».

https://twitter.com/pbeyssac/status/787954035554914304

Pourquoi c’est peu crédible

Lorsque le ministère de l’Intérieur envoie la liste des sites à bloquer aux principaux opérateurs télécoms français, il le fait sous la forme d’un fichier CSV qui comprend quatre colonnes. La première est une référence de dossier, la deuxième est le nom de domaine et les deux suivantes sont les adresses IP vers lesquelles diriger les utilisateurs, selon que le site est bloqué pour apologie du terrorisme, pédopornographie, jeux d’argent illicites ou d’autres motifs.

pharos2-csv

Capture d’écran d’un fichier CSV transmis par le ministère de l’Intérieur avec une liste de noms de domaine à bloquer.

L’opérateur télécoms qui traite le fichier du ministère doit donc prendre chacun des noms de domaine qui figure dans la colonne centrale et modifier l’enregistrement DNS dans ses serveurs pour que celui-ci pointe vers l’adresse IP figurant sur la colonne C. Il n’y a aucune place au hasard ni, a priori, à l’erreur. Si le traitement est automatique, un script détecte les nouvelles entrées et modifie les DNS du nom de domaine de la colonne B avec l’adresse IP indiquée.

Ce matin, c’est l’adresse IP 90.85.16.52 vers laquelle ont été redirigés les domaines Google.fr, fr.wikipedia.org et OVH.com. Cette adresse 90.85.16.52 héberge le serveur du ministère de l’Intérieur qui affiche les raisons du blocage — en l’espèce l’apologie du terrorisme — et enregistre les adresses IP de ses visiteurs, officiellement à des fins purement statistiques.

Cette adresse IP n’est pas une adresse IP générique pour tous les blocages opérés par Orange mais bien une adresse spécifique renseignée par le ministère de l’Intérieur.

https://twitter.com/lesExegetes/status/787952922386636801

Pour toucher ces trois noms de domaine, il faudrait donc que « l’erreur humaine » ait consisté à aller par inadvertance modifier les enregistrements de ces trois domaines et de ces trois domaines seulement pour imposer qu’ils pointent désormais vers une adresse spécifique, 90.85.16.52. Or personne ne voit par quels concours de circonstances une telle erreur est possible.

Un piratage ?

L’hypothèse la plus vraisemblable, démentie par Orange, est donc qu’il s’agisse davantage d’un acte de malveillance réalisé par un employé de l’opérateur ou avec plus de difficultés par une personne externe. De sources internes, les services Orange auraient simplement inséré le fichier CSV fourni dans leurs systèmes, sans aucune modification, ce qui laisserait entendre une erreur ou une malveillance étant intervenue plutôt du côté du gouvernement.

On peut imaginer que quelqu’un ait voulu dénoncer le caractère arbitraire des blocages décidés par le seul ministère de l’Intérieur ou plus simplement « troller » le gouvernement français ou les trois organisations en questions.

Les trois noms de domaine choisis assuraient une couverture médiatique évidente à l’opération, puisqu’au moins Google et Wikipédia sont des sites devenus quasiment indispensables aux internautes qui les visitent plusieurs fois par jour. Il s’agit de trois noms de domaine extrêmement populaires en France, soit directement soit pas le biais de redirections discrètes vers des sous-domaines OVH.com.

Il n’y a toutefois à notre connaissance aucune revendication d’un acte de piratage. Et si l’on modifie Wikipédia, Google et OVH, pourquoi ne pas modifier les enregistrements d’autres sites tout aussi importants ou symboliques comme Facebook.com, Twitter.com, LeMonde.fr, Gouvernement.fr, Orange.fr, etc. ? S’il s’agit d’un piratage ou d’un acte malveillant, son périmètre est étonnant.

Il est probable, malheureusement, que le mystère demeure encore longtemps…

https://twitter.com/AdrienneCharmet/status/787940345803923458

(Article mis à jour avec des explications complémentaires de sources internes à Orange)

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.