Comment Internet est-il surveillé ? Filtré ? Censuré ? Ou tout simplement, comment fonctionne-t-il, quand il fonctionne ? Tentons de donner des réponses claires à ces questions complexes.

Beaucoup de gouvernements censurent Internet, y compris des gouvernements démocratiques. S’il peut servir à écarter la parole dissidente, le filtrage d’Internet et du web peut également être employé à des fins plus légitimes, pour bloquer par exemple des sites pédopornographiques ou de vente d’armes qu’il aura été impossible de faire fermer par voie légale. La censure — et par extension la surveillance — d’Internet n’est pas compliquée à comprendre quand on sait comment fonctionne Internet en général.

Comment Internet fonctionne ?

Commençons par quelques bases avec une métaphore postale.

On tend à s’imaginer surfer sur Internet comme on naviguerait dans un espace intersidéral libre et sans entraves. En réalité, Internet serait plutôt un ensemble de réseaux autoroutiers privés, reliés par des péages et ponctués de centres de tri postaux. Ce qu’on appelle « navigateur web » (Chrome, Firefox, Vivaldi etc.) envoie des paquets qui s’acheminent jusqu’aux sites web et leur demandent de vous renvoyer la page web par retour de colis. Rappelons que le World Wide Web est la partie d’Internet formée des URL et des documents (pages web) qu’il y a derrière ; en quelque sorte, si Internet est un ensemble de routes, le web correspondrait plutôt aux agglomérations habitées.

Mettons que vous voulez aller sur Twitter. Vous connaissez l’URL (ou adresse web) www.twitter.com, mais vous ne pouvez pas simplement l’écrire sur l’étiquette du paquet que votre navigateur vous a fourni. C’est une adresse lisible pour des humains, mais les machines n’y comprennent rien et ne connaissent que les adresses IP (Internet protocol). Ce serait donc bien d’avoir sous la main un annuaire de toutes les URL avec les adresses IP correspondantes.

Internet est comme un ensemble d’autoroutes privées ponctuées de péages et de centres de tri postaux

Ça tombe bien, cela s’appelle des serveurs DNS (Domain name system). Votre navigateur sait à quelle adresse en contacter un ; et si ce dernier ne connaît pas l’URL en question, il la demande à d’autres serveurs DNS et vous la renvoie au bout du compte. Se connecter sur un site web passe donc en deux temps : c’est seulement après avoir récupéré l’adresse IP qu’on peut faire parvenir ses paquets directement au site voulu.

Qu’il faille envoyer le paquet au serveur DNS ou qu’on puisse déjà l’expédier à Twitter, c’est la même procédure : on remplit le paquet (que ce soit avec une requête au serveur DNS sur l’URL « www.twitter.com », ou une demande de connexion), on écrit sur l’étiquette les adresses IP de l’expéditeur (la vôtre) et du destinataire, et on amène le paquet à la poste. La « poste » est ici votre FAI, c’est-à-dire un fournisseur d’accès à Internet. À moins d’être en roaming à l’étranger, vous avez un abonnement et ne payez pas pour chaque colis en fonction de son poids. Le postier-FAI jette un coup d’œil à l’adresse qui est écrite sur le paquet, puis le laisse entrer sur son réseau privé d’autoroutes pour colis.

chris_blakeley_parcel

CC Chris Blakeley

À partir de là, votre paquet doit se trouver un chemin jusqu’à Twitter. Durant son périple, il transite par des routeurs, des centres de tri où se trouvent des algorithmes d’IP-forwarding. Ceux-ci regardent l’adresse IP écrite sur le paquet : s’ils la connaissent et qu’elle est dans le même réseau, ils estiment en fonction de la taille du paquet quelle est la meilleure route pour l’acheminer à destination, et ce grâce à des tables de routage (sortes de cartes routières). S’il ne connaissent pas l’adresse, ils envoient le paquet sur une route par défaut pour qu’un autre routeur s’en charge.

Chaque réseau autoroutier s’appelle un Autonomous system, ou AS ; un même FAI peut contrôler plusieurs AS, et il arrive que plusieurs FAI se partagent un même AS. Ce n’est pas en restant sur les autoroutes Orange ou Numéricable que votre paquet atteindra Twitter ; il devra changer d’AS pour atteindre des voies de circulation de niveau supérieur. Les péages entre réseaux différents sont une forme spéciale d’AS appelée Internet exchange point, ou IXP. Ce n’est pas à vous de payer pour y entrer : votre FAI est abonné et paye à votre place. Les réseaux suprêmes, de catégorie 1, connectent la totalité du monde ; ils sont constitués d’énormes faisceaux de fibre optique qui traversent les océans.

Une fois réceptionné dans les serveurs de Twitter, le paquet est ouvert et interprété comme une demande de connexion au site. Un échange subséquent de paquets permet d’effectuer ce qu’on appelle la « poignée de main » pour établir la connexion au site. L’échange de paquets est ensuite régulier pour charger les tweets.

Comment peut-on censurer Internet ?

Mettons qu’un gouvernement autoritaire veuille interdire l’accès à Twitter ou bloquer certaines recherches Internet. L’exemple canonique est celui du Grand Firewall de Chine, qui combine toutes les méthodes exposées ci-dessous. Maintenant que vous savez à peu près comment fonctionne Internet, saurez-vous deviner quelques techniques de censure sont possibles ?

Le moyen le plus simple pour surveiller le flux des colis est de se placer à « la poste ». Les autorités peuvent aller voir chaque FAI du pays et leur faire faire appliquer la censure avec divers moyens de coercition. L’enjeu pour chaque pays est le nombre d’AS (les systèmes autonomes) présents sur le territoire. En Chine, l’AS Chinanet-Backbone rassemble en son sein 75% des adresses IP du pays ; en Égypte, trois AS couvrent à eux seuls 92% des adresses IP nationales. La situation est beaucoup plus étalée en Europe et étonnamment en Russie, dont la structure de l’internet a été en partie modelée par la cybercriminalité.

CC James Faulkner

CC James Faulkner

Les techniques concrètes de censure sont les suivantes :

Filtrage d’adresse IP

Les autorités peuvent ordonner aux FAI de bloquer tout trafic voulant se rendre à l’adresse IP de Twitter. Quand le postier-FAI verra l’adresse IP correspondant à Twitter sur votre paquet, il le bloquera et le détruira (ce sera comme si le site était inaccessible) ou, alternativement, le redirigera sur une page du gouvernement indiquant que ledit site a été censuré. Le gouvernement n’a plus qu’à demander à tous les FAI du pays de faire pareil. C’est ce qui s’est passé lors des épreuves du baccalauréat algérien en 2016.

Inspection des paquets et filtrage d’URL

Pourquoi se contenter de lire l’étiquette du colis quand on peut l’ouvrir et regarder dedans ? Si un paquet correspondant à une recherche Internet n’est pas chiffré, les autorités peuvent inspecter automatiquement les termes de la recherche et en bloquer éventuellement le paquet. On peut de même intercepter les paquets se rendant au serveur DNS avec à l’intérieur leur petite URL en clair. Les paquets dont les URL contiennent des mots-clé sensibles, comme « censorship », sont bloqués et n’arrivent jamais au serveur DNS.

Empoisonnement de DNS

Cette technique implique de falsifier les pages de l’annuaire que sont les serveurs DNS du pays. Quand le navigateur envoie ses paquets « www.twitter.com » au serveur DNS, ce dernier ressort une adresse IP bidon et la deuxième salve de paquets, censée arriver sur Twitter, se perd dans les tréfonds d’Internet. Alternativement, il peut ne pas donner de réponse et faire comme si le site n’existait pas.

Scan de la page web

La censure se passe alors dans l’autre sens, quand le site auquel vous vous êtes connecté vous envoie sa page web. La censure ouvre les paquets impliqués et regarde s’il n’y a pas de mots-clés sensibles à l’intérieur. Si c’est le cas, les paquets sont bloqués et la page ne peut pas être affichée.

Réinitialisation de la connexion

Cette technique sert plus de « finition » que de méthode de censure à part entière. Après avoir bloqué des paquets dans un sens ou dans l’autre, il est courant d’envoyer un paquet de réinitialisation à vous et un autre au site web. Le principe est de faire croire à chacun que l’autre ne veut plus se connecter à lui. Vous ne pourrez alors plus vous connecter au site (il refusera vos paquets) pour les minutes voire l’heure qui suivent.

On n’oubliera pas enfin que votre adresse IP est toujours marquée sur la case « expéditeur » des paquets que vous envoyez. Si vous vivez sous un régime autoritaire et que vos paquets enfreignent trop souvent la censure, les autorités peuvent tout à fait vous retrouver et vous demander des comptes.

Comment peut-on contourner la censure d’Internet ?

Concernant le filtrage d’adresse IP, vous voyez peut-être déjà une parade se dessiner : plutôt que d’écrire l’adresse du site censuré sur l’étiquette, là où le FAI pourra le voir, pourquoi ne pas envoyer son paquet vers un site tiers qui s’occupera de l’acheminer à bon port ?

C’est ce qui s’appelle un VPN (Virtual private network). Dès que vous en configurez un sur votre ordinateur, l’étiquette de votre paquet aura automatiquement l’adresse du VPN. Le FAI, n’y voyant pas de problème, le laissera passer. Une fois arrivé dans le réseau privé virtuel, le paquet est déchiffré et ouvert : à l’intérieur se trouve, en plus de sa demande de connexion, la vraie adresse où le paquet doit aller. Basé en des cieux plus cléments que vous, le VPN peut alors réaliser les échanges de paquets à votre place et vous réexpédier la page web dans des colis chiffrés. Votre adresse IP n’étant jamais inscrite sur un paquet échangé avec le site web, votre sécurité n’est normalement pas compromise.

Muraille de Chine

CC Manuel Joseph

Mais si le FAI voit passer l’adresse d’un VPN qu’il connaît, il peut décider de la bloquer ?

Oui. C’est la raison pour laquelle existe Tor. Au lieu de passer par un seul groupe de serveurs bien connus, les paquets sont échangés en de multiples points qui peuvent être absolument n’importe quel ordinateur connecté au réseau, pour peu qu’un relais Tor y soit installé. Cela peut être un Raspberry Pi, un PC de bureau, un serveur, n’importe où sur la planète. Les paquets ainsi ballottés de particulier en particulier deviennent quasiment impossibles à tracer pour les autorités, d’autant que leur contenu est chiffré durant presque tout leur parcours.

Pour terminer, la censure peut également venir des sites web eux-mêmes. Tor étant occasionnellement utilisé à des fins malveillantes, les IP des nœuds de sortie du réseau à l’oignon ont tendance à être blacklistées par des sites désireux d’écarter de potentiels utilisateurs nocifs. Au grand dam de ceux qui, vivant sous la censure, ne peuvent accéder à l’Internet libre autrement que par des intermédiaires.

visuel_fibre_adsl2

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !