Le matin du 17 octobre 2016, les sites de Google.fr, Wikipedia.fr et tous les domaines liés à OVH.fr ont été redirigés, pour les clients d’Orange, vers la page du gouvernement qui signale et bloque un site pour apologie du terrorisme. Avant l’été, les jeunes Algériens se sont retrouvés plusieurs jours sans accès à Facebook, Twitter et autres réseaux sociaux parce que le gouvernement avait décidé de couper l’accès à ces sites pour éviter les fuites des sujets du baccalauréat. Dommage collatéral : l’opérateur national avait fait du zèle et s’était retrouver à bloquer… tout le web.
Le 21 octobre 2016, le service DNS Dyn subit une attaque DDoS qui fait tomber tous les sites dont il s’occupe, au rang desquels PayPal, eBay, TheVerge ou encore Spotify ou Yelp. Dans ce cas-là, le souci a lieu entre les serveurs des sites et leur propre serveur DNS que les DNS que vous avez configurés chez vous interrogent. C’est complexe, mais nous allons clarifier tout cela.
Car la question se pose alors : comment peut-on couper Internet ou un site web en particulier ? Nous y avions répondu au cours de l’une des dernières émissions du Petit Journal et nous avions pu montrer, à ce moment-là, qu’il était en fait très simple de bloquer un site web pour un opérateur — et donc pour un gouvernement. Nos confrères de Tout Sur l’Algérie nous avaient confirmé le blocage généralisé et Yann Barthès avait posé une autre question fort intéressante : est-ce que cela peut arriver en France ?
Comment un opérateur peut-il bloquer un site ?
Vous comprendrez très facilement qu’on peut répondre par l’affirmative à la seconde question quand on connaît la réponse à la première. Le cas d’Orange est un cas d’école : le fournisseur d’accès à Internet a, le plus simplement du monde, ajouté Google et les autres sur une liste de blocage des adresses IP, soit une suite de chiffres qui correspondent à l’adresse réelle d’un site web sur le réseau. Concrètement, le nom de domaine www.google.fr correspond à l’adresse IP 216.58.208.227. Quand vous allez sur www.google.fr, un système chez votre FAI (les DNS) se charge de traduire le nom de domaine et de l’amener sur la bonne adresse IP où est hébergé le site.
En tant que FAI, vous configurez donc vos DNS pour que les instructions qui permettent de traduire le « www.google.fr » tapé par l’utilisateur aillent bien vers 216.58.208.227 et amènent donc sur le site de Google. Maintenant, vous décidez de faire en sorte que www.google.fr ramène sur une page blanche ou une page d’avertissement du gouvernement : c’est l’histoire d’une commande dans votre panneau de configuration. De même, vous pouvez rediriger une tentative de connexion à une adresse IP vers une autre page.
Pour résumer, une fois les DNS configurés pour ordonner un blocage, l’utilisateur va les interroger en entrant une adresse qui lui est familière et se retrouver sur le site décidé par l’opérateur. Notez que cette méthode est la moins coûteuse et la plus facile à mettre en place : il existe d’autres méthodes pour bloquer des sites en particulier notamment le blocage dit par DPI, plus efficace, plus difficile à contourner et plus coûteux.
Quoi qu’il en soit, un blocage peut être décidé… ou imposé par une attaque.
Qui peut donner cet ordre ?
C’est là que la question se complique. Les opérateurs nationaux sont évidemment tenus de respecter la loi et mettent par exemple tout en œuvre pour bloquer les sites faisant l’apologie du terrorisme ou les sites pédophiles. D’après les informations d’Orange, c’est le ministère de l’Intérieur qui leur communique une liste d’adresses IP et de noms de domaines à rediriger : le fournisseur d’accès s’exécute.
Dès lors, qu’est-ce qui peut clocher ? Comme ces listes sont renseignées à la main par des ingénieurs et qu’elles ont un impact réel sur l’utilisation du web de millions de Français, on se doute qu’elles sont soigneusement vérifiées avant d’être validées. La version officielle d’Orange sur la panne du 17 octobre dit qu’il s’agit d’une « erreur humaine » qui a été corrigée dans l’heure. C’est en effet une des possibilités qui vient immédiatement à l’esprit.
On peut glisser sans mal de l’erreur à la malveillance à gardant le même schéma à l’esprit : un plaisantin ou un individu qui voulait vraiment nuire a pu glisser ces adresses dans la liste qui aura été mal vérifiée par l’ingénieur en charge d’appliquer les consignes. De tels incidents rappellent à quel point la centralisation des éléments techniques qui font l’Internet d’aujourd’hui est problématique : un engrenage se dévisse et toute la machine déraille. Et c’est encore pire quand il n’y a pas d’ordre, mais qu’un service DNS est perturbé à cause d’une attaque par déni de service : vous ne pouvez pas faire grand chose dans ce cas-là.
Comment retrouver l’accès à un site bloqué sans justification ?
Selon la nature de la « panne » ou de la censure, il existe des moyens de retrouver un accès aux sites bloqués — dans la limite de la loi, qui s’applique aussi, rappelons-le, au web. Le plus évident, et qui a fonctionné pour la panne de Google, Wikipédia et OVH chez Orange, est d’utiliser d’autres DNS. Vous pouvez en effet choisir de ne pas utiliser les DNS mis à disposition par votre opérateur. Cela ne servirait à rien pour la panne de Dyn : le souci est d’une autre nature (le service de DNS étant tombé, les sites qui l’utilisent ne sont plus accessibles… sauf si vous connaissez par cœur leur adresse IP).
Changer ses DNS sur Mac : pour changer vos DNS sur Mac, c’est tout simple : allez dans Réglages / Réseau / Avancé / DNS. Ajoutez ici les DNS que vous souhaitez (liste ci-dessous) en cliquant sur le + en bas à gauche.
Changer ses DNS sur Windows : allez dans Centre Réseau et Partage puis Changer les paramètres de la carte. Faites un clic droit sur votre connexion puis Propriétés. Sélectionnez Protocole Internet Version 4 et remplissez en bas les cases Serveur DNS préféré et Serveur DNS auxiliaire.
Notez que vous pouvez également changer les DNS IPv6.
Quel serveur DNS utiliser ?
Selon vos préférences, vous pouvez sans aucun souci utiliser l’un de ces serveur DNS :
- Google : 8.8.8.8 / 8.8.4.4
- OpenDNS (Cisco) : 208.67.222.222 / 208.67.220.220
- FDN : 80.67.169.12 / 80.67.169.40
- OpenNic : 193.183.98.154 / 5.9.49.12 / 87.98.175.85
Dans d’autres cas, qui relèvent plus de la censure, la meilleure solution reste d’utiliser un VPN. La configuration est souvent plus complexe et les services sont payants, mais cela vaut souvent le coût. Nous avons fait un petit guide dans lequel nous avons testé un grand nombre de ces offres.
Enfin, si le souci ne concerne qu’un site que vous fréquentez souvent, profitez de l’occasion pour explorer les alternatives : dans le cas des moteurs de recherche, il existe par exemple des tas de concurrents à Google qui ont leurs avantages et leurs inconvénients.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !