1 points par GN⁺ 2024-06-16 | 3 commentaires | Partager sur WhatsApp
  • Le diffuseur français Canal+ étend le blocage du streaming sportif illégal des FAI aux fournisseurs de DNS publics comme Google, Cloudflare et Cisco
  • Dans deux décisions concernant la Premier League et la Champions League, le tribunal judiciaire de Paris a ordonné aux trois entreprises de bloquer l’accès des utilisateurs français à environ 117 domaines de piratage
  • Le blocage existant par les FAI consistait à modifier les réponses DNS d’Orange, SFR, OutreMer Télécom, Free et Bouygues Télécom, et certains utilisateurs le contournaient via des DNS externes comme 1.1.1.1 ou 8.8.8.8
  • L’avocat de Google, à partir des chiffres d’Arcom, a calculé que les utilisateurs concernés par le blocage des DNS publics représenteraient 0,084 % des internautes français, et que ceux qui abandonneraient réellement seraient environ 800
  • Le tribunal a estimé que, indépendamment du nombre d’utilisateurs contournant le blocage ou de la facilité à changer de DNS, Canal+ pouvait demander une injonction de blocage pour les retransmissions dont elle détient les droits, et Google prévoit de s’y conformer

Canal+ étend le blocage du streaming sportif illégal

  • En France, des mesures antipiratage similaires au blocage de sites sont inscrites dans la loi, et Canal+ les utilise activement
  • Détentrice de droits sportifs payants, Canal+ estime que certains spectateurs utilisent des sources piratées moins chères ou gratuites
  • Jusqu’ici, elle demandait aux FAI français de bloquer l’accès aux sites de streaming sportif illégaux
    • Les sites visés incluaient notamment Footybite.co, Streamcheck.link, SportBay.sx, TVFutbol.info et Catchystream.com

Blocage DNS par les FAI locaux et contournement

  • En 2023, Canal+ a obtenu devant les tribunaux français des décisions imposant à des FAI comme Orange, SFR, OutreMer Télécom, Free et Bouygues Télécom de bloquer l’accès aux sites illégaux
  • Les FAI fournissaient, via leurs propres résolveurs DNS utilisés par leurs clients, une réponse refusant l’accès aux sites visés au lieu d’une réponse normale
  • Certains utilisateurs contournaient le blocage en remplaçant leurs paramètres DNS par des DNS publics externes

Une action en justice visant aussi les fournisseurs de DNS publics

  • En 2023, Canal+ a engagé une action en justice contre Cloudflare, Google et Cisco, en demandant des mesures similaires à celles imposées aux FAI français
  • La manipulation de DNS publics est considérée comme une mesure excessive par de nombreux défenseurs d’Internet, mais les ayants droit peuvent la demander si la loi l’autorise
  • L’article L333-10 du Code du sport français est applicable depuis janvier 2022
    • Il s’applique en cas d’« atteintes graves et répétées » sur des « services de communication au public en ligne » dont l’objectif principal est la diffusion non autorisée de compétitions sportives
    • Les ayants droit peuvent demander « toutes mesures proportionnées » visant à prévenir ou faire cesser l’atteinte, auprès de toute personne susceptible de contribuer à y remédier

Les injonctions du tribunal de Paris et les cibles

  • Le tribunal judiciaire de Paris a rendu le mois dernier deux décisions concernant les matchs de Premier League et la Champions League
  • Les injonctions imposent à Google, Cloudflare et Cisco de mettre en œuvre des mesures de blocage similaires à celles des FAI locaux
  • Afin de protéger les droits de Canal+, les trois entreprises doivent empêcher les internautes français d’accéder via leurs services à environ 117 domaines de piratage
  • La liste visée comprend de nombreux domaines de streaming sportif liés à footybite, hesgoal, redditsoccerstreams, streameast, totalsportek, sportsurge, rojadirecta, entre autres

Les calculs de Google sur l’efficacité du blocage

  • Le média français l’Informé a été le premier à rapporter l’information
  • Sébastien Proust, avocat de Google, a estimé que l’effet du blocage pourrait être limité en s’appuyant sur les chiffres publics de l’autorité publique antipiratage Arcom
  • Le calcul consiste à isoler, parmi l’ensemble des utilisateurs de DNS alternatifs, ceux qui utilisent les sites illégaux liés aux matchs concernés
    • Les utilisateurs combinant VPN et DNS tiers sont exclus, car le blocage DNS serait inefficace pour eux
  • Selon les calculs de Proust, les utilisateurs susceptibles d’être affectés par le blocage DNS de Google, Cloudflare et Cisco représentent 0,084 % de l’ensemble des internautes français
  • Dans un sondage récent, 2 % des utilisateurs confrontés à un blocage abandonnaient sans chercher un autre moyen de contournement
    • 2 % de 0,084 % représentent 0,00168 % de l’ensemble des internautes
    • À l’échelle de la France, cela correspond à environ 800 personnes

La position du tribunal et les questions restantes

  • Le tribunal de Paris a jugé que le nombre d’utilisateurs accédant aux sites via des DNS alternatifs et la facilité de changer de DNS n’étaient pas déterminants
  • Canal+ détient les droits des retransmissions concernées et dispose, si elle le souhaite, du droit légal de demander une injonction de blocage
  • Les fournisseurs de DNS soutenaient que leurs services n’entraient pas dans le champ d’application de la loi, mais le tribunal n’a pas retenu cet argument
  • Google prévoit de se conformer à l’injonction
    • Dans l’affaire initiale de 2023, elle avait déjà dû déréférencer les domaines concernés des résultats de recherche en vertu de la même loi
  • Les utilisateurs qui contournaient les blocages existants via des DNS alternatifs se retrouveront de nouveau face à un blocage
  • Comme ce nouveau blocage reste aussi facile à contourner que les précédents, la question demeure de savoir quelles mesures Canal+ demandera ensuite, et à qui

3 commentaires

 
joyfui 2024-06-17

Ils vont encore plus loin que chez nous. Mais j’imagine qu’ils n’iront pas jusqu’à inspecter directement les paquets comme chez nous.

 
unsure4000 2024-06-17

Je pense qu’ils se contentent de lever le voile sans vraiment bloquer... Que ce soit en Orient ou en Occident, la censure se vaut plus ou moins partout....

 
GN⁺ 2024-06-16
Avis sur Hacker News
  • Il y a un peu plus de dix ans, de nombreuses entreprises tech, dont Google, avaient organisé une manifestation de blackout d’Internet contre un projet de loi américain qui aurait exigé des modifications DNS pour lutter contre les atteintes au droit d’auteur.
    Il est intéressant de voir que, lorsque la France applique effectivement une mesure similaire, elles acceptent cette fois de s’y conformer.
    https://en.m.wikipedia.org/wiki/Protests_against_SOPA_and_PI...

    • Au cours des dix dernières années, l’industrie tech est devenue une partie de l’establishment et fait désormais partie des forces de contrôle dominantes.
      À l’époque, le blackout ne tenait pas à la liberté d’expression ni à une posture morale, mais uniquement à une question de contrôle : les entreprises tech ne voulaient pas céder le contrôle qu’elles avaient avant d’avoir consolidé leur position dominante.
      Maintenant qu’elles font partie des élites, elles semblent s’en soucier moins, puisqu’elles ont déjà ce contrôle.
    • C’est pareil dans la façon dont les entreprises tech traitent avec la Chine : elles se couchent facilement, sans grande protestation.
      https://www.nytimes.com/2021/05/17/technology/apple-china-ce...
      Des employés de l’État chinois gèrent physiquement les ordinateurs, Apple a abandonné les technologies de chiffrement qu’elle utilisait dans d’autres régions parce que la Chine ne les autorisait pas, et les clés numériques permettant d’ouvrir les informations stockées sur ces ordinateurs sont elles aussi conservées dans les datacenters protégés.
    • Toutes ces entreprises semblent compromises, et l’empoisonnement DNS est vraiment une très mauvaise idée.
    • Il est difficile de croire à des expressions comme « neutralité du net » ; les MAANG semblent bien plus intéressées par la participation à PRISM, le monopole de l’accès et le choix de qui a le droit de s’exprimer.
      On est plus proche d’un cartel oligopolistique de technocrates à but lucratif.
    • L’idée selon laquelle les atteintes au droit d’auteur mettraient les ayants droit acculés au point de dépendre de bons alimentaires est exagérée.
      La répression du piratage en ligne relève surtout d’un problème de pays développés, voire du « monde zéro », et la vraie concurrence n’est pas tant entre « payer très cher ou pirater » qu’entre « est-ce que je vais me donner la peine de pirater pour regarder ça, ou simplement faire autre chose ».
      Dans de nombreux cas, c’est au contraire du marketing gratuit, avec un effet net positif pour les ayants droit, mais les grands acteurs de marché comme *iaa, *aa, MS ou Elgoog continuent de surréagir même lorsque cela nourrit éternellement leur arbre à argent.
  • Techniquement, Google a géré cela correctement. Ils utilisent le code d’erreur étendu EDE 16, « Censored ».
    https://datatracker.ietf.org/doc/html/rfc8914#name-extended-...
    Le résultat de dig footybite.cc @8.8.8.8 est status: REFUSED, avec EDE: 16 (Censored), et indique que ce domaine figure sur la liste de blocage pour atteinte au droit d’auteur ordonnée par un tribunal français, avec plus de détails à l’adresse https://lumendatabase.org/notices/41606068.

    • C’est intéressant techniquement, mais tant que les navigateurs n’afficheront pas cette erreur à l’utilisateur, presque aucun des utilisateurs concernés ne profitera de cet avantage.
  • C’est amusant qu’ils aient listé les noms de domaine à la fin de l’article. C’est un peu comme quand Google affiche un lien vers la liste retirée au titre du DMCA, ce qui permet de trouver facilement les vrais sites de piratage.

    • Avant, c’était vraiment comme ça, mais désormais « Chilling Effects » a été rebaptisé Lumen Database et il faut fournir une adresse e-mail pour consulter les signalements individuels.
    • Quand l’establishment censure, cela attise la curiosité du public et offre souvent à ces sites leur meilleure publicité.
    • C’est l’effet Streisand.
    • Cela dit, ces domaines ne se résolvent pas via les résolveurs qui se conforment à la mesure, tandis que le lien de transparence peut être ouvert.
  • Le titre original est « Google, Cloudflare & Cisco Will Poison DNS to Stop Piracy Block Circumvention » ; je me demande pourquoi Cloudflare a été le seul mis en avant dans le titre soumis.

    • Même inquiétude. En particulier, le titre HN donne l’impression que Cloudflare a volontairement choisi de faire quelque chose, alors qu’en réalité c’est un tribunal français qui l’a imposé à tous ces acteurs.
    • Cela a été corrigé maintenant, mais omettre l’ordonnance du tribunal induit aussi en erreur.
      Si quelqu’un peut proposer un titre exact et neutre dans la limite de 80 caractères, il pourra être modifié à nouveau.
    • C’est la France qui a ordonné « l’empoisonnement DNS », et ces entreprises américaines ne font que respecter la réglementation locale.
      Le ton de l’article est assez biaisé, et la raison pour laquelle les systèmes DNS/IP sont distribués par pays tient précisément à la souveraineté de chacun d’eux.
      Le ton de l’article donne l’impression que la France porte atteinte à la liberté d’expression ou renverse l’infrastructure d’Internet, alors qu’il s’agit plutôt de l’exercice d’un droit national.
    • Google exploite le serveur DNS public largement utilisé 8.8.8.8, et Cloudflare exploite le serveur DNS public largement utilisé 1.1.1.1.
      C’est probablement pour cela que ces deux entreprises ont été mises en avant.
    • Le titre HN étant limité à 80 caractères, il est probable que l’auteur en ait choisi une pour tenir dans cette limite.
  • La question technique intéressante est de savoir comment ces opérateurs représenteront les entrées DNS interdites dans des protocoles comme DoH.
    Par exemple, lorsqu’un serveur DoH reçoit une requête DNS à laquelle il lui est interdit de répondre honnêtement, il paraît raisonnable de renvoyer HTTP 451 Unavailable for Legal Reasons.

    • Cela casserait les couches et les protocoles. Les codes de statut HTTP utilisés par DoH concernent la signification de la requête DNS elle-même, pas la réponse DNS.
      Par exemple, une réponse NXDOMAIN donne aussi 200, pas 404.
      À noter que Google le gère de la manière « correcte » au sein du protocole DNS lui-même : https://news.ycombinator.com/item?id=40698650
  • Il semble que Google soit le seul fournisseur à avoir explicitement indiqué ici qu’il se conformerait à la décision. Dans ce cas, cibler uniquement Cloudflare est également erroné, et le titre lui-même est inexact
    Un titre conforme au contenu de l’article serait plutôt « French court orders Cloudflare, Google, and Cisco to poison DNS to stop piracy block circumvention », avec éventuellement une précision supplémentaire indiquant que Google a déclaré qu’il s’y conformerait

  • Dans ce genre de situation, je conseille aux personnes à l’aise avec la technique d’essayer de mettre en place leur propre résolveur DNS
    Les quelques millisecondes ajoutées lors du premier accès ont un impact très faible sur l’expérience Internet, et comme la plupart des domaines populaires utilisent eux aussi des réseaux anycast, l’avantage de cache des grands résolveurs partagés diminue d’année en année
    Il ne faut toutefois pas le configurer comme résolveur public : il doit rester accessible uniquement depuis le réseau local ou depuis des adresses en liste blanche

    • Faire tourner son propre résolveur DNS récursif pour contourner un blocage par le FAI n’a pas grand intérêt, sauf si c’est sur un VPS ou équivalent
      Sinon, le FAI peut intercepter les requêtes récursives envoyées par ce résolveur, et si l’objectif est d’empêcher le FAI de connaître l’adresse IP réelle, DNSSEC n’aide pas non plus
    • J’ai été assez surpris quand j’ai configuré un DNS local pour le travail. Tout m’a soudain semblé beaucoup plus réactif
    • https://docs.pi-hole.net/guides/dns/unbound/
  • Personnellement, je n’ai aucun intérêt pour le streaming de matchs de football, mais en voyant cette procédure, je me demande à quel point les 1.1.1.1/9.9.9.9 que j’utilise via https-dns-proxy sont réellement résilients
    Je les utilise parce que je ne fais absolument pas confiance aux branches commerciales des opérateurs télécoms locaux et des monopoles du câble, mais ça me donne l’impression qu’il faudrait que quelqu’un ressuscite ORSN et y ajoute une magie de type arbre de Merkle ou DHT à l’ancienne, cypherpunk, sans cryptomonnaie

    • Il y a déjà des problèmes avec des sites comme archive.is/.vn qui ne fonctionnent pas même avec 1.1.1.1
      C’est dû au fait que l’administrateur de ce site bloque délibérément Cloudflare, mais ce genre de chose arrive déjà
      La vraie solution consiste à faire tourner son propre résolveur DNS récursif ; ce n’est pas totalement destiné aux débutants, mais cela demande à peu près autant de travail qu’une configuration pihole, et du matériel peu puissant suffit
      Pour quelqu’un qui utilise déjà autre chose que le DNS par défaut, ce n’est pas d’un niveau très difficile, d’autant qu’il existe aussi des images préconfigurées
  • https://www.mic.com/articles/85987/turkish-protesters-are-sp...
    Des gouvernements répressifs ont déjà, par le passé, émis des injonctions légales demandant à Google de bloquer l’accès des manifestants à twitter.com, mais Google a toujours refusé
    Donc si Google applique cette nouvelle politique cette fois-ci, ce n’est peut-être pas pour des raisons de légalité, mais parce que la France est un grand marché, donc une question d’argent

    • La France n’est pas un grand marché pour Google
      En 2023, l’ensemble du marché publicitaire français, desktop, mobile, social, etc. compris, représentait environ 5,8 milliards de dollars, tandis que le chiffre d’affaires publicitaire de Google en 2023 dépassait 240 milliards de dollars ; même en captant la totalité des revenus publicitaires français, cela ne représenterait donc que 2,5 % du total
      En réalité, la recherche et le display représentent environ 20 à 25 % des revenus publicitaires en France, et même en supposant que Google détienne 100 % de ce segment, cela ferait environ 1,25 milliard de dollars, soit environ 0,5 % du chiffre d’affaires de Google
      De plus, rien qu’en 2024, la France a infligé 224 millions de dollars d’amendes à Google ; en appliquant une marge bénéficiaire de 25 % à 1,25 milliard de dollars de revenus, le bénéfice serait d’environ 312,5 millions de dollars, dont une part importante disparaîtrait en amendes
      Si la France inflige encore une amende cette année, Google pourrait même perdre de l’argent sur ce marché
    • Le lien ne dit pas que le gouvernement a ordonné à Google de bloquer Twitter
      Si c’était courant, il devrait être facile de trouver une source qui étaye réellement cette affirmation
  • Si un fournisseur de DNS public fait ce genre de choses, sa réputation devrait en pâtir, et les gens ne devraient pas l’utiliser
    On peut aussi le faire soi-même, et si l’on connaît l’IP par une autre source, d’autres méthodes sont possibles, comme l’utilisation directe de l’adresse IP ou le fichier hosts