Google, Cloudflare et Cisco vont altérer le DNS en France pour empêcher le contournement du streaming sportif illégal
(torrentfreak.com)- Le diffuseur français Canal+ étend le blocage du streaming sportif illégal des FAI aux fournisseurs de DNS publics comme Google, Cloudflare et Cisco
- Dans deux décisions concernant la Premier League et la Champions League, le tribunal judiciaire de Paris a ordonné aux trois entreprises de bloquer l’accès des utilisateurs français à environ 117 domaines de piratage
- Le blocage existant par les FAI consistait à modifier les réponses DNS d’Orange, SFR, OutreMer Télécom, Free et Bouygues Télécom, et certains utilisateurs le contournaient via des DNS externes comme 1.1.1.1 ou 8.8.8.8
- L’avocat de Google, à partir des chiffres d’Arcom, a calculé que les utilisateurs concernés par le blocage des DNS publics représenteraient 0,084 % des internautes français, et que ceux qui abandonneraient réellement seraient environ 800
- Le tribunal a estimé que, indépendamment du nombre d’utilisateurs contournant le blocage ou de la facilité à changer de DNS, Canal+ pouvait demander une injonction de blocage pour les retransmissions dont elle détient les droits, et Google prévoit de s’y conformer
Canal+ étend le blocage du streaming sportif illégal
- En France, des mesures antipiratage similaires au blocage de sites sont inscrites dans la loi, et Canal+ les utilise activement
- Détentrice de droits sportifs payants, Canal+ estime que certains spectateurs utilisent des sources piratées moins chères ou gratuites
- Jusqu’ici, elle demandait aux FAI français de bloquer l’accès aux sites de streaming sportif illégaux
- Les sites visés incluaient notamment Footybite.co, Streamcheck.link, SportBay.sx, TVFutbol.info et Catchystream.com
Blocage DNS par les FAI locaux et contournement
- En 2023, Canal+ a obtenu devant les tribunaux français des décisions imposant à des FAI comme Orange, SFR, OutreMer Télécom, Free et Bouygues Télécom de bloquer l’accès aux sites illégaux
- Les FAI fournissaient, via leurs propres résolveurs DNS utilisés par leurs clients, une réponse refusant l’accès aux sites visés au lieu d’une réponse normale
- Certains utilisateurs contournaient le blocage en remplaçant leurs paramètres DNS par des DNS publics externes
- Cloudflare : 1.1.1.1
- Google : 8.8.8.8
- Cisco : 208.69.38.205
Une action en justice visant aussi les fournisseurs de DNS publics
- En 2023, Canal+ a engagé une action en justice contre Cloudflare, Google et Cisco, en demandant des mesures similaires à celles imposées aux FAI français
- La manipulation de DNS publics est considérée comme une mesure excessive par de nombreux défenseurs d’Internet, mais les ayants droit peuvent la demander si la loi l’autorise
- L’article L333-10 du Code du sport français est applicable depuis janvier 2022
- Il s’applique en cas d’« atteintes graves et répétées » sur des « services de communication au public en ligne » dont l’objectif principal est la diffusion non autorisée de compétitions sportives
- Les ayants droit peuvent demander « toutes mesures proportionnées » visant à prévenir ou faire cesser l’atteinte, auprès de toute personne susceptible de contribuer à y remédier
Les injonctions du tribunal de Paris et les cibles
- Le tribunal judiciaire de Paris a rendu le mois dernier deux décisions concernant les matchs de Premier League et la Champions League
- Les injonctions imposent à Google, Cloudflare et Cisco de mettre en œuvre des mesures de blocage similaires à celles des FAI locaux
- Afin de protéger les droits de Canal+, les trois entreprises doivent empêcher les internautes français d’accéder via leurs services à environ 117 domaines de piratage
- La liste visée comprend de nombreux domaines de streaming sportif liés à footybite, hesgoal, redditsoccerstreams, streameast, totalsportek, sportsurge, rojadirecta, entre autres
Les calculs de Google sur l’efficacité du blocage
- Le média français l’Informé a été le premier à rapporter l’information
- Sébastien Proust, avocat de Google, a estimé que l’effet du blocage pourrait être limité en s’appuyant sur les chiffres publics de l’autorité publique antipiratage Arcom
- Le calcul consiste à isoler, parmi l’ensemble des utilisateurs de DNS alternatifs, ceux qui utilisent les sites illégaux liés aux matchs concernés
- Les utilisateurs combinant VPN et DNS tiers sont exclus, car le blocage DNS serait inefficace pour eux
- Selon les calculs de Proust, les utilisateurs susceptibles d’être affectés par le blocage DNS de Google, Cloudflare et Cisco représentent 0,084 % de l’ensemble des internautes français
- Dans un sondage récent, 2 % des utilisateurs confrontés à un blocage abandonnaient sans chercher un autre moyen de contournement
- 2 % de 0,084 % représentent 0,00168 % de l’ensemble des internautes
- À l’échelle de la France, cela correspond à environ 800 personnes
La position du tribunal et les questions restantes
- Le tribunal de Paris a jugé que le nombre d’utilisateurs accédant aux sites via des DNS alternatifs et la facilité de changer de DNS n’étaient pas déterminants
- Canal+ détient les droits des retransmissions concernées et dispose, si elle le souhaite, du droit légal de demander une injonction de blocage
- Les fournisseurs de DNS soutenaient que leurs services n’entraient pas dans le champ d’application de la loi, mais le tribunal n’a pas retenu cet argument
- Google prévoit de se conformer à l’injonction
- Dans l’affaire initiale de 2023, elle avait déjà dû déréférencer les domaines concernés des résultats de recherche en vertu de la même loi
- Les utilisateurs qui contournaient les blocages existants via des DNS alternatifs se retrouveront de nouveau face à un blocage
- Comme ce nouveau blocage reste aussi facile à contourner que les précédents, la question demeure de savoir quelles mesures Canal+ demandera ensuite, et à qui
3 commentaires
Ils vont encore plus loin que chez nous. Mais j’imagine qu’ils n’iront pas jusqu’à inspecter directement les paquets comme chez nous.
Je pense qu’ils se contentent de lever le voile sans vraiment bloquer... Que ce soit en Orient ou en Occident, la censure se vaut plus ou moins partout....
Avis sur Hacker News
Il y a un peu plus de dix ans, de nombreuses entreprises tech, dont Google, avaient organisé une manifestation de blackout d’Internet contre un projet de loi américain qui aurait exigé des modifications DNS pour lutter contre les atteintes au droit d’auteur.
Il est intéressant de voir que, lorsque la France applique effectivement une mesure similaire, elles acceptent cette fois de s’y conformer.
https://en.m.wikipedia.org/wiki/Protests_against_SOPA_and_PI...
À l’époque, le blackout ne tenait pas à la liberté d’expression ni à une posture morale, mais uniquement à une question de contrôle : les entreprises tech ne voulaient pas céder le contrôle qu’elles avaient avant d’avoir consolidé leur position dominante.
Maintenant qu’elles font partie des élites, elles semblent s’en soucier moins, puisqu’elles ont déjà ce contrôle.
https://www.nytimes.com/2021/05/17/technology/apple-china-ce...
Des employés de l’État chinois gèrent physiquement les ordinateurs, Apple a abandonné les technologies de chiffrement qu’elle utilisait dans d’autres régions parce que la Chine ne les autorisait pas, et les clés numériques permettant d’ouvrir les informations stockées sur ces ordinateurs sont elles aussi conservées dans les datacenters protégés.
On est plus proche d’un cartel oligopolistique de technocrates à but lucratif.
La répression du piratage en ligne relève surtout d’un problème de pays développés, voire du « monde zéro », et la vraie concurrence n’est pas tant entre « payer très cher ou pirater » qu’entre « est-ce que je vais me donner la peine de pirater pour regarder ça, ou simplement faire autre chose ».
Dans de nombreux cas, c’est au contraire du marketing gratuit, avec un effet net positif pour les ayants droit, mais les grands acteurs de marché comme *iaa, *aa, MS ou Elgoog continuent de surréagir même lorsque cela nourrit éternellement leur arbre à argent.
Techniquement, Google a géré cela correctement. Ils utilisent le code d’erreur étendu EDE 16, « Censored ».
https://datatracker.ietf.org/doc/html/rfc8914#name-extended-...
Le résultat de
dig footybite.cc @8.8.8.8eststatus: REFUSED, avecEDE: 16 (Censored), et indique que ce domaine figure sur la liste de blocage pour atteinte au droit d’auteur ordonnée par un tribunal français, avec plus de détails à l’adressehttps://lumendatabase.org/notices/41606068.C’est amusant qu’ils aient listé les noms de domaine à la fin de l’article. C’est un peu comme quand Google affiche un lien vers la liste retirée au titre du DMCA, ce qui permet de trouver facilement les vrais sites de piratage.
Le titre original est « Google, Cloudflare & Cisco Will Poison DNS to Stop Piracy Block Circumvention » ; je me demande pourquoi Cloudflare a été le seul mis en avant dans le titre soumis.
Si quelqu’un peut proposer un titre exact et neutre dans la limite de 80 caractères, il pourra être modifié à nouveau.
Le ton de l’article est assez biaisé, et la raison pour laquelle les systèmes DNS/IP sont distribués par pays tient précisément à la souveraineté de chacun d’eux.
Le ton de l’article donne l’impression que la France porte atteinte à la liberté d’expression ou renverse l’infrastructure d’Internet, alors qu’il s’agit plutôt de l’exercice d’un droit national.
C’est probablement pour cela que ces deux entreprises ont été mises en avant.
La question technique intéressante est de savoir comment ces opérateurs représenteront les entrées DNS interdites dans des protocoles comme DoH.
Par exemple, lorsqu’un serveur DoH reçoit une requête DNS à laquelle il lui est interdit de répondre honnêtement, il paraît raisonnable de renvoyer HTTP 451 Unavailable for Legal Reasons.
Par exemple, une réponse
NXDOMAINdonne aussi200, pas404.À noter que Google le gère de la manière « correcte » au sein du protocole DNS lui-même : https://news.ycombinator.com/item?id=40698650
Il semble que Google soit le seul fournisseur à avoir explicitement indiqué ici qu’il se conformerait à la décision. Dans ce cas, cibler uniquement Cloudflare est également erroné, et le titre lui-même est inexact
Un titre conforme au contenu de l’article serait plutôt « French court orders Cloudflare, Google, and Cisco to poison DNS to stop piracy block circumvention », avec éventuellement une précision supplémentaire indiquant que Google a déclaré qu’il s’y conformerait
Dans ce genre de situation, je conseille aux personnes à l’aise avec la technique d’essayer de mettre en place leur propre résolveur DNS
Les quelques millisecondes ajoutées lors du premier accès ont un impact très faible sur l’expérience Internet, et comme la plupart des domaines populaires utilisent eux aussi des réseaux anycast, l’avantage de cache des grands résolveurs partagés diminue d’année en année
Il ne faut toutefois pas le configurer comme résolveur public : il doit rester accessible uniquement depuis le réseau local ou depuis des adresses en liste blanche
Sinon, le FAI peut intercepter les requêtes récursives envoyées par ce résolveur, et si l’objectif est d’empêcher le FAI de connaître l’adresse IP réelle, DNSSEC n’aide pas non plus
Personnellement, je n’ai aucun intérêt pour le streaming de matchs de football, mais en voyant cette procédure, je me demande à quel point les 1.1.1.1/9.9.9.9 que j’utilise via
https-dns-proxysont réellement résilientsJe les utilise parce que je ne fais absolument pas confiance aux branches commerciales des opérateurs télécoms locaux et des monopoles du câble, mais ça me donne l’impression qu’il faudrait que quelqu’un ressuscite ORSN et y ajoute une magie de type arbre de Merkle ou DHT à l’ancienne, cypherpunk, sans cryptomonnaie
C’est dû au fait que l’administrateur de ce site bloque délibérément Cloudflare, mais ce genre de chose arrive déjà
La vraie solution consiste à faire tourner son propre résolveur DNS récursif ; ce n’est pas totalement destiné aux débutants, mais cela demande à peu près autant de travail qu’une configuration pihole, et du matériel peu puissant suffit
Pour quelqu’un qui utilise déjà autre chose que le DNS par défaut, ce n’est pas d’un niveau très difficile, d’autant qu’il existe aussi des images préconfigurées
https://www.mic.com/articles/85987/turkish-protesters-are-sp...
Des gouvernements répressifs ont déjà, par le passé, émis des injonctions légales demandant à Google de bloquer l’accès des manifestants à twitter.com, mais Google a toujours refusé
Donc si Google applique cette nouvelle politique cette fois-ci, ce n’est peut-être pas pour des raisons de légalité, mais parce que la France est un grand marché, donc une question d’argent
En 2023, l’ensemble du marché publicitaire français, desktop, mobile, social, etc. compris, représentait environ 5,8 milliards de dollars, tandis que le chiffre d’affaires publicitaire de Google en 2023 dépassait 240 milliards de dollars ; même en captant la totalité des revenus publicitaires français, cela ne représenterait donc que 2,5 % du total
En réalité, la recherche et le display représentent environ 20 à 25 % des revenus publicitaires en France, et même en supposant que Google détienne 100 % de ce segment, cela ferait environ 1,25 milliard de dollars, soit environ 0,5 % du chiffre d’affaires de Google
De plus, rien qu’en 2024, la France a infligé 224 millions de dollars d’amendes à Google ; en appliquant une marge bénéficiaire de 25 % à 1,25 milliard de dollars de revenus, le bénéfice serait d’environ 312,5 millions de dollars, dont une part importante disparaîtrait en amendes
Si la France inflige encore une amende cette année, Google pourrait même perdre de l’argent sur ce marché
Si c’était courant, il devrait être facile de trouver une source qui étaye réellement cette affirmation
Si un fournisseur de DNS public fait ce genre de choses, sa réputation devrait en pâtir, et les gens ne devraient pas l’utiliser
On peut aussi le faire soi-même, et si l’on connaît l’IP par une autre source, d’autres méthodes sont possibles, comme l’utilisation directe de l’adresse IP ou le fichier
hosts