1 points par GN⁺ 2025-08-25 | 1 commentaires | Partager sur WhatsApp
  • Un grand fournisseur d’accès à Internet (FAI) allemand a récemment modifié le fonctionnement du DNS juste après que j’aie révélé son organisation interne, la CUII
  • La CUII ne publie pas sa liste de blocage de sites web, j’ai donc créé un site permettant de vérifier si un site est bloqué
  • Les FAI ont commencé à masquer le blocage en DNS en faisant apparaître les sites bloqués comme s’ils n’existaient pas
  • Récemment, Telefonica a bloqué son propre domaine de test, puis a visité mon site pour vérifier si cela était détecté
  • Telefonica a ensuite dissimulé le signal de blocage, ce qui a eu pour effet d’affaiblir la transparence et la surveillance

Pourquoi les FAI allemands manipulent le DNS autour de la liste de blocage de la CUII

L’un des principaux FAI allemands a modifié le fonctionnement du DNS juste après que l’existence de son organisation interne (la CUII) a été rendue publique
La CUII (Centre de compensation d’Internet pour le droit d’auteur) décide si des sites web doivent être bloqués et constitue une organisation privée dans laquelle de grands FAI et des ayants droit gèrent arbitrairement une liste, sans examen juridique ni transparence
Comme la CUII maintient sa liste de blocage secrète, j’ai développé un site permettant à tout le monde de consulter les domaines bloqués : cuiiliste.de
Les quatre plus grands FAI allemands — Telekom, Vodafone, 1&1 et Telefonica(o2) — font tous partie de la CUII

Erreurs répétées de la CUII et évolution de la méthode de blocage DNS

Récemment, Netzpolitik.org a publié un article, à partir d’informations que j’ai fournies, sur le fait que la CUII bloquait par erreur jusqu’à des domaines déjà fermés
Auparavant, lorsqu’un site bloqué était demandé via le DNS d’un FAI, la requête était redirigée vers notice.cuii.info, ce qui permettait de vérifier facilement qu’il y avait blocage
Mais la CUII a commencé à faire cesser cette méthode de vérification afin de garder secrète sa liste de blocage
Certains FAI ont commencé à faire passer les sites bloqués en DNS comme s’ils n’existaient tout simplement pas
À l’exception de Telefonica(o2), qui utilisait encore la réponse via notice.cuii.info

Trafic généré depuis le blog pour vérifier le blocage d’un domaine

Sur cuiiliste.de, n’importe qui peut vérifier, selon chaque FAI, si le domaine saisi est bloqué par la CUII
Après avoir bloqué le domaine de test blau-sicherheit.info, propriété de Telefonica, l’entreprise a visité mon site depuis son propre réseau pour tester s’il était possible de le détecter
Mon outil a correctement détecté que ce domaine était bloqué par la CUII

  • Le DNS de Telefonica répondait que le domaine de test était bloqué
  • Mon site web a été consulté depuis le réseau de Telefonica
  • La détection du blocage a réussi

Changement de méthode de blocage chez Telefonica et soupçons d’entrave à mon site

Environ deux heures plus tard, Telefonica a modifié sa méthode de blocage DNS, passant de la redirection vers notice.cuii.info à une réponse indiquant que le domaine saisi n’existe pas
À cause de cela, mon système a détecté à tort des centaines de déblocages, ce qui a nécessité un correctif d’urgence
Même après le patch, la détection du blocage est devenue plus difficile
Désormais, pour distinguer les blocages CUII d’autres blocages pour des raisons différentes (par exemple liés au terrorisme), j’effectue une validation croisée avec une liste de domaines bloqués hors CUII

Contexte et affaiblissement de la transparence

Ces changements peuvent s’expliquer comme une volonté de la CUII d’échapper à la surveillance et à la transparence, au moment même où elle est critiquée pour des blocages inexacts
En fin de compte, cela affaiblit le droit du public à l’information et les mécanismes de contrôle, en créant une structure favorable uniquement à la CUII et aux FAI

Article lié et liens de référence

1 commentaires

 
GN⁺ 2025-08-25
Commentaires sur Hacker News
  • En Allemagne, il existe une organisation appelée Clearingstelle Urheberrecht im Internet (CUII), un organisme privé lié au droit d’auteur sur Internet, qui décide de bloquer des sites web ; la structure permet aux FAI et aux principaux ayants droit de décider de ce que les gens peuvent voir, sans juge ni transparence. Pourtant, selon leur page officielle (cuii.info/en/about-us/), ils affirment « coordonner la mise en œuvre des procédures judiciaires de blocage et l’exécution des injonctions des tribunaux » ; on dirait donc qu’ils ne suivent que des ordonnances judiciaires, mais cette seule formulation n’exclut pas d’autres blocages de sites.
    • Ce billet de blog a été écrit avant la modification de la page ; dans la version archivée, CUII est décrit comme un organisme indépendant en Allemagne qui examine de manière impartiale si le blocage de sites manifestement contrefaisants est légal. Lorsqu’une demande est déposée, le comité d’examen recommande à l’unanimité un blocage DNS uniquement en cas de « violation manifeste du droit d’auteur » ; cette recommandation est transmise à l’Agence fédérale allemande des réseaux (BNetzA). Après examen par la BNetzA, s’il n’y a pas de problème, les FAI reçoivent l’instruction de bloquer. Et dans un nouveau billet de blog du même auteur portant sur la version récente, il est indiqué qu’ils ne coordonnent désormais les blocages qu’après une ordonnance judiciaire : « plus de vote secret ni de censure d’entreprise, la nouvelle version du site explique qu’elle n’applique que des ordonnances judiciaires de blocage ».
    • Le billet de blog date de février, et depuis, CUII est passé d’un système où un groupe interne bloquait arbitrairement à l’inclusion stricte des seuls domaines mentionnés dans les décisions de justice. Auparavant, ils bloquaient aussi sans ordonnance judiciaire en invoquant des « précédents similaires », mais après des remarques du régulateur, ils ont cessé ces blocages arbitraires sans décision de justice.
    • C’est un peu comme dire : « Avant, la politique était très corrompue ; elle l’est encore aujourd’hui, mais c’était pire avant. »
    • Le titre est trompeur : en réalité, le DNS du site de l’auteur n’a pas été bloqué ; c’est CUII qui a bloqué le DNS de son propre site pour tester la façon dont l’auteur détectait les listes noires DNS, puis a changé de stratégie.
  • Il faut garder à l’esprit que la procédure de blocage de CUII semble désormais fondée sur des ordonnances judiciaires plutôt que sur des décisions arbitraires d’entreprises billet associé
    • Le point regrettable, c’est que les anciens domaines bloqués sont toujours là.
    • D’après l’article lié juste au-dessus, la liste de blocage problématique, voire malveillante, est toujours maintenue ; elle n’est simplement plus enrichie.
    • Je me demande comment savoir si CUII a vraiment renoncé, ou s’ils font seulement semblant après avoir trouvé un moyen de dissimuler les blocages en échappant à la surveillance.
  • En Occident, la censure s’est traditionnellement exercée via le droit d’auteur ; si on l’habille en argent ou en business, on ne la considère pas comme de la censure. Aujourd’hui, les États-Unis imposent l’autocensure par la force et l’exclusion (par exemple des conséquences professionnelles ou des restrictions d’entrée sur le territoire américain), et l’Europe trouve une autre méthode. Comme tout le monde veut à la fois sécurité et contrôle, il semble désormais que seules des solutions techniques puissent répondre au problème ; les voies juridiques et politiques ne fonctionnent plus. La liberté est devenue une « mode vaine », et même ceux qui la revendiquent ne veulent au fond que leur propre liberté. Ironie du sort, ceux qui parlent d’envoyer l’humanité dans l’espace posent avec des personnes détenues sur Terre pour avoir « voyagé sans autorisation ». Donc, pour les techniciens qui s’intéressent à cette censure, il faut de nouveaux outils plutôt que les sites web existants ; le courant dominant finira de toute façon par être contrôlé comme le souhaitent les pouvoirs en place.
    • Autrefois, je voulais que cela se règle par le droit, mais désormais je comprends l’attrait d’une solution technique. Dans les années 1990-2000, quand la liberté se rétractait dans le monde réel, la jeune génération trouvait une échappatoire sur Internet. Construire une maison ou créer une entreprise était difficile, mais créer un site restait relativement libre. Aujourd’hui, les gouvernements et les parties prenantes interviennent aussi sur Internet, et cette liberté a disparu. Entre les contenus IA, les bots, la difficulté de recherche, les vérifications humaines, Internet devient de plus en plus étouffant. D’où le sentiment qu’il faut créer de nouveaux espaces réseau comme freenet, yggdrasil, alfis, gemini, reticulum, B.A.T.M.A.N ; et puis ces espaces peuvent être amusants. Il faudra aussi du temps aux gouvernements pour les rattraper.
    • Vivant aux États-Unis, je ne me reconnais pas dans l’évolution actuelle des libertés. Je soutiens les principes que les États-Unis prétendaient défendre, du moins dans leur intention initiale. Je défends les individus — policiers, militaires, etc. — mais pas les ordres autoritaires qu’on leur demande d’exécuter. Beaucoup s’engagent pour la loi, l’ordre et la protection de tous, pas pour faire le mal, mais on a l’impression que la structure les y pousse. La loi texane de gerrymandering a été adoptée, et il ne faut pas compter uniquement sur un rééquilibrage spontané. Je pense que l’expansion spatiale vaut la peine d’être tentée tant qu’elle ne nuit pas à la vie ni à d’autres espaces ; toute forme de vie finit, pour une raison ou une autre, par devoir se déplacer.
    • À l’affirmation selon laquelle « ce site web lui-même parle de censure ; les gens concernés ne devraient pas utiliser des sites web, il faut de nouveaux outils, le courant dominant sera finalement contrôlé par les puissants », j’ai du mal à imaginer à quoi cela ressemblerait concrètement. J’ai aussi l’impression qu’il est déjà trop tard. L’attestation des appareils devient de plus en plus imposée, et les passkeys se diffusent rapidement. On peut créer des alternatives au niveau du protocole, mais cela suppose la tolérance des groupes au pouvoir. Signal, les VPN, BitTorrent et Tor pourraient un jour être bloqués. Au final, si la grande majorité utilise des appareils contrôlés par des big tech comme Apple ou Google, alors aucun protocole ne servira peut-être à rien.
    • Il est intéressant de penser que la censure commerciale est largement acceptée, mais que la censure au nom du « bien public » n’est peut-être pas si différente au fond. Dans tous les cas, il y a toujours un risque d’atteinte excessive à la liberté.
    • À la formule « En Occident, la censure s’est exercée via le droit d’auteur ; si c’est fait au nom de l’argent et du business, ce n’est pas considéré comme de la censure », j’ai l’impression que les deux phrases se contredisent. La censure par le droit d’auteur et l’affirmation de droits à des fins commerciales me semblent au fond identiques ; dire qu’une seule des deux n’a pas été considérée comme de la censure paraît contradictoire.
  • Plus la censure augmente, plus cela donne de raisons de construire des protocoles véritablement impossibles à censurer, hors de portée des FAI.
    • Ces protocoles ou ajustements existent déjà, par exemple DNSSEC par site, DoT/DoH côté utilisateur, ce qui permet d’empêcher la manipulation malveillante des réponses par les FAI. En pratique, cependant, ils ne sont pas largement utilisés, et les FAI peuvent recourir à des moyens de censure plus difficiles à contourner, comme l’inspection du SNI ou le blocage d’IP.
    • En fin de compte, tout dépend de la couche réseau physique ; celui qui contrôle cette couche peut toujours interrompre les communications. Le seul vrai protocole hors de portée d’un FAI nécessiterait une immense armée, et encore faudrait-il la motiver à ne pas saboter le système elle-même.
    • Comme exemples de protocoles déjà existants : construire un darknet avec un routeur I2P, bâtir un Internet privé distribué de nouvelle génération avec Yggdrasil, ou plus simplement utiliser un DNS chiffré (Njalla DNS, Mullvad DNS), voire un bon VPN (comme Mullvad). En parallèle, il faut aussi voter pour des politiques respectueuses de la vie privée et écrire à ses représentants.
    • Il y a aussi le problème de la diffusion réelle de ces protocoles alternatifs : en temps normal, utiliser ce type d’outils peut faire de vous une « cible ». Leur adoption massive n’arrive souvent qu’après une catastrophe ou une crise majeure.
    • Plus de censure devrait surtout nous pousser à élire de meilleurs gouvernements plutôt qu’à chercher uniquement des contournements. Accepter l’autoritarisme tout en ne cherchant que des moyens de le contourner, c’est déjà un problème.
  • Les contournements proposés sur cette page recommandent surtout l’usage de grands resolvers publics ; si jamais l’auteur lit HN, j’aimerais bien savoir quels domaines sont bloqués par 9.9.9.9, 1.1.1.1, et surtout par le service DNS4EU.
    • Réaction disant que c’est la première fois qu’ils entendent parler de DNS4EU, avec partage du lien joindns4.eu/about.
    • Je me demande quel logiciel serveur DNS utilisent des fournisseurs DNS comme dns4eu ou nextdns (nsD, bind, etc.), ou s’ils ont développé leur propre solution.
  • Avec le durcissement actuel de la répression du droit d’auteur et de la chasse au torrent, je m’interroge sur la décision de Proton de se tourner vers l’Allemagne à cause du cadre suisse. Je comprends qu’il devienne difficile d’opérer dans de bonnes conditions de confidentialité, mais pourquoi avoir choisi l’Allemagne ? Je n’ai pas examiné en détail le nouveau projet de loi suisse, mais si la régulation y est pire qu’en Allemagne, je me demande sur quels points ; à titre de comparaison, Mullvad est basé en Suède.
    • En tant que Suisse, je n’ai pas étudié cela en profondeur, mais j’ai compris que le nouveau projet de loi imposerait une conservation des données utilisateur pendant six mois. Ce n’est évidemment pas réjouissant, mais l’UE demande en permanence des backdoors dans le chiffrement, ce qui est encore plus grave. Au final, l’interprétation est que la décision de Proton tient surtout à la réduction des coûts, et que le droit suisse sert de prétexte.
  • Si un domaine est « saisi », je me demande si le nouveau « propriétaire » paie les frais de renouvellement d’enregistrement. Si oui : on pourrait enregistrer des copies de sites bloqués sur des vanity TLD aux frais de renouvellement élevés, attirer l’attention, et en tirer un revenu.
    • Ici, il ne s’agit pas de saisir le domaine, mais seulement de le bloquer ; on manipule simplement les réponses du serveur de noms sur le DNS par défaut du FAI. Même si la police saisissait réellement le domaine, comme pour la saisie d’une voiture de location, elle n’irait pas payer les frais d’usage à votre place.
    • Une saisie de domaine peut coûter davantage sur le plan procédural, et le blocage de site n’a généralement rien à voir avec l’ICANN ; l’exploitant du site conserve la propriété du domaine. Le FAI manipule simplement le résultat des requêtes DNS, ce qui reste facile à contourner.
    • Même si un gouvernement saisissait un domaine, je ne pense pas qu’il paierait réellement quoi que ce soit.
    • Après l’étape 1 (créer le TLD), le reste donne un peu l’impression du « dessiner le reste de la chouette ».
  • L’Allemagne est vraiment arriérée sur ces questions ; les ingénieurs compétents devraient émigrer vers des pays plus libres.
    • Réponse demandant de définir ce qu’est un pays plus libre.
    • C’est déjà en train de se produire.
    • Avis selon lequel les États-Unis de l’ère Trump ne sont pas non plus un monde libre.
  • Question : ce type de censure est-il vraiment facile à contourner simplement en utilisant un DNS public comme 8.8.8.8 ?
    • Exploiter son propre résolveur DNS, comme unbound, est aussi une option.