- Un grand fournisseur d’accès à Internet (FAI) allemand a récemment modifié le fonctionnement du DNS juste après que j’aie révélé son organisation interne, la CUII
- La CUII ne publie pas sa liste de blocage de sites web, j’ai donc créé un site permettant de vérifier si un site est bloqué
- Les FAI ont commencé à masquer le blocage en DNS en faisant apparaître les sites bloqués comme s’ils n’existaient pas
- Récemment, Telefonica a bloqué son propre domaine de test, puis a visité mon site pour vérifier si cela était détecté
- Telefonica a ensuite dissimulé le signal de blocage, ce qui a eu pour effet d’affaiblir la transparence et la surveillance
Pourquoi les FAI allemands manipulent le DNS autour de la liste de blocage de la CUII
L’un des principaux FAI allemands a modifié le fonctionnement du DNS juste après que l’existence de son organisation interne (la CUII) a été rendue publique
La CUII (Centre de compensation d’Internet pour le droit d’auteur) décide si des sites web doivent être bloqués et constitue une organisation privée dans laquelle de grands FAI et des ayants droit gèrent arbitrairement une liste, sans examen juridique ni transparence
Comme la CUII maintient sa liste de blocage secrète, j’ai développé un site permettant à tout le monde de consulter les domaines bloqués : cuiiliste.de
Les quatre plus grands FAI allemands — Telekom, Vodafone, 1&1 et Telefonica(o2) — font tous partie de la CUII
Erreurs répétées de la CUII et évolution de la méthode de blocage DNS
Récemment, Netzpolitik.org a publié un article, à partir d’informations que j’ai fournies, sur le fait que la CUII bloquait par erreur jusqu’à des domaines déjà fermés
Auparavant, lorsqu’un site bloqué était demandé via le DNS d’un FAI, la requête était redirigée vers notice.cuii.info, ce qui permettait de vérifier facilement qu’il y avait blocage
Mais la CUII a commencé à faire cesser cette méthode de vérification afin de garder secrète sa liste de blocage
Certains FAI ont commencé à faire passer les sites bloqués en DNS comme s’ils n’existaient tout simplement pas
À l’exception de Telefonica(o2), qui utilisait encore la réponse via notice.cuii.info
Trafic généré depuis le blog pour vérifier le blocage d’un domaine
Sur cuiiliste.de, n’importe qui peut vérifier, selon chaque FAI, si le domaine saisi est bloqué par la CUII
Après avoir bloqué le domaine de test blau-sicherheit.info, propriété de Telefonica, l’entreprise a visité mon site depuis son propre réseau pour tester s’il était possible de le détecter
Mon outil a correctement détecté que ce domaine était bloqué par la CUII
- Le DNS de Telefonica répondait que le domaine de test était bloqué
- Mon site web a été consulté depuis le réseau de Telefonica
- La détection du blocage a réussi
Changement de méthode de blocage chez Telefonica et soupçons d’entrave à mon site
Environ deux heures plus tard, Telefonica a modifié sa méthode de blocage DNS, passant de la redirection vers notice.cuii.info à une réponse indiquant que le domaine saisi n’existe pas
À cause de cela, mon système a détecté à tort des centaines de déblocages, ce qui a nécessité un correctif d’urgence
Même après le patch, la détection du blocage est devenue plus difficile
Désormais, pour distinguer les blocages CUII d’autres blocages pour des raisons différentes (par exemple liés au terrorisme), j’effectue une validation croisée avec une liste de domaines bloqués hors CUII
Contexte et affaiblissement de la transparence
Ces changements peuvent s’expliquer comme une volonté de la CUII d’échapper à la surveillance et à la transparence, au moment même où elle est critiquée pour des blocages inexacts
En fin de compte, cela affaiblit le droit du public à l’information et les mécanismes de contrôle, en créant une structure favorable uniquement à la CUII et aux FAI
Article lié et liens de référence
- Netzpolitik.org: Provider verstecken, welche Domains sie sperren
- Pour d’autres références et sources, voir la bibliographie à la fin de l’article
Aucun commentaire pour le moment.