Un opérateur ou un fournisseur d'accès à Internet peut bloquer un site. Qu'il s'agisse d'une erreur ou d'une opération délibérée, ce n'est clairement pas une opération difficile à mettre en place. Explications.

Le matin du 17 octobre 2016, les sites de Google.fr, Wikipedia.fr et tous les domaines liés à OVH.fr ont été redirigés, pour les clients d’Orange, vers la page du gouvernement qui signale et bloque un site pour apologie du terrorisme. Avant l’été, les jeunes Algériens se sont retrouvés plusieurs jours sans accès à Facebook, Twitter et autres réseaux sociaux parce que le gouvernement avait décidé de couper l’accès à ces sites pour éviter les fuites des sujets du baccalauréat. Dommage collatéral : l’opérateur national avait fait du zèle et s’était retrouver à bloquer… tout le web.

Le 21 octobre 2016, le service DNS Dyn subit une attaque DDoS qui fait tomber tous les sites dont il s’occupe, au rang desquels PayPal, eBay, TheVerge ou encore Spotify ou Yelp. Dans ce cas-là, le souci a lieu entre les serveurs des sites et leur propre serveur DNS que les DNS que vous avez configuré chez vous interrogent. C’est complexe, mais nous allons clarifier tout cela.

Car la question se pose alors : comment peut-on couper Internet ou un site web en particulier ?  Nous y avions répondu au cours de l’une des dernières émissions du Petit Journal et nous avions pu montrer, à ce moment-là, qu’il était en fait très simple de bloquer un site web pour un opérateur — et donc pour un gouvernement. Nos confrères de Tout Sur l’Algérie nous avaient confirmé le blocage généralisé et Yann Barthès avait posé une autre question fort intéressante : est-ce que cela peut arriver en France ?

barthes-yann

Comment un opérateur peut-il bloquer un site ?

Vous comprendrez très facilement qu’on peut répondre par l’affirmative à la seconde question quand on connaît la réponse à la première. Le cas d’Orange est un cas d’école : le fournisseur d’accès à Internet a, le plus simplement du monde, ajouté Google et les autres sur une liste de blocage des adresses IP, soit une suite de chiffres qui correspondent à l’adresse réelle d’un site web sur le réseau. Concrètement, le nom de domaine www.google.fr correspond à l’adresse IP 216.58.208.227. Quand vous allez sur www.google.fr, un système chez votre FAI (les DNS) se charge de traduire le nom de domaine et de l’amener sur la bonne adresse IP où est hébergé le site.

En tant que FAI, vous configurez donc vos DNS pour que les instructions qui permettent de traduire le « www.google.fr » tapé par l’utilisateur aillent bien vers 216.58.208.227 et amènent donc sur le site de Google. Maintenant, vous décidez de faire en sorte que www.google.fr ramène sur une page blanche ou une page d’avertissement du gouvernement : c’est l’histoire d’une commande dans votre panneau de configuration. De même, vous pouvez rediriger une tentative de connexion à une adresse IP vers une autre page. 

Pour résumer, une fois les DNS configurés pour ordonner un blocage, l’utilisateur va les interroger en entrant une adresse qui lui est familière et se retrouver sur le site décidé par l’opérateur. Notez que cette méthode est la moins coûteuse et la plus facile à mettre en place : il existe d’autres méthodes pour bloquer des sites en particulier notamment le blocage dit par DPI, plus efficace, plus difficile à contourner et plus coûteux.

Quoi qu’il en soit, un blocage peut être décidé… ou imposé par une attaque.

Qui peut donner cet ordre ?

C’est là que la question se complique. Les opérateurs nationaux sont évidemment tenus de respecter la loi et mettent par exemple tout en œuvre pour bloquer les sites faisant l’apologie du terrorisme ou les sites pédophiles. D’après les informations d’Orange, c’est le ministère de l’Intérieur qui leur communique une liste d’adresses IP et de noms de domaines à rediriger : le fournisseur d’accès s’exécute.

Dès lors, qu’est-ce qui peut clocher ? Comme ces listes sont renseignées à la main par des ingénieurs et qu’elles ont un impact réel sur l’utilisation du web de millions de Français, on se doute qu’elles sont soigneusement vérifiées avant d’être validées. La version officielle d’Orange sur la panne du 17 octobre dit qu’il s’agit d’une « erreur humaine » qui a été corrigée dans l’heure. C’est en effet une des possibilités qui vient immédiatement à l’esprit.

capture-decran-2016-10-17-a-10-27-43

On peut glisser sans mal de l’erreur à la malveillance à gardant le même schéma à l’esprit : un plaisantin ou un individu qui voulait vraiment nuire a pu glisser ces adresses dans la liste qui aura été mal vérifiée par l’ingénieur en charge d’appliquer les consignes. De tels incidents rappellent à quel point la centralisation des éléments techniques qui font l’Internet d’aujourd’hui est problématique : un engrenage se dévisse et toute la machine déraille. Et c’est encore pire quand il n’y a pas d’ordre, mais qu’un service DNS est perturbé à cause d’une attaque par déni de service : vous ne pouvez pas faire grand chose dans ce cas-là.

Comment retrouver l’accès à un site bloqué sans justification ?

Selon la nature de la « panne » ou de la censure, il existe des moyens de retrouver un accès aux sites bloqués — dans la limite de la loi, qui s’applique aussi, rappelons-le, au web. Le plus évident, et qui a fonctionné pour la panne de Google, Wikipédia et OVH chez Orange, est d’utiliser d’autres DNS. Vous pouvez en effet choisir de ne pas utiliser les DNS mis à disposition par votre opérateur. Cela ne servirait à rien pour la panne de Dyn : le souci est d’une autre nature (le service de DNS étant tombé, les sites qui l’utilisent ne sont plus accessibles… sauf si vous connaissez par cœur leur adresse IP).

capture-decran-2016-10-21-a-19-10-19
Si un serveur DNS comme Dyn tombe, vous ne pouvez rien faire

Changer ses DNS sur Mac  : pour changer vos DNS sur Mac, c’est tout simple : allez dans Réglages / Réseau / Avancé / DNS. Ajoutez ici les DNS que vous souhaitez (liste ci-dessous) en cliquant sur le + en bas à gauche.

Changer ses DNS sur Windows  : allez dans Centre Réseau et Partage puis Changer les paramètres de la carte. Faites un clic droit sur votre connexion puis Propriétés. Sélectionnez Protocole Internet Version 4 et remplissez en bas les cases Serveur DNS préféré et Serveur DNS auxiliaire.

Notez que vous pouvez également changer les DNS IPv6.

capture-decran-2016-10-17-a-13-47-49

Quel serveur DNS utiliser ?

Selon vos préférences, vous pouvez sans aucun souci utiliser l’un de ces serveur DNS :

  • Google : 8.8.8.8 / 8.8.4.4
  • OpenDNS (Cisco) : 208.67.222.222 / 208.67.220.220
  • FDN : 80.67.169.12 / 80.67.169.40
  • OpenNic : 193.183.98.154 / 5.9.49.12 / 87.98.175.85

Dans d’autres cas, qui relèvent plus de la censure, la meilleure solution reste d’utiliser un VPN. La configuration est souvent plus complexe et les services sont payants, mais cela vaut souvent le coût. Nous avons fait un petit guide dans lequel nous avons testé un grand nombre de ces offres.

Enfin, si le souci ne concerne qu’un site que vous fréquentez souvent, profitez de l’occasion pour explorer les alternatives : dans le cas des moteurs de recherche, il existe par exemple des tas de concurrents à Google qui ont leurs avantages et leurs inconvénients.

Partager sur les réseaux sociaux

Articles liés