Depuis 2018, Cloudflare propose un service pour orienter les internautes sur le web. Aujourd'hui, il a l'idée de le décliner pour un usage familial. Sauf que les réglages initiaux se sont avérés insuffisants : le service s'est mis à bloquer des sites LGBTQIA+ ou dédiés à l'éducation sexuelle.

Faute avouée, à moitié pardonnée ? Le 1er avril, l’entreprise américaine Cloudflare, qui est spécialisée dans la fourniture de solutions pour les sites web, annonçait l’arrivée d’un tout nouveau service destiné aux internautes. L’idée ? Leur permettre de surfer sur le net de façon encore plus sûre, en écartant de leur chemin tous les contenus nuisibles ou qui ne sont pas adaptés pour les enfants.

Problème : à vouloir trop bien faire, Cloudflare s’est loupé. Son outil, qui entend proposer un environnement sécurisé pour toute la famille en bloquant, à la demande des utilisateurs, les logiciels malveillants et la pornographie, s’est avéré trop imprécis. Très vite, il a été constaté que cette fonctionnalité neutralisait aussi des contenus tout à fait acceptables, pratiques et même nécessaires.

Ont ainsi été bloqués des sites d’aide et de soutien aux LGBTQIA+ (acronyme désignant lesbienne, gay, bi, trans, queer, intersexe, asexuel et + pour l’inclusion d’autres identités) ainsi que des ressources d’éducation sexuelle, selon les constations de Sarah Jamie Lewis, la directrice exécutive de l’ONG canadienne Open Privacy, spécialisée dans les sujets de libertés publiques dans l’espace numérique.

Stonewall, l’un des sites web qui a été intercepté par erreur par les nouveaux résolveurs DNS de Cloudflare.

Dans son message, publié sur Twitter le jour de l’annonce de Cloudflare, l’intéressée a relevé néanmoins qu’un déblocage était en cours après une vague de signalements. Selon ses constatations, une demi-douzaine d’organisations LGBTQIA+ ont vu leurs sites bloqués, ainsi qu’une dizaine de plateformes centrées sur l’éducation sexuelle. Des sites de presse s’adressant à ces communautés ont aussi été atteints.

L’affaire a eu suffisamment d’écho pour pousser Cloudflare à agir, et vite, puisque dès le lendemain, le 2 avril, une nouvelle publication sur le site de la compagnie a admis une « erreur » et a présenté ses excuses aux personnes qui en ont souffert. Elle a aussi évoqué diverses mesures qui ont été prises dans la foulée pour éviter qu’un autre incident de cette nature ne se reproduise.

Orienter le navigateur vers le bon site web

Pour bien comprendre le faux pas de Cloudflare, il faut comprendre de quelle façon le web fonctionne. Pour atteindre un site, le navigateur qu’utilise l’internaute doit connaître le bon chemin à emprunter. Pour cela, il passe par un système appelé résolveur DNS : c’est lui qui va dire au navigateur quelle voie suivre pour aller par exemple sur www.numerama.com car le navigateur n’a pas cette information.

Or, l’adresse d’un site est en fait l’adresse du serveur sur lequel il se trouve. Celle-ci ne se matérialise pas par une suite de caractères (comme www.numerama.com), mais par une suite de quatre séries de nombres, allant de 0 à 255, séparées par des points : c’est ce qu’on appelle l’adresse IP (par exemple 172.16.254.1). Mais retenir une adresse IP est bien plus difficile que mémoriser une adresse avec des lettres.

Cloudflare DNS
Cloudflare décline son résolveur DNS en deux versions plus familiales. // Source : Cloudflare

C’est pour cela qu’a été mis en place le système de noms de domaine (DNS, pour Domain Name System) : il s’agit de faire correspondre les bonnes adresses IP aux bons noms de domaine. Pour cela, les navigateurs web interrogent des résolveurs DNS. De base, ce sont ceux du fournisseur d’accès à Internet qui sont interrogés, mais il est tout à fait possible d’en utiliser d’autres, pour diverses raisons.

Le DNS est crucial, car il n’est pas possible de mémoriser les adresses IP dans un usage courant (d’autres raisons, plus techniques, jouent également), car elles servent justement de plaques d’immatriculation de façon à distinguer les serveurs les uns des autres. Il ne faut pas oublier qu’Internet est un réseau informatique reliant des millions de réseaux et de serveurs. Dès lors, ils doivent avoir chacun un code unique.

Un DNS menteur volontaire

C’est ainsi que Cloudflare s’est positionné sur ce terrain, d’abord en lançant un résolveur DNS générique (appelé 1.1.1.1) en 2018 puis, deux ans plus tard, en lançant deux autres résolveurs dits familiaux : 1.1.1.2 pour contrer les logiciels malveillants et 1.1.1.3 qui vise les logiciels malveillants et en plus la pornographie (deux résolveurs DNS secondaires sont aussi proposés : 1.0.0.2 et 1.0.0.3).

Fondamentalement, ces résolveurs de Cloudflare agissent comme des DNS menteurs : ils filtrent des ressources spécifiques, en les tenant hors de vue de l’internaute ou en le redirigeant ailleurs. Les DNS menteurs peuvent résulter d’une obligation légale (mais pas toujours), pour éviter qu’un particulier accède à un site de piratage, de jeu d’argent sans agrément ou faisant l’apologie du terrorisme.

Cependant, contrairement aux DNS menteurs d’un opérateur, qui sont de fait imposés et souvent à l’insu de ses clients, les DNS menteurs de Cloudflare sont optionnels. Dès lors, leur utilisation par un internaute suppose qu’il sait ce qu’il fait et comprend les tenants et les aboutissants. Si cela lui paraît trop strict, il peut toujours passer par le résolveur DNS générique de Cloudflare ou par une alternative d’un concurrent.

Google Public DNS
Il existe différents résolveurs publics. Ici, Google Public DNS.

Il en existe plusieurs : outre Cloudflare, les plus connus sont certainement ceux de Google, OpenDNS (Cisco), OpenNIC, VeriSign ou encore Yandex. En France, il y a aussi ceux mis en place par French Data Network (FDN), un fournisseur d’accès à Internet militant. Changer son résolveur n’est pas très compliqué. Il est aussi possible de monter son propre outil, mais cela nécessite un peu plus d’huile de coude.

En somme et pour le dire vite, ces DNS menteurs servent en quelque sorte de pare-feu et de logiciel de contrôle parental, sauf qu’ils sont déportés chez Cloudlare, au lieu d’être sur le PC de l’internaute. Cela a deux conséquences : la première, c’est que l’usager n’a plus grand-chose à faire, le travail étant réalisé par un tiers et à distance. Mais la seconde, c’est qu’il dépend désormais des réglages de Cloudflare. Et de ses erreurs.

Partager sur les réseaux sociaux

La suite en vidéo