Index ¦ Archives ¦ Atom

Renater et le surblocage: un cas d'école ?

Posted on: Thu 04 April 2019

Le 27 novembre 2018, le tribunal de grande instance de Paris a ordonné le blocage du site raciste et nazi “DemocratieParticipative.biz”, nous rapporte NextINpact. RENATER, Fournisseur d’Accès Internet (FAI) de nombreux laboratoires et universités françaises n’est pas concerné par ce jugement. Il a pourtant procédé au blocage du site, bloquant par ailleurs de manière excessive d’autres sites, procédant ainsi à un « surblocage ».

Le contenu du jugement

Le jugement en question est un référé qui fait suite à l’assignation des principaux fournisseurs d’accès internet français par le procureur de la République de Paris, le 11 et 12 octobre 2018. Dans le jugement (document issu de NextINpact), des « mesures de blocage » effectuées de manière « définitive et illimitée » à l’encontre de « du nom de domaine www.democratieparticipative.biz ou à tout site comportant le nom democratieparticipative.biz » sont demandées aux fournisseurs d’accès à Internet suivants

  • SFR Fibre;
  • Société française du radiotéléphone: SFR;
  • Société réunionnaise du radiotéléphone: SRR;
  • Orange;
  • Orange Caraïbe;
  • Bouygues Telecom;
  • Free;
  • Colt Technology Services;
  • Outremer Telecom.

Il est tout d’abord intéressant de noter que dans le cas (plus récent) du blocage de Sci-Hub et de LibGen, la liste des fournisseurs d’accès est assez différente. Dans ces deux affaires, le nombre de concernés est d’ailleurs ridiculeusement petit par rapport à la taille de la liste des opérateurs télécoms déclarés à l’ARCEP, Autorité de régulation des communications électroniques et des postes (la liste contient 2853 entités).

Un blocage au niveau DNS des opérateurs concernés

Grâce aux sondes RIPE Atlas déjà utilisées dans l’article précédent, il est possible de savoir comment le blocage est mis en place par les FAIs susmentionnés. Ainsi, Orange et Free bloquent l’accès au site en laissant leurs résolveurs renvoyer une adresse IP erronée (127.0.0.1 au lieu de 104.27.185.150 et de 104.27.184.150) lors de la résolution du nom de domaine du site. SFR renvoie une réponse vide, ou une réponse de type NXDOMAIN, tout comme Bouygues (données brutes).

Aucun blocage de « niveau 3 » n’est en place chez ces opérateurs: un ping tcp sur le port 80 vers l’adresse ip du site web aboutit généralement (données brutes).

Un blocage au niveau IP de la part de RENATER…

Quant à lui, RENATER annonce le blocage dans un mail envoyé à l’ensemble des établissements utilisant son réseau:

Même si RENATER n’est pas formellement mentionné dans cet arrêt, un certain nombre d’utilisateurs pourraient se plaindre que RENATER laisse libre accès à ce site, dont le contenu a pourtant été jugé répréhensible au sens de la loi sur la liberté de la presse (loi du 29 juillet 1881). Nous devons donc nous sentir concernés par cette affaire. Nous rappelons par ailleurs que, sauf cas particulier, l’accès à ce site n’est pas en accord avec la Charte déontologique de RENATER. Ainsi, pour éviter à chaque établissement de prendre des mesures à son niveau, RENATER a mis en œuvre un dispositif rendant ce site inaccessible. Pour autant, nous sommes bien sûr conscients de la forte probabilité pour que ces mesures soient rapidement contournées.

RENATER ne fournissant pas de résolveur DNS, le FAI a procédé au blocage du site au niveau IP: toute communication avec l’adresse IP du site web est bloquée, comme on peut le voir sur cette mesure.

Capture d’écran des résultats des mesures d’un TCP ping sur le port 80 vers l’adresse ip du site bloqué. En haut: les sondes RIPE Atlas représentées par des nœuds. En bas: l’AS hébergeant le site web. La communication ne peut pas être établie, souligné par la présence de pointillés oranges.

… menant à un surblocage

Problème, DemocratieParticipative.biz n’est pas le seul site hébergé utilisant cette adresse IP. En effet, l’adresse appartient à CloudFlare, entreprise fournissant, entre autres, un service de proxy inversé, utilisé par ce site, mais aussi par des centaines d’autres qui partagent son adresse IP.

Pour avoir une liste de ces sites, il est possible de faire appel à un service comme DNSlytics qui fournit une association “Adresse IP -> Nom de domaine”.

Capture d’écran du site DNSlytics.com

Ainsi, on assiste à un blocage illégitime de dizaines / centaines de sites, auxquels il n’est plus possible d’accéder:

Les symptomes sont facilement détectables, avec un simple traceroute:

% traceroute www.masscience.com
traceroute to www.masscience.com (104.27.184.150), 30 hops max, 60 byte packets
 1  _gateway (X1.Y1.Z1.W1)  3.004 ms  3.564 ms  3.612 ms
 2  subdomain.domain.tld (X2.Y2.Z2.W2)  2.860 ms  2.949 ms  3.041 ms
 3  X3.Y3.Z3.W3 (X3.Y3.Z3.W3)  4.496 ms  5.679 ms  5.699 ms
 4  193.55.215.202 (193.55.215.202)  4.735 ms  5.369 ms  5.374 ms
 5  * * *
 6  * * *
 7  * * *
 []
 28 * * *
 29 * * *
 30 * * *

Au fait, Renater, c’est quoi?

Renater, Réseau national de télécommunications pour la technologie, l’enseignement et la recherche, est un groupement d’intérêt public, qui « offre un réseau hautement fiable et sécurisé, facilitant la collaboration et la convergence de projets scientifiques et académiques au niveau national mais aussi européen et international », au service des « des étudiants, chercheurs, enseignants et personnels de la communauté Education-Recherche » ( d’après https://www.renater.fr/fr/le-reseau-RENATER ).

Un FAI fermé au public…

Sur son site, l’entité se présente de cette manière: « Au niveau national, RENATER fournit un accès internet et des services associés à plus de 1300 sites de la communauté Education – Recherche ».

RENATER n’est cependant pas présent dans la liste des opérateurs télécoms de l’ARCEP. Cette dernière précise « En application du code des postes et communications électroniques, l’établissement et l’exploitation des réseaux ouverts au public et la fourniture au public des services de communications électroniques sont libres, sous réserve d’une déclaration préalable auprès de l’Arcep. ».

On en déduit donc que RENATER ne fournit pas de services de communications électroniques au public, car il n’apparait pas dans la liste de ces opérateurs télécoms.

… mais utilisé dans les résidences étudiantes

Ainsi, même si RENATER ne fournit pas de service au public, et n’est pas un FAI grand public, il est cependant utilisé comme tel par beaucoup d’étudiants des grandes écoles et universités françaises.

En effet, bon nombre de résidences étudiantes (notamment du CROUS, à en croire la charte que doivent signer les utilisateurs) sont branchées sur le réseau RENATER et fournissent Internet à leurs occupants par ce biais. Il n’est souvent pas possible aux étudiants de ces résidences d’utiliser un abonnement classique chez Free, Orange, SFR ou Bouygues pour se connecter à Internet, les forçant à utiliser la connexion de RENATER à des fins personnelles (en opposition avec la charte individuelle).

Le mot de la fin

On assiste donc à un « cas d’école »:

  • RENATER bloque un site web, sans y être invité ou contraint par la justice;
  • Plusieurs dizaines / centaines de sites webs légitimes sont bloqués, victimes d’un surblocage;
  • RENATER n’ayant pas le statut d’opérateur télécom, pas certain que cette mesure soit couverte par la loi (mais, I Am Not A Lawyer);
  • Pourtant, il y a parfois peu de différence en pratique entre l’utilisation du réseau de RENATER avec celui d’un FAI grand public.

Category: Network

© Rémy Grünblatt 🍃. Built using Pelican. Theme by Giulio Fidente on github.