SolutionsDeFiltrageVueTechnique : Différence entre versions
| Ligne 1 : | Ligne 1 : | ||
[ici un nota bene sur le fait que filtrer des DNS, des IP, ou des URL ce n'est pas identifier des contenus par leur empreinte à la volée ou filtrer des protocoles] | [ici un nota bene sur le fait que filtrer des DNS, des IP, ou des URL ce n'est pas identifier des contenus par leur empreinte à la volée ou filtrer des protocoles] | ||
| + | |||
| + | Études utilisées | ||
| + | |||
| + | http://www.cl.cam.ac.uk/~rnc1/ignoring.pdf | ||
| + | |||
| + | http://cyber.law.harvard.edu/archived_content/people/edelman/ip-sharing/ | ||
Cinq solutions sont envisageables. | Cinq solutions sont envisageables. | ||
| Ligne 23 : | Ligne 29 : | ||
etc.). Elle bloque tout accès à un serveur ou un groupe de serveurs, | etc.). Elle bloque tout accès à un serveur ou un groupe de serveurs, | ||
et ne permet pas de traiter séparément des contenus différents ou des | et ne permet pas de traiter séparément des contenus différents ou des | ||
| − | sites web différents sur une même machine. Cependant, elle a l'avantage | + | sites web différents sur une même machine. |
| + | |||
| + | Une étude académique de 2003 montrait que : | ||
| + | |||
| + | ''More than 87% of active domain names are found to share their IP addresses (i.e. their web servers) with one or more additional domains, and more than two third of active domain names share their addresses with fifty or more additional domains. While this IP sharing is typically transparent to ordinary users, it causes complications for those who seek to filter the Internet, restrict users' ability to access certain controversial content on the basis of the IP address used to host that content. With so many sites sharing IP addresses, IP-based filtering efforts are bound to produce "overblocking" -- accidental and often unanticipated denial of access to web sites that abide by the stated filtering rules.'' | ||
| + | |||
| + | [Edelman, B.: Web Sites Sharing IP Addresses: Prevalence and Significance. Berkman | ||
| + | Center for Internet and Society (February 2003) http://cyber.law.harvard.edu/archived_content/people/edelman/ip-sharing/] | ||
| + | |||
| + | |||
| + | |||
| + | Cependant, elle a l'avantage | ||
de pouvoir aisément être appliquée à ''une partie'' des connexions, par | de pouvoir aisément être appliquée à ''une partie'' des connexions, par | ||
exemple uniquement les connexions provenant des internautes | exemple uniquement les connexions provenant des internautes | ||
Version du 12 juin 2008 à 14:52
[ici un nota bene sur le fait que filtrer des DNS, des IP, ou des URL ce n'est pas identifier des contenus par leur empreinte à la volée ou filtrer des protocoles]
Études utilisées
http://www.cl.cam.ac.uk/~rnc1/ignoring.pdf
http://cyber.law.harvard.edu/archived_content/people/edelman/ip-sharing/
Cinq solutions sont envisageables.
Le filtrage par DNS : peu coûteux par rapport aux autres solutions, mais très facilement contournable et susceptible d'engendrer d'importants dommages collatéraux. Avec cette solution, ce n'est pas en le contenu illégal qui est filtré, mais l'intégralité du domaine internet qui l'héberge (par exemple pcinpact.com). Concrètement, l'intégralité d'un site de pages personnelles pourrait disparaître de la vue des internautes français pour une image non retirée dans les délais imposés par l'administration française (la ministre de la famille parle de 24h00 de délai). La Chine évite désormais ce système qui n'est pas assez granulaire, peu efficace et met trop en évidence la censure pratiquée dans ce pays.
Le filtrage par IP : simple mais contournable et avec d'importants dommages collatéraux; il s'agit de maintenir une liste d'adresses IP ou de blocs d'adresses IP pour lesquels les routeurs des opérateurs appliquant ce filtrage ne vont pas transmettre les paquets, mais simplement les ignorer. Ainsi, tout échange de données passant par un routeur appliquant ce filtrage est impossible. Cette solution se contourne par des proxy extérieurs (proxy web anonymisants ou non, tunnels, etc.). Elle bloque tout accès à un serveur ou un groupe de serveurs, et ne permet pas de traiter séparément des contenus différents ou des sites web différents sur une même machine.
Une étude académique de 2003 montrait que :
More than 87% of active domain names are found to share their IP addresses (i.e. their web servers) with one or more additional domains, and more than two third of active domain names share their addresses with fifty or more additional domains. While this IP sharing is typically transparent to ordinary users, it causes complications for those who seek to filter the Internet, restrict users' ability to access certain controversial content on the basis of the IP address used to host that content. With so many sites sharing IP addresses, IP-based filtering efforts are bound to produce "overblocking" -- accidental and often unanticipated denial of access to web sites that abide by the stated filtering rules.
[Edelman, B.: Web Sites Sharing IP Addresses: Prevalence and Significance. Berkman Center for Internet and Society (February 2003) http://cyber.law.harvard.edu/archived_content/people/edelman/ip-sharing/]
Cependant, elle a l'avantage de pouvoir aisément être appliquée à une partie des connexions, par exemple uniquement les connexions provenant des internautes particuliers, ou provenant des équipements en libre-accès, sans affecter les connexions provenant d'internautes plus privilégiés (par exemple les services de police).
Le filtrage par URL via BGP shunt : plus efficace mais plus coûteux, et susceptible également d'importants dommages collatéraux. En pratique, suite à des enquêtes ou sur signalement d'internautes, les services de police enverront aux FAI des listes d'URL (lien pointant vers un contenu) à bloquer. Lorsqu'un abonné demande à accéder à un site dont l'adresse IP correspond à celui de l'URL listée, sa requête est redirigée vers un serveur filtrant les demandes d'accès, pour n'autoriser l'accès qu'aux contenus non listés. Le problème est que le trafic ainsi dérivé vers les serveurs de filtrage doit pouvoir être absorbé et que les risques pour le réseau sont très importants. Un exemple concret est ce qui s'est produit lorsque le Pakistan a ordonné le blocage de l'accès aux caricatures de Mahomet hébergés sur le service YouTube. Un opérateur appliquant l'ordonnance a envoyé un message technique mal paramétré à ses équipements qui ont propagé la demande au réseau d'opérateurs hors juridiction pakistanaise. L'accès à YouTube a alors été interdit pendant plusieurs heures dans plusieurs pays du monde. Cet événement a mis en évidence les risques de tels procédés pour la sécurité nationale, comme l'ont relevé des spécialistes réseau.
It would be feasible for a small group of people to grab a range of BGP speaking routers which have been violated and owned (i.e. someone as broken into them) to advertise BGP prefixes from all over the Internet. The result would not take out the Internet - but it would cause massive disruption. Massive disruption of the telecommunications system exacerbates a crisis - which is what you want if you want your terrorist attack to have a more impactions. In other words, the press coverage of this BGP prefix leak is shining light on an attack vector which can cause some serious havoc during a period where people will need the Internet the most. [YouTube Black Hole - What’s the real point? http://www.getit.org/wordpress/?p=82]
Le filtrage par URL via proxies transparents obligatoires : même approche que précédemment (blocage de liens vers des contenus et non de sites) mais toutes les requêtes des internautes français passent par des machines filtrantes car il n'y a pas de tri préalable sur les adresses IP. La société Noos utilisait il y a quelques années une telle solution. Elle a été abandonnée car elle posait des problèmes de surblocage et impliquait un coût croissant au fil de l'extension du réseau de l'opérateur. Le coût de mise en place d'une telle solution serait désormais exhorbitant pour les fournisseurs d'accès. Elle reste contournable facilement via l'utilisation de proxy anomymisants, qu'ils soient installés sur les clients ou proposés par des serveurs étrangers, qui eux ne peuvent être interdits car proposant une fonctionnalité générique. Ce filtrage par proxy anonymisant est le modèle choisi par le FAI national Tunisien.
Le filtrage par paquets RST : les URL des sites web visités sont analysées en regard d'une liste de mots-clés et d'une liste noire d'URL, et les routeurs par lequels transite la connexion envoient au client et au serveur un paquet RST, qui a comme conséquence naturelle la clôture de la connexion TCP. La connexion est close dès qu'elle est établie et reconnue, aucun contenu ne peut être échangé. Cela nécessite que tout le trafic à contrôler passe par des infrastructures réseau maîtrisées par les autorités de contrôle. C'est [une des techniques en chine http://www.lightbluetouchpaper.org/2006/06/27/ignoring-the-great-firewall-of-china/]. Cela peut être contourné en ignorant délibérément ces paquets RST sur le client *et* sur le serveur, ce qui n'est pas à la portée de la plupart des internautes.
