SolutionsDeFiltrageVueTechnique : Différence entre versions
| Ligne 56 : | Ligne 56 : | ||
D'autant plus qu'une étude académique [Clayton,2005] a montré que, pour des raisons de coût, les solutions de ce type en production au Royaume-Uni appliquaient un traitement aux requêtes des utilisateurs qui ''peut être détecté par les utilisateurs finaux ce qui signifie que le système peut être utilisé comme un oracle pour trouver efficacement des sites web illégaux.'' | D'autant plus qu'une étude académique [Clayton,2005] a montré que, pour des raisons de coût, les solutions de ce type en production au Royaume-Uni appliquaient un traitement aux requêtes des utilisateurs qui ''peut être détecté par les utilisateurs finaux ce qui signifie que le système peut être utilisé comme un oracle pour trouver efficacement des sites web illégaux.'' | ||
| − | Par ailleurs, le fait de demander aux opérateurs de modifier en permanence leur configuration de routage n'est pas compatible avec l'utilisation de techniques d'optimisation devenues standard comme l'agrégation de routes. | + | Par ailleurs, le fait de demander aux opérateurs de modifier en permanence leur configuration de routage n'est pas compatible avec l'utilisation de techniques d'optimisation devenues standard comme l'agrégation de routes. C'est particulièrement vrai en France au regard du nombre d'accord de peering passés par les opérateurs. |
| − | Enfin, l'utilisation de commandes BGP pour redéfinir des routes en fonction de besoin de filtrage de contenus n'est pas une utilisation pour laquelle le protocole BGP, d'utilisation délicate, a été pensé. | + | Enfin, l'utilisation de commandes BGP pour redéfinir des routes en fonction de besoin de filtrage de contenus n'est pas une utilisation pour laquelle le protocole BGP, instable et d'utilisation délicate, a été pensé. |
Pour preuve, lorsque le Pakistan a ordonné le blocage de l'accès à des caricatures de Mahomet hébergés sur le service YouTube, un opérateur pakistanais appliquant l'ordonnance a envoyé une commande BGP à des équipements mal parametrés qui ont propagé la demande aux réseaux d'opérateurs hors juridiction pakistanaise. L'accès à YouTube a alors été interdit pendant plusieurs heures dans plusieurs pays du monde. Cet événement a mis en évidence des risques pour la sécurité nationale, comme l'ont relevé des spécialistes réseaux. | Pour preuve, lorsque le Pakistan a ordonné le blocage de l'accès à des caricatures de Mahomet hébergés sur le service YouTube, un opérateur pakistanais appliquant l'ordonnance a envoyé une commande BGP à des équipements mal parametrés qui ont propagé la demande aux réseaux d'opérateurs hors juridiction pakistanaise. L'accès à YouTube a alors été interdit pendant plusieurs heures dans plusieurs pays du monde. Cet événement a mis en évidence des risques pour la sécurité nationale, comme l'ont relevé des spécialistes réseaux. | ||
Version du 15 juin 2008 à 04:43
[ici un nota bene sur le fait que filtrer des DNS, des IP, ou des URL ce n'est pas identifier des contenus par leur empreinte à la volée ou filtrer des protocoles]
Ressources utilisées
Filtrage RST
http://www.cl.cam.ac.uk/~rnc1/ignoring.pdf
Filtrage par IP
http://cyber.law.harvard.edu/archived_content/people/edelman/ip-sharing/
Filtrage par DNS
http://md.hudora.de/publications/200306-gi-blocking/200306-gi-blocking.pdf
Filtrage par URL via BGP shunt (Cleanfeed, vaut aussi pour WebMinder)
http://www.cl.cam.ac.uk/~rnc1/cleanfeed.pdf
Vue d'ensemble
http://events.ccc.de/congress/2006/Fahrplan/events/1473.en.html
NB : toute information sur la solution norvégienne est bienvenue
http://www.zataz.com/news/6842/kripos.html
Notes
Cinq solutions sont envisageables.
Deux sont sur la table :
Le filtrage par URL via BGP shunt et proxy
Au travers d'enquêtes ou sur signalement d'internautes, les services de police maintiennent une liste d'url qui est communiquée aux FAI. Ces derniers récupère la listes d'adresse IP correspondant aux domaines des différentes url, puis envoie une commande à leurs routeurs via le protocole BGP pour les reconfigurer afin que toute demande d'accès à cette IP passent d'abord par la plateforme de filtrage.
Ainsi, lorsqu'un abonné demande à accéder à une ressource hébergée sur un site dont l'adresse IP correspond à celui d'une URL blacklistée, sa requête est redirigée par les routeurs vers la plateforme de filtrage et celle-ci bloque la communication si la ressource correspondante est dans sa liste noire.
Le problème est que le trafic dérivé vers les serveurs de filtrage doit pouvoir être absorbé. Or il peut très bien concerné des sites à fort trafic n'ayant rien à voir avec le site ciblé, une adresse IP pouvant être partagée.
Une étude académique de 2003 [Edelman] montrait que :
More than 87% of active domain names are found to share their IP addresses (i.e. their web servers) with one or more additional domains, and more than two third of active domain names share their addresses with fifty or more additional domains. While this IP sharing is typically transparent to ordinary users, it causes complications for those who seek to filter the Internet, restrict users' ability to access certain controversial content on the basis of the IP address used to host that content. With so many sites sharing IP addresses, IP-based filtering efforts are bound to produce "overblocking" -- accidental and often unanticipated denial of access to web sites that abide by the stated filtering rules.
Le trafic à absorber par la plateforme peut aussi subitement augmenté si l'un des sites hébergés est victime d'une attaque informatique visant à le saturer (attaque dite de déni de service). En plus des attaques collatérales ciblant vraiment des sites filtrés ou partageant la même IP qu'un site filtré, le système de filtrage est donc aussi exposé aux représailles d'organisations criminelles exploitant certains sites filtrés.
D'autant plus qu'une étude académique [Clayton,2005] a montré que, pour des raisons de coût, les solutions de ce type en production au Royaume-Uni appliquaient un traitement aux requêtes des utilisateurs qui peut être détecté par les utilisateurs finaux ce qui signifie que le système peut être utilisé comme un oracle pour trouver efficacement des sites web illégaux.
Par ailleurs, le fait de demander aux opérateurs de modifier en permanence leur configuration de routage n'est pas compatible avec l'utilisation de techniques d'optimisation devenues standard comme l'agrégation de routes. C'est particulièrement vrai en France au regard du nombre d'accord de peering passés par les opérateurs.
Enfin, l'utilisation de commandes BGP pour redéfinir des routes en fonction de besoin de filtrage de contenus n'est pas une utilisation pour laquelle le protocole BGP, instable et d'utilisation délicate, a été pensé.
Pour preuve, lorsque le Pakistan a ordonné le blocage de l'accès à des caricatures de Mahomet hébergés sur le service YouTube, un opérateur pakistanais appliquant l'ordonnance a envoyé une commande BGP à des équipements mal parametrés qui ont propagé la demande aux réseaux d'opérateurs hors juridiction pakistanaise. L'accès à YouTube a alors été interdit pendant plusieurs heures dans plusieurs pays du monde. Cet événement a mis en évidence des risques pour la sécurité nationale, comme l'ont relevé des spécialistes réseaux.
It would be feasible for a small group of people to grab a range of BGP speaking routers which have been violated and owned (i.e. someone as broken into them) to advertise BGP prefixes from all over the Internet. The result would not take out the Internet - but it would cause massive disruption. Massive disruption of the telecommunications system exacerbates a crisis - which is what you want if you want your terrorist attack to have a more impactions. In other words, the press coverage of this BGP prefix leak is shining light on an attack vector which can cause some serious havoc during a period where people will need the Internet the most. [YouTube Black Hole - What’s the real point? http://www.getit.org/wordpress/?p=82]
Tous les spécialistes réseaux intérrogés par la Quadrature du Net sont littéralement horrifiés que cette technique de filtrage puisse être envisagée vu les risques qu'elle présente pour le réseau dans son entier. Il serait irresponsable que l'État français encourage l'utilisation d'une telle technique, et engage sa responsabilité lorsqu'elle est utilisée.
Le filtrage par DNS : Avec cette solution, ce n'est pas le contenu illégal qui est filtré, mais l'intégralité du domaine internet qui l'héberge (par exemple pcinpact.com). Concrètement, l'intégralité d'un site de pages personnelles pourrait disparaître de la vue des internautes français pour une image non retirée dans les délais imposés par l'administration française (la ministre de la famille parle de 24h00 de délai). Cette technique peut également entraîner le blocage de sous-domaines en fonction de la façon dont la requête est rédigée et interdire des communications non visées par la requête (par exemple interdire l'envoi et la réception de courriels relatifs au domaine, et non plus seulement l'accès aux pages hébergées).
Une étude académique de 2003 [Dornseif] étudiant le cas du filtrage d'un site nazi ordonné par une autorité allemande a montré que tous les ISP étudiés ont fait au moins une erreur de configuration lorsqu'il s'est agit de configurer les filtres DNS. Ils n'ont pas bloqué ainsi le site souhaité (sous-blocage) ou au contraire en ont bloqué d'autres non visés par la requête (surblocage). Au final, sur 27 fournisseurs d'accès, 45% étaient à la fois en situation de surblocage et de sous-blocage et 55% étaient "seulement" en situation de surblocage.
L'étude soulignait par ailleurs que le contenu web est très volatile. Les serveurs web sont réorganisés, les domaines ont de nouveaux propriétaires. Ceci a été très clairement démontré dans le contexte des requêtes de blocage du site web www.front14.org : à l'automne 2001 ce site contenait un portail d'extrême droite mais au printemps 2002 il y avait un catalogue web à la même adresse. Ceci souligne la nécessité d'identifier les pages à bloquer pas seulement par leur emplacement mais par leur contenu actuel.
L'efficacité de cette solution est quasi-nulle. Il suffit d'une manipulation triviale sur l'ordinateur de l'utilisateur pour définitivement passé outre.
Trois solutions ne sont pas sur la table.
Le filtrage par IP : Il s'agit de maintenir une liste d'adresses IP ou de blocs d'adresses IP pour lesquels les routeurs des opérateurs appliquant ce filtrage ne vont pas transmettre les paquets, mais simplement les ignorer. Ainsi, tout échange de données passant par un routeur appliquant ce filtrage est impossible. Cette solution se contourne par des proxy extérieurs (proxy web anonymisants ou non, tunnels, etc.). Elle bloque tout accès à un serveur ou un groupe de serveurs, et ne permet pas de traiter séparément des contenus différents ou des sites web différents sur une même machine.
Une étude académique de 2003 [Edelman] montrait que :
More than 87% of active domain names are found to share their IP addresses (i.e. their web servers) with one or more additional domains, and more than two third of active domain names share their addresses with fifty or more additional domains. While this IP sharing is typically transparent to ordinary users, it causes complications for those who seek to filter the Internet, restrict users' ability to access certain controversial content on the basis of the IP address used to host that content. With so many sites sharing IP addresses, IP-based filtering efforts are bound to produce "overblocking" -- accidental and often unanticipated denial of access to web sites that abide by the stated filtering rules.
Cependant, cette solution a l'avantage de pouvoir aisément être appliquée à une partie des connexions, par exemple uniquement les connexions provenant des internautes particuliers, ou provenant des équipements en libre-accès, sans affecter les connexions provenant d'internautes plus privilégiés (par exemple les services de police qui eux doivent accéder facilement).
Le filtrage par URL via proxies transparents obligatoires : même approche que précédemment (blocage de liens vers des contenus et non de sites) mais toutes les requêtes des internautes français passent par des machines filtrantes car il n'y a pas de tri préalable sur les adresses IP. La société Noos utilisait il y a quelques années une telle solution. Elle a été abandonnée car elle posait des problèmes de surblocage et impliquait un coût croissant au fil de l'extension du réseau de l'opérateur. Le coût de mise en place d'une telle solution serait désormais exhorbitant dans un environnement concurrentiel. Elle reste contournable facilement via l'utilisation de proxy anomymisants, qu'ils soient installés sur les clients ou proposés par des serveurs étrangers, qui eux ne peuvent être interdits car proposant une fonctionnalité générique. Ce filtrage par proxy anonymisant est le modèle choisi par le FAI national Tunisien et l'Arabie Saoudite.
Le filtrage par paquets RST : les URL des sites web visités sont analysées en regard d'une liste de mots-clés et d'une liste noire d'URL, et les routeurs par lequels transite la connexion envoient au client et au serveur un paquet RST, qui a comme conséquence naturelle la clôture de la connexion TCP. La connexion est close dès qu'elle est établie et reconnue, aucun contenu ne peut être échangé. Cela nécessite que tout le trafic à contrôler passe par des infrastructures réseau maîtrisées par les autorités de contrôle. C'est [une des techniques en chine http://www.lightbluetouchpaper.org/2006/06/27/ignoring-the-great-firewall-of-china/]. Cela peut être contourné en ignorant délibérément ces paquets RST sur le client *et* sur le serveur, ce qui n'est pas à la portée de la plupart des internautes.
