Au tout début était Internet (2/2) - Stéphane Bortzmeyer

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Au tout début était Internet (1/2)

Intervenant : Stéphane Bortzmeyer

Lieu : Quimper - Centre des Abeilles - Entrée Libre #3

Date : 18 mai 2023

Durée : 32 min 26

Vidéo

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription

Les services sont évidemment importants parce que c'est ce que veulent les gens. Personne ne paye un abonnement à Internet juste pour le plaisir d'être connecté à l'infrastructure. On paye un abonnement internet parce qu'on va avoir accès à des choses intéressantes, rigolotes, utiles. Néanmoins, tout cela repose sur une infrastructure.

Mais il n’y a pas que les services

Un exemple d'infrastructure, je vais en parler parce que c'est mon métier, donc je vais un peu insister là-dessus, c'est un truc rigolo : les noms de domaine. Un exemple de nom de domaine c'est celui est utilisé pour le site web de Entrée Libre.

Qu'est-ce qu'il y a derrière un nom de domaine ?
Souvent on voit mieux, on comprend mieux l'infrastructure quand elle plante. Rappelez-vous de mon exemple avec les éboueurs, personne ne pense au ramassage des ordures sauf quand les éboueurs sont en grève et là, tout à coup, on dit « zut, c'est vrai, ce n'est pas par magie. Il y a vraiment des gens qui viennent et qui enlèvent les ordures ! C'est dingue ça ! Je ne savais pas ». On a un peu le même problème pour toutes les infrastructures : on les voit quand elles tombent en panne, quand il y a un problème. C’est donc intéressant de parler des problèmes, parce que ça illustre justement comment ça fonctionne. Plutôt que de vous faire un cours sur les noms de domaine, puisque vous n'êtes pas venu pour ça à priori, si ça vous intéresse pouvez toujours me parler après, pendant les trois jours d'Entrée Libre : si vous voulez voir Scribouilli, vous allez voir Maiwann, si vous voulez des noms de domaine vous venez me voir, je peux vous en parler pendant des heures et des heures, mais il y a quand même le déjeuner, donc je ne vais pas le faire. Je vais plutôt vous parler d'exemples récents de pannes, de problèmes qui illustrent à quel point l'infrastructure, elle aussi, est politique et, elle aussi, a des conséquences sur ce que vous pouvez faire ou ne pas faire.

Un exemple récent

Par exemple, il y a un service de messagerie instantanée qui s'appelle Telegram. Si vous écoutez BFM TV, on a dû vous dire au moins une fois que Telegram c'est la messagerie cryptée des djihadistes. Je vous le dis tout de suite, il ne faut pas se fier à ce qu'on entend sur BFM TV !
Telegram est donc un service de messagerie instantanée qui est très populaire, entre autres, en gros, dans les pays de l'Est. Si vous voulez communiquer, par exemple, avec des Ukrainiens vous avez des chances qu’ils utilisent Telegram.
Ça permet plusieurs choses. Entre autres, vous pouvez envoyer et recevoir des fichiers : quelqu'un qui a un accès à Telegram peut mettre une image quelque part et envoyer sur Telegram un message disant « regardez cette jolie image » et, à ce moment-là, hop.

Toute ressource, sur le Web, va être désignée par ce qu'on appelle techniquement une URL, en gros une adresse web. Si vous dites « adresse web », ça ne me gêne pas, c'est exactement ça.
Voilà par exemple un exemple d’URL [1]. Vous verrez souvent « https » au début, les deux slashs puis des tas d’autres caractères que vous n'avez pas besoin de comprendre, vous avez juste besoin de cliquer dessus.
Le truc intéressant à comprendre dans notre cas, c'est que, dans l’URL, il y a un nom de domaine, ici hostux.social ou bien, quand vous regardez le site web de Entrée Libre, vous aviez le entreelibre.quimpernet.xyz dedans.
Telegram, par exemple, utilisait aussi des noms de domaine pour les URL des fichiers accessibles par le Web, avec un nom de domaine très court, t.me, mais ça marche il n'y a pas de raison, un nom de domaine ce n'est pas forcément long et compliqué. Ce qui est rigolo c'est que, sur Telegram, il y a aussi des gens qui distribuent du contenu illégal ; toutes les activités humaines ont migré sur l'Internet, y compris les activités illégales. Il y avait donc des gens qui distribuaient du contenu illégal.
Pour faire fonctionner ses URL, on utilise un truc qui s'appelle le DNS, Doamin Name System], qui permet, à partir d'un nom de domaine, d'avoir des informations techniques qui vont servir au logiciel pour accéder à la ressource et in fine voir la jolie image sur son écran ou le texte intéressant.

Je ne vais pas expliquer le DNS, c'est un peu compliqué, il y a pas le temps ici, mais dans le DNS il y a une machine importante qui s'appelle le résolveur, qui est une machine qui est typiquement gérée par votre fournisseur d'accès à Internet. Si vous êtes, à la maison, client de Orange, SFR, etc., c'est Orange SFR, etc., qui gèrent un résolveur DNS pour vous, que votre machine utilise sans que vous vous en rendiez compte .
Si vous êtes connecté au réseau social du Centre des Abeilles, je ne sais pas qui gère le résolveur, je n'ai pas regardé, mais si vous êtes, par exemple, dans votre entreprise et votre entreprise a son réseau local, typiquement il y a un résolveur géré par le service informatique de l'entreprise.
Donc le résolveur est super important puisque tout passe par lui, quasiment toute activité sur Internet va commencer par un nom de domaine, que ça soit le courrier électronique, le Web, etc. Donc, si vous avez un problème avec le résolveur, vous êtes mal !

Telegram, suite

Comme c'est un point de passage obligé, eh bien il y a des gens à qui ça donne des idées. « Un point de passage obligé, mais c'est cool ! Ça permet de mettre un contrôle, de mettre un guichet, c'est drôlement bien !
En France, par exemple, ça a été développé, il y a un mécanisme organisationnel, pas technique, de censure où il y a plusieurs organismes, dont le ministère de l'Intérieur mais pas uniquement, qui élaborent des listes de noms de domaine illégaux qu'il faut censurer pour différentes raisons. Pour le ministère de l'Intérieur, en théorie, c'est uniquement propagande terroriste et pédopornographie. Ensuite cette liste est envoyée aux fournisseurs d'accès, donc Orange, Bouygues, SFR, Free, etc., qui sont censés configurer leur résolveur DNS : pour répondre, quand l'utilisateur demande les noms en question, « pas question » ou pour répondre autre chose, en tout cas pour empêcher l'accès au service qui était visé. Cela existe depuis des années, ce n'est pas nouveau, c'est un truc assez ancien maintenant. Ce qui est rigolo c'est ce qui s'est passé le 13 mai, il n’y a pas longtemps, on parle vraiment de trucs d'actualité.
Le 13 mai dernier, un policier était à son bureau, place Beauvau, et regardait les signalements, c'est-à-dire les rapports qu'ont envoyé les utilisateurs pour dire « là, il y a un truc qui est illégal ». On lui transmet une URL en lui disant « ça pointe vers un contenu illégal ». Il regarde, « ah oui, effectivement, c'est illégal même pas glop du tout ». Il extrait le nom de domaine, puisque les résolveurs DNS traitent des noms de domaine, donc dans l’URL entière il prend juste le nom de domaine, il l'ajoute à la liste des noms censurés qui est envoyée ensuite aux fournisseurs d'accès. Ah ! pas de bol !

Public : Une question : c’est un mécanisme organisationnel qui est donc géré uniquement par l’exécutif, sans décision de justice ?

Stéphane Bortzmeyer : Oui. Tout à fait. Il y a d'autres sources de censure qui fonctionnent fonctionne comme ça . L’ANJ [Autorité nationale des jeux], qui est l'autorité de régulation des jeux en ligne fait ça également et bientôt, mais c'est encore un projet de loi en cours de discussion, l'Arcom [Autorité de régulation de la communication audiovisuelle et numérique], le régulateur de la télé. Mais le ministère de l'Intérieur, ça fait des années.

Public : L’Arcom c’est ce qui est géré avec l’Arcep, c’est ça ?

Stéphane Bortzmeyer : Non, pas du tout, ce sont deux organismes complètement séparés. L’Arcom c'est la fusion du CSA et de la Hadopi. L’Arcep est complètement à part.
C'est effectivement un processus qui ne met pas en jeu la justice et en plus, dans ce cas-là, je crois qu'il n’y a même pas de contrôle à postériori.
Le policier extrait le nom de domaine, l'ajoute à la liste, et paf, pas de bol ! Le nom en question c'était celui utilisé par Telegram. En fait, quelqu'un partageait effectivement du contenu illégal sur Telegram, avec une URL. Comme le mécanisme technique de censure, à la fin, fonctionne sur des noms de domaine, il ne peut pas filtrer au niveau d'une URL particulier, donc il a pris tout le monde domaine, t.me, et paf ! À ce moment-là Telegram a cessé de fonctionner, ce qui est très embêtant pour beaucoup de gens puisque Telegram est très utilisé dans certains milieux militants, certains milieux associatifs, très utilisé dans certains pays plus que d'autres, notamment en Ukraine et dans pas mal d'autres pays aussi. Paf ! La bavure. La police a reconnu la bavure, plus exactement Le Monde a publié un article qui disait « Un porte-parole de la police nationale nous a confirmé l'erreur ». Je n'en sais pas plus.

Public : C’est le stagiaire, comme on dit !

Stéphane Bortzmeyer : On dit toujours « la stagiaire », parce que c'est encore mieux, elles sont maladroites, c'est bien connu !
Donc on ne sait pas. Il y a des gens comme le député breton, Éric Bothorel, qui ont dit : « Il faut comprendre, tout le monde peut faire des erreurs ! ». Effectivement, tout le monde peut faire des erreurs , c'est sûr, mais là on avait tout un mécanisme qui était mis en place pour censurer, donc, la vraie erreur ce n'était pas la faute du policier qui était stressé, qui avait trop de boulot, qui n'avait pas de supervision, etc. la vraie erreur c'est d'avoir mis en place ce dispositif. Ce n'est pas le type qui fait la bavure qui est responsable, ce sont tous les gens qui ont mis en place ce système qui appelait à une bavure, quasiment.

J'aime bien citer des exemples récents pour montrer que je ne fais pas le même la même conférence à chaque Entrée Libre. Cette histoire illustre plusieurs points. Ça illustre l'importance du DNS puisque tout passe par les noms de domaine, le fait qu'il existe un mécanisme de censure et le fait que les bavures peuvent arriver et, dans ce cas-là, les conséquences sont très fâcheuses.

Autre exemple récent

Ça peut aussi concerner des cas où ce sont des pannes et pas des accidents.
Par exemple, une heure avant le début de ma conférence on m'a signalé que le nom de domaine du ministère de la Culture, culture.gouv.fr, ne fonctionnait plus et, effectivement, il ne fonctionne plus. Il est géré sur une seule machine qui soit était en panne soit avait un autre problème. Si jamais, au lieu d'écouter ma conférence, vous vouliez visitez le site web du ministère de la Culture vous pouvez pas ! Je l’ai signalé à Rima Abdul Malak, mais elle n'a pas encore corrigé, c’est dingue ! C'est peut-être aussi parce que c'est un jour férié.

Un autre exemple, 15 mai, encore plus récent, qui, cette fois, n'est pas une bavure, cette fois c'est fait exprès.
Le 15 mai, la justice a été saisie par des ayants-droit du cinéma du problème du service Uptobox qui est un service de partage de fichiers. Quand vous mettez à disposition des gens un service de partage de fichiers, ils partagent des cours, des gros livres compliqués… Non ! En fait, ils partagent des films qu'ils ont copiés, que normalement ils n’avaient pas le droit de copier. Donc les ayants droit s'énervent parce que le cinéma c'est un gros business, ce n'est pas juste le festival de Cannes avec Maiwann qui monte les marches avec une belle robe et des trucs comme ça, c'est aussi une grosse industrie qui brasse beaucoup de fric. Donc ils saisissent la justice et la justice aime bien des gens qui ont de l'argent, donc la justice ordonne la censure du service de partage Uptobox. Ça c'est fait exprès, ce n'est pas une bavure, c’est une décision délibérée.
Il y a quand même eu un petit cafouillage, le truc le plus rigolo c'est que Uptobox n'a pas été prévenu, donc on n'a pas pu se défendre. J’ai été un peu surpris, mais un avocat spécialisé, Alexandre Archambault, m'a expliqué que non, c'est tout à fait normal, c'est parce qu'en fait l'idée c'est que Uptobox était juste l'intermédiaire ; le vrai le vrai délinquant c'était la personne qui partageait les données, on ne la connaissait pas, donc, dans le cas d’un procès, ce n'était pas un procès pour punir Uptobox, ils n'ont pas été condamnés ni à des amendes, ni à de la prison, dans ce cas-là il aurait fallu qu'ils soient cités dans le procès pour pouvoir se défendre, donc ils n'ont pas été prévenus du tout. Quand la mise en œuvre technique de la censure a commencé, ils n'étaient pas au courant. Ils ont demandé « mais qu'est-ce qui se passe ? », évidemment personne ne leur a répondu. C’est un peu comme quand vous appelez un service pour dire qu’il y a eu un problème avec la livraison, vous n'avez jamais de réponse, c’est pareil ici.

Autre exemple récent 12’ 57

Autre problème, c'est Orange