Ce week-end, les adresses URL de Telegram t.me ont été redirigées par erreur pendant une demi-journée vers une page du ministère de l'Intérieur expliquant aux internautes qu'ils avaient essayé de se connecter « à un site comportant des images de pornographie enfantine ».

Samedi 13 au matin, les adresses du domaine t.me, utilisé comme raccourcisseur d'URL par Telegram, ont été bloquées pour les clients de la plupart des fournisseurs d'accès à internet par la police, explique Le Monde. 

Au lieu de renvoyer vers l’URL cible, les liens renvoyaient vers une page du site du ministère de l'Intérieur avec un message expliquant à l'internaute qu'il avait tenté de se connecter « à un site comportant des images de pornographie enfantine ».

Selon le journal, « c’est la police qui a transmis aux FAI français une demande de blocage ». L'ajout du domaine entier t.me par la cellule Pharos comme site à bloquer par les FAI a poussé ceux-ci à procéder automatiquement à la redirection sur leurs serveurs DNS vers le site du ministère.

Un blocage de sites pédopornographiques mal paramétré

Contactée par le Monde, la police explique avoir voulu bloquer des sites pédopornographiques relayés dans des messages Telegram : une « erreur individuelle a conduit à une demande de blocage plus large que nécessaire ».

Ce domaine a finalement été retiré de la liste de redirection de Pharos et la situation est revenue à la normale dans la journée de samedi.

Pierre-Yves Baudouin, administrateur de Wikimédia, rappelle que l'Internet Archive avait déjà « reçu une demande un peu bâclée des autorités françaises pour retirer 550 pages », et que Google.fr avait été bloqué pour apologie du terrorisme suite à une « erreur humaine » d’Orange.

• Google.fr bloqué pour apologie du terrorisme suite à une « erreur humaine » d’Orange

Une page qui tracke les IP, depuis un serveur hébergé aux États-Unis

Sur Twitter, Cécile Morange d’AtaxyaNetwork détaille le fonctionnement de ces « DNS menteurs », et les questions que cela pose, tout comme le fait sur son site Stéphane Bortzmeyer, qui fait aussi remarquer qu'un code JavaScript sur la page du Ministère de l'Intérieur enregistre « les visites, auprès du service “ATInternet”, en étiquetant tout visiteur, pourtant bien involontaire, comme pédo-pornographe. (Ceci, en plus de l'enregistrement habituel de l'adresse IP du visiteur dans le journal du serveur HTTP.) », ce qui pourrait violer l'arrêt Schrems II, le système étant hébergé chez Amazon aux États-Unis, relève Aeris.

En 2016, le député Lionel Tardy avait rappelé, dans une question parlementaire, que la CNIL avait relevé que « le cadre juridique actuel ne permet ni la collecte ni l'exploitation, par l'OCLCTIC, des données de connexion des internautes qui seraient redirigés vers la page d'information du ministère de l'Intérieur ».

Soulignant une divergence d'interprétation entre les juridictions de l'ordre administratif et celles de l'ordre judiciaire, il avait dès lors souhaité « savoir si le traitement opéré au titre de l'exploitation du serveur d'information vers lequel sont redirigés les contenus faisant l'objet d'une mesure de blocage administratif a bien fait l'objet d'un examen préalable par la CNIL, et dans l'affirmative quelles sont les raisons qui motivent l'absence de publication de l'avis », mais n'a jamais reçu de réponse.

Quid du projet de loi visant à « sécuriser et réguler l’espace numérique » ?

Pierre Beyssac, porte-parole du Parti Pirate, rappelle, de son côté, les nombreux problèmes et questions qui avaient été posés au sujet de ce type de blocage de site sans validation par un juge, mais auxquels les gouvernements successifs n’ont jamais clairement répondu depuis son adoption en 2014, et fait également le lien avec le projet de loi visant à « sécuriser et réguler l’espace numérique » (SREN, ou #PJLSREN) que vient de déposer le gouvernement, et qui voudrait élargir ce type de blocage administratif :

« L’arbre du DNS ne doit pas cacher la forêt : il existe une tendance de fond de l’État et du politique, en France et au-delà, à vouloir régenter, censurer et surveiller, non seulement Internet, mais l’ensemble de notre vie privée, à l’aide de nos usages grandissants de la technologie, qui présentent des coffres aux trésors très tentants. Les critiques n’ont pas manqué sur les dangers d’un tel procédé :

1. 1. érosion des garanties démocratiques en supprimant le juge
   2. risques de surblocage en raison du procédé utilisé
   3. risques d’erreurs de manipulation, réduisant la résilience de l’Internet français
   4. opacité, la liste n’étant pas publique
   5. risques d’extension sans fin du système à de nombreux cas d’application bénins. »

• La personnalité qualifiée a examiné 83 000 demandes de retrait, contre 133 000 l'an passé
• « Sécuriser et réguler » le numérique : ce que contient le projet de loi

« Il est également à craindre que l’extension de l’ampleur du système provoque une multiplication des bavures comme celle concernant Telegram ce samedi, rendant Internet de moins en moins fiable », déplore Pierre Beyssac, d'autant que la liste des autorités et administrations en mesure d’édicter des blocages DNS sans juge, pourrait s'allonger avec le projet de loi SREN.

Outre l'OCLCTIC (office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), l’ANJ (autorité nationale des jeux), le PJLSREN voudrait en effet étendre la mesure à la DGCCRF (répression des fraudes : sites commerciaux d’arnaques), l’ARCOM (sites ne procédant pas à une vérification forte d’âge pour l’accès à la pornographie ; sites de propagande étrangère ; possiblement sites de piratage de streams de contenus sportifs) « et potentiellement, si on en croit l’étude d’impact », l’ANSSI (agence nationale de la sécurité des systèmes d’information), l’ACPR (autorité de contrôle prudentiel et de résolution), l’AMF (autorité des marchés financiers), CyberGend (commandement de la gendarmerie dans le cyberespace), le GIP ACYMA, la mission d’appui au patrimoine immatériel de l’État (APIE), Signal Spam.

De l'art d'écarter la justice a priori lorsqu’il s’agit d’internet

« On ne pouvait rêver meilleur timing pour démontrer par l'absurde que confier à une autorité administrative le soin de décider dans son coin sans débat préalable devant un juge ce qui peut être bloqué sur Internet n'est pas l'idée du siècle », relève l'avocat Alexandre Archambault, faisant lui aussi le lien avec le projet de loi visant à « sécuriser et réguler l’espace numérique », tout en renvoyant à des propos tenus par la députée Laure de la Raudière (aujourd'hui à la tête de l'Arcep) en 2014 : 

« Je constate malheureusement plusieurs choses récurrentes. Les dispositions relatives au filtrage administratif du Net, prévues à l’article 9, relèvent au mieux d’une méconnaissance du fonctionnement des réseaux, et donc de l’amateurisme, au pire d’une atteinte volontaire aux libertés individuelles des internautes par l’absence préalable de saisine du juge judiciaire.

Monsieur le ministre, vous êtes-vous posé deux questions essentielles ? Quelles sont les conséquences du fait de vouloir systématiquement écarter la justice a priori lorsqu’il s’agit d’internet ? Le dispositif proposé est-il réellement efficace et utile ? N’a-t-il pas, au contraire, des effets pervers ?  »

« Dans un souci de transparence bienvenue et nécessaire, je compte bien que nous ayons le détail des raisons qui ont conduit au blocage de http://t.me ce matin », a de son côté tweeté le député (Renaissance) Éric Bothorel : « Et au passage aussi, un éclaircissement sur le Flag de la page du MI [Ministère de l'intérieur]. Conditions nécessaires à la confiance. », le Flag désignant ici l'étiquetage évoqué plus haut par le code JavaScript du site du Ministère de tous les visiteurs redirigés vers sa page.