Le 17 octobre, Orange a bloqué Google, Wikipedia et d’autres sites pour apologie du terrorisme. Le député Lionel Tardy demande désormais des comptes au ministère de l’Intérieur.
Un décret de février 2015 permet à la place Beauvau d’adresser régulièrement une liste noire de sites à bloquer aux fournisseurs d’accès français. Dans cette procédure sans juge a priori, les FAI, n’ont pas d’autres choix : une fois cette liste non publique en main, ils doivent alors rediriger les visiteurs des sites litigieux vers l’adresse IP du ministère qui explique les raisons du blocage (apologie ou incitation au terrorisme, pédopornographie).
Voilà pour la théorie.
Mi-octobre, ces rouages bien huilés ont grincé chez Orange. Suite à « une erreur humaine », un cafouillage s’est produit lors de l’actualisation de la liste noire. Résultat ? Plusieurs sites légitimes ont été bloqués. Et pas des nains : Google, Wikipédia, OVH. Il y aurait même une centaine de sites frappés par ce « fail » selon les informations données par le ministère, lors d’une réunion interne.
Le 18 octobre, l’Intérieur a communiqué sur l'incident : il a demandé des clarifications à Orange sur l'incident. Surtout, le même ministère a exigé de son prestataire technique « l’effacement définitif » des adresses IP collectées à des fins statistiques lors des consultations de la page de redirection.
Quelles ont été les données glanées dans la page de redirection ?
Cette précision a suscité la curiosité du député Lionel Tardy qui vient de questionner Bernard Cazeneuve sur « le périmètre des données traitées » par la page de redirection. Et notamment sur « la conservation ou non de l'URL complète émise par le navigateur de l'Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi ».
Il se souvient à cette occasion que dans son avis sur le décret de février 2015, la CNIL « relevait que le cadre juridique actuel ne permet ni la collecte ni l'exploitation [par l’Intérieur], des données de connexion des internautes qui seraient redirigés vers la page d'information du ministère de l'Intérieur ».
Certes, la CJUE a récemment estimé que la conservation des adresses IP pour lutter contre les cyberattaques était possible pour l’exploitant, mais cette modalité doit être prévue par les textes. Or, le doigt sur la législation française, le député constate qu’« il n'existe à ce jour aucune obligation spécifique de conservation à la charge d'un exploitant de service Internet de l'adresse IP de ses visiteurs ou utilisateurs ». De fait, l’obligation de conservation des données d'identification ne concerne que la création et la modification des contenus en ligne. Pas la consultation.
La CNIL a-t-elle autorisé un tel traitement ?
Du coup, il demande au ministère de clarifier « la portée des obligations de conservation des données de connexion pour les exploitants de sites Internet, et savoir si l'adresse IP des visiteurs fait partie des données devant être conservées ». De même, il veut savoir si le traitement de données en vigueur sur la page de redirection « a bien fait l'objet d'un examen préalable par la CNIL, et dans l'affirmative quelles sont les raisons qui motivent l'absence de publication de l'avis ».
Précisons enfin que la CNIL autorise les mesures de fréquentations sans recueil préalable du consentement de l’internaute. Seulement, celui-ci doit alors profiter « d’une information claire et complète » sur ce traitement, tout en bénéficiant de la possibilité de s’y opposer. Par ailleurs, « les deux derniers octets de l’adresse IP doivent être supprimés » afin d’éviter une géolocalisation trop précise.
Commentaires (47)
#1
il a pas tardy à se manifester lionel
#2
" />
en plus on est même pas ‘dredi
#3
L’un des élus que je trouve qui à un peu de jugeote, et qui change pas trop d’avis de mémoire." />
#4
ca m’étonne qu’ils n’aient pas à payer une compensation de perte de ca aux différents sites, pour la pub & l’image
ma foi, c’est quand même autre chose qu’un équipement réseau qui flanche
c’est un blocage validé par un humain (certes erroné)
#5
Mouais, réponse dans 2 ans qui dira de pas s’inquiéter, que tout est sous contrôle et que c’est la faute du gouvernement précédent
#6
Par ailleurs, « les deux derniers octets de l’adresse IP doivent être supprimés » afin d’éviter une géolocalisation trop précise.
Du coup ça fait des IP en 1.2.. non ?
C’est vrai que la geoloc doit être beaucoup plus compliquée.
#7
Et notamment sur « la conservation ou non de l’URL complète émise par le navigateur de l’Internaute
Question très pertinente:
Avec Google en page d’accueil par défaut, chargé depuis le cache.
L’abonné ne se rend pas compte que Google est coupé avant de valider sa recherche.
Le ministère peut récupérer toutes leurs requêtes." />
#8
He wasn’t Tardy to the Party ?
#9
Et notamment sur « la conservation ou non de l’URL complète émise par le navigateur de l’Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi ». Perso j’utilise un plugin sur chromium qui dégage le header “referer” de toutes les requetes, tranquille comme ça.
#10
J’aime toujours autant les questions de Monsieur TARDY :)
#11
#12
Ah ! C’est encore plus grave…
#13
Google est en https depuis longtemps.
Les requêtes utilisateurs ne peuvent donc pas être obtenues : la connexion TLS ne peut pas être établie avec un site qui ne connaît pas la clé secrète correspondant au certificat de Google.
#14
Bientôt grâce aux TAFTA/CETA soutenus par l’état français, Google pourra exiger un procès privé contre l’état français dans ce genre d’affaire, et faire payer quelques milliards d’impôt supplémentaire aux français pour gonfler le portefeuille des propriétaires de Google " />
#15
La faute est chez Orange qui a reconnu une erreur humaine. Google peut d’ores et déjà faire un procès civil contre Orange afin de récupérer le manque à gagner. L’État français n’a rien à voir dans ce dysfonctionnement.
Il faut arrêter de sauter sur n’importe quoi pour faire peur avec des arguments bâtis sur du vent !
#16
#17
#18
#19
Sur certains sites oui, on peut donc white-lister une url / un domaine en spécifiant si on veut conserver le referer du même domaine ou pas.
#20
C’est par défaut, donc ils n’ont rien à faire. Le http redirige vers le https.
#21
Autant pour moi sur Chrome et Firefox c’est du https par défaut depuis quelques versions " />
edit :
#22
Je ne sais pas pour Liara T’soni, mais le module que j’utilise avec Firefox, permet de remplacer le referer par l’adresse de la racine du site visité. Donc il y a bien un referer, mais « bidon ».
Ça bloque juste pour certains sites qui utilisent un autre nom de domaine pour une partie de la page avec vérification du referer (typiquement des sites de visionnage d’images, pour pas se faire pomper la bande passante par d’autres sites).
#23
A mon avis Mr Tardy va se prendre un gros blanc comme d’hab, chaque fois qui’il pose une question juste et pertinente où il se la laisse pas raconter.
#24
Il est bon Lionel.
#25
Essaie un truc moins galère : “spoof” le referer : indique comme valeur la page vers laquelle tu te rends. (C’est une option dans Firefox : network.http.referer.spoofSource)
#26
Résultat ? Plusieurs sites légitimes ont été bloqués. Et pas des nains : Google, Wikipédia, OVH
J’aurais plutôt dis “et pas des moindres” mais les nains, c’est sympa aussi " />
#27
ministere-in-the-middle
#28
Ce genre de bidouilles n’est quand même aps super recommandé car peut gêner certaisn sites comme les sites de banque. Pas glop …
refControl fait bien le job, et tu définis toi-même ce que tu veux, comme tu le veux.
#29
Chouette une nouvelle adresse pour remplacer les vidéos Rickroll. " />
#30
Moi j’ai une autre question (technique certes) pertinente.
Si je spoof le referer avec un des sites “terroriste” (donc je m’y suis jamais connecté) en me rendant directement sur leur site avec un refresh toute les 5 secs, comment ça se passe avec le procès ?
J’ai jamais visité le site “terroriste” et pourtant pour eux, avec le référer que je spoof, ils considèrent que si, ça se passe comment ? Leur château de carte bancale s’effondre ou ils me la mettent profond ? " />
#31
Bon, j’ai un train de popcorn à écouler, je sens que je ne vais pas avoir de mal…
Au passage, j’ai d’autres DNS que ceux du fruit sur mes ordis, ça m’évite ce genre de gag.
#32
Tu veux vraiment connaitre la réponse ? Regarde juste l’exemple avec Bluetouff comment il a été considéré comme un criminel. Dans ton exemple, tu risquerais de passer pour un terroriste rien que parce que tu connais l’adresse du site et qu’ils pensent que t’as juste trouver un moyen d’y aller sans le montrer clairement.
#33
Avant que le referer me pose un soucis, y a uMatrix à passer " /> (et jamais de soucis rencontrés chez moi. Ma banque fait n’imp’ sur le Net, mais pas de ce côté là ;) )
#34
HTTPS ou pas c’est kiff kiff … suffit de chopper le certificat à la volée : les pare-feu/sonde/passerelle (chez les OIV) sérieux de moins de 4 ans font déjà cela … alors aujourd’hui …
#35
eh oui , merde….
Et c’est pour cela qu’on a besoin de monde à l’UPR !
Pas quand cela sera trop tard …
#36
#37
#38
C’est bien de penser, mais il vaudrait mieux étayer ! C’est combien “un grand nombre” ? Comment un installeur peut ajouter un certificat racine sur un OS/navigateur un minimum sécurisé sans l’autorisation de l’utilisateur ?
ledufakademy fait des approximations et des généralisations comme d’habitude.
#39
#40
C’est vrai qu’un “analyseur” de certificat root serait sympa. Un genre d’antivirus mais pour l’aspect certificat ^^“.
A noter que le magasin de certificat de firefox est indépendant de celui de windows.
#41
Lionel ? tu veux pas te présenter pour être président ?….. on a que des boulets la ….
#42
#43
MAis est-ce qu’il vérifie la présence de certificat root/confiance non désir-é/able ? Je ne crois pas.
Par contre, il est effectivement capable de détecter une tentative type “homme-du-milieu” via l’observatoire effectivement.
#44
#45
Je doute quand même qu’ils utilisent le referer. Surtout si tu tape l’adresse directement ou vie favoris le referer est vide….
Plutôt un truc du genre $_SERVEUR[‘REQUEST_URI’].
#46
Bouh, il y a énormément d’approximations dans ce fil.
Si
le ministère de l’intérieur s’était amusé à introduire un certificat
bidon pour Google et compagnie, sur un nombre de visiteurs aussi large,
ils se seraient fait chopper par l’intégration dans chrome de la
certificate transparency. Cf Symantec qui s’était fait prendre la main
dans le sac:https://sslmate.com/blog/post/ct_redaction_in_chrome_53
#47
Pardon, je pensais à cet incident pour Symantec:http://www.theregister.co.uk/2015/09/21/symantec_fires_workers_over_rogue_certs/