Après un peu plus d’un an et demi de travail, deux défenseurs des libertés sur Internet viennent de lancer censxres.fr, dont l’objet est d’« éclairer le plus grand nombre sur les pratiques de censure d’Internet en France » :

« Les lois se succèdent depuis des années, avec de moins en moins de débats et de moins en moins d’intérêt politique. Notre but est de faciliter les débats sur les enjeux de ces pratiques (liberté d’expression, vie privée, protection de l’enfance) en rappelant les différentes étapes et le contexte qui ont mené aux lois de censure actuellement en place. »

Le site est l’œuvre de taziden, membre de la FFDN (Fédération des fournisseurs d’accès à Internet associatifs) et co-fondateur d’un FAI associatif en Corrèze, et Etienne “Tek” Maynier, chercheur en sécurité informatique travaillant pour Human Rights Watch, par ailleurs cofondateur et membre actif de l’association Echap de lutte contre les cyberviolences sexistes.

Ils remercient Marc Rees qui, après avoir couvert les problématiques juridiques et légales liées à Internet pour Next INpact, continue à le faire chez L’Informé, « dont le travail de suivi sur ce sujet est inestimable » et qui leur a permis de recueillir les décisions judiciaires afférentes.

Sur leur blog, ils précisent avoir « lancé ce travail en binôme en 2023 en voyant les évolutions drastiques de la censure en France et en voyant le peu d’intérêt médiatique pour ce sujet » :

« En faisant un site, nous avons voulu rendre accessible l’état des lieux de cette censure imposée aux FAI en France en décrivant à la fois l’histoire et l’évolution des réglementations, mais également leur implémentation dans la réalité par les différents opérateurs. »

Leur analyse technique repose en majorité sur les outils mis à disposition par le projet OONI (pour Open Observatory of Network Interference). Créé par des développeurs du Projet TOR en 2011 afin de mesurer différentes formes d’interférences sur le réseau, il permet depuis lors de surveiller et documenter la censure sur Internet, dans le monde entier.

OONI propose en effet une application permettant de découvrir quels sites sont bloqués dans quels pays, et de le partager à la communauté.

Une histoire de la censure du web en France

Dans un éditorial intitulé « La Censure de sites web en France » publié sur sa page d’accueil, censxres.fr rappelle que « la possibilité pour un juge d’ordonner aux fournisseurs d’accès à Internet d’empêcher l’accès à un site web » avait été introduite dans la Loi pour la Confiance dans l’Économie Numérique (LCEN) en 2004 :

« C’était la première étape d’une série de lois de censure qui ne s’est plus arrêtée depuis. En 2011, avec l’adoption de la loi LOPPSI [Loi d’orientation et de programmation pour la performance de la sécurité intérieure, ndlr], la censure de sites Internet se passe d’un juge et devient administrative. Une liste de domaines à bloquer est alors établie par la police. »

L’objectif était de pouvoir imposer aux FAI le blocage d’une liste noire, établie par l’administration, de sites pédocriminels. La censure administrative s’est depuis « étoffée avec la lutte contre le terrorisme ou les jeux en ligne pendant que la censure judiciaire s’ouvrait petit à petit à un filtrage pour cause de propriété intellectuelle, puis de streaming illégal de compétitions sportives ».

Les deux hackers éthiques rappellent qu’« il est aujourd’hui trivial de contourner la censure mise en place au niveau des fournisseurs d’accès Internet ». Ils relèvent également qu’ « il est techniquement impossible de mettre en place une censure efficace sans se lancer dans une escalade des contrôles et des filtrages au niveau de tous les acteurs de l’Internet ».

Les listes des sites censurés par décisions judiciaires

Le volet du site consacré à la « censure judiciaire » revient plus en détail sur le contenu de la LCEN et de la Loi visant à sécuriser et à réguler l’espace numérique (SREN). Il donne comme exemples de sites censurés via la LCEN un site négationniste en 2005, puis Copwatch Nord IDF en 2011, un site qui publiait images et vidéos de policiers et gendarmes dans le but affiché de « mettre fin aux violences policières ».

censxres.fr revient aussi sur le premier blocage de sites pornographiques en France, ainsi que la liste des sites bloqués au nom de la propriété intellectuelle : The Pirate Bay (4 décembre 2014), T411 (2 avril 2015), cpasbien (2 novembre 2017), yggtorrent (12 octobre 2018), Sci-hub et Libgen (décisions de 2019, 2020 et 2022) et Z-Library (12 septembre 2024, voir la décision).

Sur la base des décisions judiciaires publiées par Marc Rees dans Next INpact puis dans L’informé, ils ont identifié une liste de 397 domaines de sites miroirs devant être bloqués par les quatre principaux FAI commerciaux.

Des tests, effectués en septembre et octobre 2024 via OONI, leur ont permis de découvrir que 138 étaient bloqués par tous les FAI (soit près de 35 %), 18 par aucun (4,5 %), les taux de blocage allant de près de 50 % chez SFR à plus de 91 % pour Orange.

La loi de 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique avait, de son côté, créé une section dédiée dans le code du Sport pour la lutte contre le streaming des manifestations sportives.

Toujours en se basant sur les décisions judiciaires publiées par Marc Rees, ils ont identifié 543 sites de streaming de compétitions sportives devant être bloqués. Si 126 d’entre eux le sont effectivement par tous les FAI (soit 23 %), 229 ne le sont par aucun (42 %). Et là encore, le taux de blocage varie de 27 % chez SFR à près de 41 % pour Orange.

Censure administrative : plus de 96 % des contenus retirés

La section du site consacrée à la censure administrative se décompose, elle aussi, en cinq sections : Terrorisme et pédocriminalité, Jeux en ligne, Répression des fraudes, Cybercriminalité et Blocage de TikTok en Kanaky – Nouvelle-Calédonie.

La partie consacrée aux demandes de blocage de sites à caractère terroriste ou pédocriminel rappelle qu’une personnalité qualifiée (membre de la CNIL depuis 2014, de l’ARCOM depuis 2022) est chargée de s’assurer de la régularité et de la transparence de la procédure.

L’analyse des rapports annuels montre « une augmentation drastique du nombre de demandes de retrait, notamment en termes de pédocriminalité », qui s’avéreraient pour la plupart du temps efficaces « avec par exemple en 2021, plus de 96 % des contenus retirés ».

Le nombre de demandes de retrait est, en effet, passé de 1 439 en 2015 à 118 160 en 2023, quand le nombre de contenus retirés est, lui, passé de 1 179 à 7 685 en 2022, et celui des blocages de 283 à 681.

Pour ce qui est des jeux en ligne, censxres.fr rappelle que l’Autorité de régulation des jeux en ligne (ARJEL) avait été créée en 2010 afin d’agréer les sites autorisés, et de bloquer ceux ne respectant pas la législation française. En 2019, une ordonnance réformant la régulation des jeux d’argent et de hasard transférait cette responsabilité à l’Autorité Nationale des Jeux (ANJ).

Jusqu’en 2022, l’ARJEL puis l’ANJ devaient passer par un juge judiciaire, une procédure modifiée par la loi visant à démocratiser le sport en France promulguée en mars 2022. Depuis, l’ANJ peut prescrire aux FAI de bloquer l’accès à des sites de jeux illégaux, « après avoir adressé une mise en demeure à l’éditeur et hébergeur du site et attendu 5 jours », souligne censxres.fr :

« Cette nouvelle procédure retire donc au juge tout contrôle sur les décisions prises (même si cette décision peut être contestée devant un juge administratif). »

La liste noire des sites de jeux d’argent et de hasard ayant fait l’objet d’un blocage administratif est disponible sur le site de l’ANJ, qui précise qu’elle est « non exhaustive », et que « si le site que vous recherchez ne figure pas dans cette liste, cela ne veut pas dire pour autant qu’il est autorisé » :

« Par précaution, avant de jouer de l’argent sur un site de jeu, veuillez d’abord consulter la liste des [17, ndlr] opérateurs agréés. Si le site de jeux d’argent que vous recherchez n’y figure pas, vous pouvez alors en déduire qu’il s’agit d’un site de jeu d’argent non autorisé en France, susceptible de vous exposer à de multiples risques. Soyez donc vigilants. »

censxres.fr relève que le nombre de sites bloqués est passé de 1 en 2010 à 99 en 2022, et 262 en 2023 (+ 165 %). Le nombre de domaines bloqués est, quant à lui, passé de 148 en 2016 à 308 en 2022, et 1 274 en 2023 (+ 314 %). Dans son rapport annuel 2023, l’ANJ précisait que « sur les 1274 URL bloquées, 728 concernaient des sites miroirs », soit plus de la moitié.

Contrairement aux autres tests effectués par censxres.fr, l’analyse technique des 2 197 domaines (pour 291 sites différents) censés être bloqués par les FAI montre que 2 140 sont bloqués par tous les FAI (soit plus de 97 %), 37 ne sont pas bloqués par tous les FAI, et 12 par aucun,. Les pourcentages oscillent de 97 à plus de 99 % de blocage effectif.

La majorité des sites de propagande russes restent accessibles

En matière de répression des fraudes, si le rapport annuel 2022 de la DGCCRF évoque 86 « réquisitions numériques », dont 56 « limitations d’accès » et 30 « blocages de nom de domaine », le rapport 2023 mentionne 153 « réquisitions numériques », mais sans les ventiler.

La loi de programmation militaire 2024 a de son côté instauré une nouvelle procédure de blocage administratif pour les sites web utilisés dans des cyberattaques. Elle donne la possibilité à l’ANSSI d’imposer aux FAI le blocage ou la redirection de noms de domaine mais, « relativement récente, il est très difficile de connaître les effets de cette loi », relève censxres.fr. De plus, « il n’y a, à notre connaissance, aucune transparence sur le nombre de noms de domaines bloqués chaque année ni sur la raison de leur blocage ».

Trois jours après l’invasion militaire russe en Ukraine, la présidente de la Commission européenne, Ursula von der Leyen, avait annoncé vouloir interdire les médias russes en Europe, rappelle censxres.fr dans son volet consacré à la censure européenne. Une décision justifiée par leurs activités de propagande et la nécessité de lutter contre la désinformation opérée par la Russie.

Le Conseil de l’Union européenne avait alors obtenu le blocage des contenus de Russia Today et Sputnik News « par tout moyen tel que le câble, le satellite, la télévision sur IP, les fournisseurs de services internet, les plateformes ou applications de partage de vidéos sur l’internet, qu’elles soient nouvelles ou préinstallées ».

Depuis, cette liste a été amendée cinq fois, afin d’y ajouter d’autres sites, dont une bonne partie ne sont, cela dit, pas bloqués par les quatre principaux FAI, « avec la majorité des sites accessibles, et sept d’entre eux bloqués par un, deux ou trois FAIs et jamais par tous ».

Aucune preuve de censure recourant au DPI à ce jour

censxres.fr revient par ailleurs en détail sur ses analyses techniques, et précise, « pour des raisons éthiques et légales », avoir décidé de ne pas tester la censure de sites identifiés comme faisant l’apologie ou la provocation d’actes terroristes ainsi que les sites pédocriminels.

Évoquant les « méthodes de censure », leurs tests « montrent tout d’abord que seule une censure par résolveurs DNS menteurs est appliquée en France » : « ces résolveurs DNS mentent en donnant une réponse invalide pour les sites censurés par les FAIs ».

Or, « si cette méthode est très peu intrusive, elle est également facile à contourner en utilisant des résolveurs DNS alternatifs », et l’« on peut d’ailleurs trouver quantité de sites web expliquant comment faire cette démarche, notamment pour accéder à des sites censurés en France ».

Le rapport annuel de l’ANJ relevait de son côté que « 35 % des consommateurs d’offre illégale utiliseraient un VPN pour jouer sur celle-ci » et contourner les mesures de blocage opérées par les FAI.

Les auteurs s’inquiètent de voir que des ayants-droit commencent à s’attaquer à des résolveurs DNS autres que ceux des FAI, comme on vient de le voir avec ceux de Google, Cloudflare et Cisco : « Pour nous, il y a un risque important d’escalade dans les moyens de censure qui pourraient aller jusqu’à imposer l’utilisation de technologies intrusives comme le Deep Packet Inspection » (DPI). Ils n’ont cependant trouvé « aucune preuve de censure » ayant recours au DPI à ce jour.

• Droit

  Streaming sportif : la justice ordonne le blocage par les DNS de Google, Cloudflare et Cisco

  Droit

  Mardi 26 novembre 2024 à 13h11 26/11/2024 13h11

  82

Le second enseignement de leurs vérifications, « c’est l’important aléa dans la mise en place de la censure en France ». En effet, et à l’exception des sites de jeux illégaux, qui sont « bloqués de manière relativement cohérente entre les FAI, on voit qu’il y a une très grande différence dans les blocages des autres sites » :

« Sans vouloir appeler à plus de censure par les FAI, cet aléa dans la mise en place des blocages de site pose question sur l’égalité des citoyen·nes devant la loi, puisque des personnes ont accès à des sites différents selon leur FAI. »

censxres.fr explique enfin avoir profité de ce travail pour maintenir à jour la liste de sites pour la France testés par OONI. Le site invite les volontaires à installer un client OONI et le lancer, afin de tester un certain nombre de sites sur leurs réseaux respectifs, permettant à la communauté de mesurer l’état de la censure sur ce réseau :

« Attention : la censure en France étant faite par filtrage DNS, assurez-vous d’utiliser le résolveur DNS de votre FAI afin d’avoir des tests reproduisant des conditions classiques de censure. »