En 2013, l’Australian Securities & Investments Commission avait admis avoir bloqué accidentellement 250 000 sites. Répondant à une enquête parlementaire, l’ASIC vient d’expliquer que les causes de cet incident venaient de la méconnaissance de ses équipes sur l'existence des hébergements mutualisés.

La mesure de blocage visait initialement un site de fraude en ligne. Comme le permet la section 313 du Telecommunications Act, cette autorité avait donc exigé une action de la part des FAI. Seulement, pour ce site ciblé, 250 000 autres avaient été surbloqués accidentellement. L’autorité minorait ce « fail » en précisant que dans le lot, « moins de 1 000 sites (0,4 %) ont pu être temporairement affectés », les 99,6 % restants ne contenant pas de contenu substantiel. En clair, la majorité des sites bloqués était vide, n'affichant qu'un nom de domaine en attente de contenu.

L'incident avait provoqué la colère de l’Electronic Frontier Foundation : « L’ASIC a-t-elle examiné chacun des 250 000 sites pour déterminer s’ils contiennent des « contenus substantiels » ? Comment définit-elle cette expression ? Croit-elle que ces 1 000 sites actifs sont un niveau acceptable de dommages collatéraux ? ». L’EFF demandait une pause immédiate de ces procédures de blocage « jusqu’à ce que l’ASIC apprenne comment le système d’adressage fonctionne. »

Une enquête parlementaire après ces cas de surblocage

Cette mise en œuvre de l’article S313 a depuis provoqué-à la demande du gouvernement - l’ouverture d’une enquête parlementaire. La réponse de l’ASIC (PDF) est désormais accessible. « Notre expérience dans l'utilisation de cet article visant à bloquer les sites indique qu'il s'agit d'un instrument utile pour perturber les fraudes financières et alerter les investisseurs australiens sur ces offres non légitimes, témoigne l’autorité. Cependant, cette expérience a aussi mis en évidence le risque d’un blocage par inadvertance d’autres sites dans cette procédure ».

Parmi ces exemples, elle cite donc le cas des 250 000 sites injustement bloqués mais aussi celui de 1 090 autres sites ciblés à tort, dont celui de la Melbourne Free University.

L'ASIC ignorait l'existence d'IP partagées entre plusieurs sites

Mais d’où vient ce bug ? « Une fois que nous avons été alertés du risque que ces mesures pouvaient générer un blocage par inadvertance d’autres sites, nous avons passé en revue nos procédures pour identifier l’origine du problème » poursuit l’ASIC dans sa réponse. « Notre enquête interne a identifié que les équipes de l’ASIC demandant ce blocage S313 n’avaient pas été alertées qu’une seule adresse IP peut être partagée par plusieurs sites ». Un aveu qui a été diversement commenté, The Register évoquant par exemple un « EPIC FACEPALM » et Computer World Australie dénonçant une méconnaissance profonde d'Internet.

Cette section devra à l’avenir travailler avec une autre équipe dédiée aux services juridiques mais aussi avec les FAI afin de se concentrer sur le blocage d’un seul et même site, uniquement. De fait, après ces casseroles, l’ASIC n’a d'ailleurs plus émis de demande de blocage depuis 2013, conformément aux voeux de l'EFF.

Afin de prévenir un nouvel incident de ce type, l'institution marque sa préférence désormais sur des mesures volontaires auprès des FAI ou des bureaux d’enregistrement des noms de domaine. Elle recommande dans le même temps de réserver les mesures de blocage qu’aux cas de criminalité les plus graves et de prévenir les utilisateurs par une notification placardée sur le site visé : « Cette page devrait au minimum indiquer que la mesure a été prise par le gouvernement australien et, quand c’est possible, d’en révéler les raisons. Elle devrait également prévoir un lien de contact avec l’agence pour obtenir plus d’informations. »