L’Australian Securities & Investments Commission (ASIC) vient de décrocher la médaille d'argent du surblocage. Lors d’une audition devant le Sénat australien, le régulateur financier a admis avoir surbloqué accidentellement 250 000 sites alors qu’elle n’en ciblait qu’un. Un nouvel exemple des dangers de cette réponse technique aux problèmes juridiques.

En mars 2013, l’ASIC affirmait avoir fait bloquer des sites de fraudeurs (scam), dans un communiqué laconique. Aucune URL donnée, pas plus de données chiffrées. Par quel miracle ? La section 313 du Telecommunications Act autorise les autorités à solliciter des FAI ce genre de mesure proactive (voir cet article de Delimiter). Il suffit que l’agence fédérale ou locale justifie d'une nécessité liée à « l’application du droit pénal et des lois imposant des sanctions pécuniaires ». Et hop !

Comme le mentionnne crikey.com.au, l’ASIC a donné mardi de précieux détails aux sénateurs sur l’usage de cette section 313. Ces précisions sont résumées dans ce document (PDF) qui accompagne la vidéo de l’audition (extrait)  :

Lors de cet échange, le régulateur s'est ainsi expliqué sur le récent surblocage du site de la Melbourne Free University. Alors que l'agence tentait d’empêcher l’accès à de scams, « nous n'étions pas informée que l’adresse IP était également partagée par d’autres sites ». Dans un autre dossier, et toujours pour les mêmes causes, ce régulateur a admis que 1 200 autres sites avaient déjà été surbloqués. La mesure avait provoqué notamment la colère des Verts australiens.

Mais ce n’est pas tout. Les joyeux compteurs de l’ASIC s’affolent pour cet autre cas du mois de mars où elle admet que 250 000 sites cette fois ont été injustement impactés ! Pour tenter d’arrondir les angles, le représentant de l’ASIC a joué la dilution : sur ces 250 000, « nous pensons que moins de 1 000 sites (moins de 0,4 %) ont pu être temporairement affectés », les 99,6% restants ne contentant pas de contenu concret ». Pour caresser la fibre nationale, il souligne qu’aucun de ces sites n’était un .au, l’extension australienne.

L'ASIC a-t-elle examiné chacun des 250 000 sites bloqués ?

Mais qui sont exactement les 249 000 autres sites sans contenu ? L’Asic évoque des sites montés seulement pour vendre un nom de domaine, comme si ces opérations commerciales étaient de seconde zone, nécessitant moins de protection.

Ces explications sont déjà torpillées par la branche australienne de l’Electronic Frontier Foundation : « L’ASIC a-t-elle examiné chacun des 250 000 sites pour déterminer s’ils contiennent des « contenus substantiels » ? Comment définit-elle cette expression ? Croit-elle que 1000 sites actifs sont un niveau acceptable de dommages collatéraux ? » En outre, le fait qu’aucun n’utilise un domaine .au ne signifie pas qu’ils ne sont pas opérés par une entité australienne, à l’image du site de Melbournefreeuniversity.org, ou qu’ils ne sont pas des sites auxquels les Australiens souhaitent accéder.

Si l’EFF salue la volonté de l’ASIC de rendre désormais un peu plus de comptes ou de se rapprocher avec les opérateurs pour mieux aiguiser ses demandes, l’organisation réclame l’arrêt immédiat de cette procédure « jusqu’à ce que l’ASIC apprenne comment le système d’adressage fonctionne. » À tout le moins, elle sollicite l’intervention préalable du juge avant toute demande de blocage.

Le précédent américain, le record argentin

En février 2011, les services des douanes américaines avaient tenté de bloquer plusieurs noms de domaine liés dans le cadre d'une enquête contre de la pédopornographie en ligne. Mal ficelée, l'opération avait finalement abouti au blocage de 84 000 sites innocents, tous accusés de ce crime via une redirection vers une bannière explicative.

Toutes proportions gardées, ces deux cas sont encore loin de l'exemple argentin de l'été 2011. Cette fois, ce sont un million de sites hébergés par Blogger qui avaient été torpillés. Après divulgation de documents militaires et politiques, la justice avait exigé le blocage de l'adresse 216.239.32.2. Une adresse alors liée à plus d'un million de blogs hébergés sur Blogger.

Ces points noirs du blocage ont été signalés de long en large par de nombreux rapports, tel celui intitulé « Filtrage d’Internet - Equilibrer les réponses à la cybercriminalité dans une société démocratique » (rapport), la note de Christophe Espern un des co-fondateurs de La Quadrature du Net, ou l'étude d'impact de la Fédération française des télécoms (FFT).