Approuvée à l'unanimité par la Chambre des députés en mars dernier puis par le Sénat au début du mois, la nouvelle loi italienne contre le piratage vient d'être approuvée, là encore « à l'unanimité », relève TorrentFreak, par l'autorité de régulation des télécommunications, l'AGCOM.
La nouvelle loi, qui entrera en vigueur le 8 août, autorise le blocage des événements en direct par les fournisseurs d'accès Internet, et permet à l'État d'infliger des amendes « pouvant aller jusqu'à 5 000 euros » aux utilisateurs de flux pirates :
« Grâce à ces mesures, il sera possible de désactiver l'accès aux contenus piratés dans les 30 premières minutes de la diffusion de l'événement en bloquant la résolution DNS des noms de domaine et en bloquant l'acheminement du trafic réseau vers des adresses IP destinées exclusivement à des activités illicites. »
Le non-respect des instructions de l'AGCOM entraînera une amende administrative de 10 620 à 265 000 euros. Les personnes impliquées dans la fourniture ou la distribution de flux en infraction risqueront désormais jusqu'à trois ans d'emprisonnement et une amende pouvant atteindre 15 000 euros.
TorrentFreak souligne que des recherches menées par IPSOS au cours des dernières années ont révélé qu'environ 25 % de la population adulte consomme des flux IPTV piratés en Italie. L’AGCOM, elle, se félicite d'être « à l'avant-garde de la scène européenne dans la lutte contre le piratage en ligne ».
Commentaires (45)
#1
Le blocage DNS, on a l’habitude, mais
Je serais curieux de savoir comment ils veulent s’y prendre techniquement pour identifier les IP en question et bloquer l’acheminement du trafic.
#1.1
L’identification : Si t’as le DNS, t’as forcément l’IP qui va avec.
Pour le blocage : y’a 10 ans on mettait déjà en place du blackholing en coeur de réseau associé à du DPI (deep packet inspection) pour lutter contre les DDOS. La même pas besoin de DPI, suffit de router les paquets vers un /dev/null.
#1.2
La seule difficulté que je vois est la rapidité. Ils veulent le faire en moins de 30 mn.
Ça veut dire que ça doit être automatisé à 100 % de la détection des adresse à bloquer en passant par la vérification qu’elles ne servent qu’à des activités illicites (je ne vois pas comment ils peuvent vérifier cela) et la diffusion des adresses bloquées à l’ensemble des FAI italiens qui doivent configurer leurs routeurs.
Ça veut dire une architecture bien conçue pour transmettre les adresses.
Et cela à faire sans erreurs. Ça va faire un foin pas possible s’ils bloquent par erreur des adresse IP légitimes d’un service un peu important.
Mais, je comprends le cahier des charges, si le blocage n’est pas rapide sur la diffusion d’un événement en direct, il ne sert à rien.
Il ne restera plus qu’aux fournisseurs pirates de changer d’adresses IP toutes les 15 minutes (ou dès qu’ils sont bloqués si c’est avant 15 mn), ce qui doit être possibles avec les fournisseurs cloud.
#1.3
“oh tiens, une IP cloudflare”
#1.4
En février 2008, YouTube a été en inaccessible pendant deux heures en raison de l’utilisation par Pakistan Telecom du routage blackhole. Cette panne s’est produite après que le ministère pakistanais de la Communication avait envoyé des ordres de blocage de YouTube au Pakistan suite à une vidéo YouTube qui contenait une caricature néerlandaise représentant le prophète Mahomet. Le service de télécommunications du gouvernement du Pakistan a répondu à ces ordre avec une solution de routage blackhole, mais la solution adoptée a créé des effets secondaires inattendus.
https://www.cloudflare.com/fr-fr/learning/ddos/glossary/ddos-blackhole-routing/
#1.5
Dans ton exemple donné par cloudfare, ce n’était pas une caricature néerlandaise mais un film US sur le prophète mahomet et ce qu’il oublie de dire c’est que tous le réseau Pakistanais est tombé pour le coup. D’ailleurs Stéphane Bortzmeyer l’avait appelé la mobylette pakistanaise.
#2
Cela ne pose aucun problème technique et c’est utilisé par d’autres pays (pas en Europe, jusqu’à présent).
#3
pour un direct c’est parfaitement inutile : t’essaies a priori de chopper le flux dès le début pas 30min après. Une fois que le flux a démarré, les @IP n’auront plus à être résolue pas le DNS donc le blocage n’a plus d’impact.
#3.1
Pourquoi avoir bloqué le reste de la phrase qui lui décrit une plutôt mesure efficace ?
#4
Tu l’implémentes où cette règle de routage ?
Le routage sur internet est résilient, tout ne passe pas à un trajet unique, et les règles de l’Italie ne peuvent s’appliquer qu’en Italie.
La seule possibilité que je vois est que chaque FAI applique une règle d’exception à leur propre routage. Mais je ne vois pas bien comment automatiser ça en 30 min, ça serait quasi inutile, car le premier VPN ou proxy venu passerait entre les mailles du filet, mon niveau de réseau est sans doute rouillé, mais une fois la route établie il y a des chances que le trafic continue sur la route initialement déterminée et que le blocage ne s’applique qu’aux nouvelles connexions.
edit:
Parce que j’étais en train d’écrire ce message :)
#4.1
Ca s’implémente au niveau du coeur de réseau via le protocol BGP Flowspec :
Le protocole BGP Flowspec décrit, entre autres, par la RFC 5575 [27]
permet de distribuer via BGP une signature réseau (adresse IP, protocole,
ports etc…) et une action associée : discard, rate-limit, remarquage
QoS, redirection… BGP Flowspec peut être assimilé à une solution de
distribution d’ACL/de filtre via le protocole BGP. Les Route Reflector
FlowSpec de l’AS3215 possèdent notamment une session iBGP FS avec
tous les ASBR de l’AS3215
https://www.sstic.org/media/SSTIC2020/SSTIC-actes/securit_du_reseau_dun_operateur__focus_sur_les_den/SSTIC2020-Article-securit_du_reseau_dun_operateur__focus_sur_les_denis_de_service-roy_nourry.pdf
C’est de l’ordre de la minute. Et c’est pas de l’IP donc pas de notion de “nouvelles connexions”.
C’est effectivement contournable avec un VPN mais bon ca fait qu’il faut acheter/configurer/utiliser VPN + ipTV. Certains le feront, d’autres non.
#5
Dans le cas d’iptv, je veux bien croire que le serveur derrière l’ip est dédié.
Mais actuellement, une IP ne correspond pas à un unique site ou service. Même pas forcément à un e seule organisation dans le cadre d’hébergement web
#6
T’as le même prb avec une IP précise d’une classe d’adresse légitime, par ex :
136.112.0.0/12 contient 1 million d’IP qui appartiennent à Google. Le routage sur internet gére ce bloc comme une seule entité
Si une de ses IP de google diffuse un flux pirate, tu fais quoi tu bloques tout google ?
#6.1
Tu peux bloquer une adresse précise sur un routeur.
#6.2
En créant une règle juste avant celle-ci en précisant que l’adresse incriminée est routée par 0.0.0.0.
Si 136.112.0.42 alors router vers 0.0.0.0.
#6.3
La Chine bloque tout Google.
Cela ne la gêne pas, car cela favorise son concurrent chinois Baidu.
#6.4
Nan en Chine, c’est Google lui-même qui bloque certains de ses services (de tête youtube, google search, google news, google chat, google groups et de temps à autres google trad.) sur ordre du gouvernement chinois. Et c’est pareils pour Meta, Microsoft, etc… vu que mine de rien, ils continuent de vendre leurs autres services.
Tu imagines faire du DPI pour 860 millions de personnes, nan restons réaliste. La majorité du blocage en Chine se fait par dns le reste étant du blocage basé sur l’IP (blackhole) et l’interférence HTTP/HTTPS.
#7
Ça, c’est vrai (les proxy risquent par contre ne pas apprécier la bande passante qui va être utilisée chez eux et risquent de bloquer les flux) mais un VPN payant permettra l’accès.
Quand tu dis au routeur de nullrouter, il ne transmet plus les paquets. Heureusement, ça permet entre autre de bloquer un DDOS comme le dit aureus.
Tu aurais dû tout écrire dans le même commentaire.
J’aurais répondu à tout d’un seul coup.
#8
Ben oui, c’est bien le but. Il y a des tas d’objections techniques qu’on peut apporter à ce projet mais celle-ci n’en est pas une.
Le blocage d’adresse IP se fait typiquement sur le plan de données, pas sur celui de contrôle.
#9
Oui, mais il faut surtout rappeler à fofo9012 qu’il n’y a nul besoin de toucher au protocole de routage puisqu’on veut bloquer les données, pas le contrôle. Le protocole de routage est un moyen possible mais c’est très loin d’être le seul.
#10
ça implique de manipuler le BGP et d’injecter des routes bidon, non ?
grave quand même.
#11
Non, pas du tout. Cf. mes autres commentaires.
#12
oui, je n’avais tout lu, pardon.
mais bon,
c’est vrai que c’est contournable si ça se limite à quelques routeurs et que les sites pirates sont hors du territoire.
#12.1
Comme dit ailleurs, c’est contournable par VPN (ou proxy, mais ils risquent de ne pas aimer).
De ce que je comprends, en Italie, tous les FAI devront appliquer les consignes de l’AGCOM, donc
tous les routeurs des FAI italiens devront bloquer le trafic.
#13
Je serais curieux de connaître la hauteur des amendes de la route en Italie.
Ici 5k€ d’amendes c’est quand même élevé pour du simple visionnage de flux pirate
Ce n’est pas comme si on roulait à contre sens sur l’autoroute !
#13.1
il est possible que 5000 soit le max pour récidive ou pour quelqu’un qui rediffuserait dans un bistro par exemple, mais que les peines de base soient plus légères quand même.
#13.2
Ça va surtout être difficile à trouver des preuves pour condamner, ces sites étant hors d’Italie.
Quant à faire du DPI pour voir qui accède à ces adresses IP bloquées, ça risque de causer des difficultés à la fois techniques (infrastructure énorme à mettre en place aux frais des contribuables, c’est autre chose que de nullrouter une adresse) et légales : la violation de la vie privée de tous serait disproportionnées par rapport au délit. On a déjà des jugements de la CJUE dans ce sens.
Donc, c’est plutôt un épouvantail qui risque de faire rire le quart de la population qui pirate des événements en direct.
#14
Yes sauf que les tables de routage ne sont pas extensibles à l’infini, si tu commences à rajouter des exceptions à tout-va ton routeur va ramer à chaque paquet, c’est tout l’intérêt des AS, déléguer le routage à un autre AS.
En effet, mon réseau est rouillé. :) J’avais complètement oublié cette notion ! Le plan donnée, c’est le “cache” rapide du résultat de la résolution (lente) de la table de routage. En changeant de point de vu, on peut charger l’exception directement dans le plan data et le paquet est drop immédiatement, sans toucher au routage.
#15
La Chine a un gros proxy / DPI sortant du territoire, donc techniquement, ils font exactement ce qu’ils veulent. Ce n’est pas exactement le cas en Italie
#16
Et si j’utilise d’autres DNS que ceux de mon FAI, ça passe comment ? Ils vont bloquer les DNS alternatifs et imposer ceux du FAI ?
Su mon téléphone, j’utilise Blockada pour bloquer les pubs et le DNS French Data Network.
#16.1
Comme ils bloquent aussi le trafic vers les adresses IP, tu ne pourrais pas accéder au flux.
#17
Ca va être drôle à regarder de l’extérieur pour voir comment ils vont implémenter ça. Je reste dubitatif sur le truc quand meme … On a encore des élites qui ont pondu une loi sans tenir compte des contraintes techniques et organisationnelles
. Ca fait des années que la France veut le faire et qu’à chaque fois la réalité la rattrape.
Bon maintenant ça va devenir un concour de zizi à savoir celui qui va le faire le mieux vu que le premier a dégainé et j’ai bien peur que la France soit pas loin derrière
#18
Les fournisseurs de tunnels VPN vers d’autres pays s’en réjouissent d’avance :p Si le service IPTV est hors d’Italie et que la terminaison du tunnel VPN d’un utilisateur Italien est hors d’Italie également, je ne vois pas comment un blocage du DNS et du routage IP au sein de l’Italie pourra empêcher quoi que ce soit.
#18.1
Faut aussi voir le coût d’un service de VPN qui fonctionne bien, je pense pas qu’un service gratuit ait les performances nécessaire pour faire de l’IPTV.
Et à un moment si le seul argumentaire des vendeurs de VPN, c’est de pouvoir contourner la lois pour pirater tranquillement, ils seront la prochaine cible des réglementation.
#19
A chaque fois qu’une News du genre sort, tu as tous ceux qui vont te dire que c’est super simple à contourner, un jour, ils comprendront peu être que ca ne l’est pas pour tout le monde et que c’est une mesure contraignante en plus (surtout avec une possible amende en bonus…). Rien n’est efficace à 100% mais ca va en calmer quelqu’un quand même.
“Quoi tu as ajouté une serrure à ta maison ? Mais ca sert à rien, ca se contourne en un coup de visseuse.” Bah oui.. vivons totalement libre et ouvert, inutile de lutter contre quoi que ce soit
#20
A la campagne, si un cambrioleur te vise de toute façon tu es foutu : Il a tout le temps de défoncer ta maison sans que personne ne le remarque.
Je ne ferme donc jamais : Si un cambrioleur viens, soit il prendra tout, soit il prendra tout ET il défoncera la baie vitrée.
Le seul intérêt serait pour l’assurance qui de toute façon refusera toute indemnisation car ya pas de volets sur la baie vitrée (volet qui aurait de toute façon été découpé).
Pour en revenir au sujet , je vois UN cas où les VPN c’est complexe : C’est pour les “box” pré-programmées genre Android TV avec les flux IPTV déjà dessus .
Là , par exemple avec Kodi c’est pas si simple de placer un VPN quand on s’y connais pas.
#20.1
Je suppose que si ça se répand, les boitiers iptv vont intégrer leur propre nat distant (vpn pour les intimes) sans problème et assez vite, une mise à jour soft est suffisante, et sur Android, ça se ramasse à la pelle pour ceux qui veulent.
#20.2
Ton assurance elle s’en fiche de tes volets, si ce n’est pas le cas pour toi ; change d’assurance. Il faut lire les clauses, pour ma part, si la maison est fermée, c’est une effraction qui donne lieu a un remboursement.
J’habite en campagne je me suis fait cambriolé 2 fois par les bais vitrées, depuis que j’ai mis des verrous aux baies, plus rien. C’est quand même différent entre un coup de tournevis en moins de 5 minutes pour faire sauter le verrou d’origine (c’est dingue d’ailleurs ca) ou se balader avec un visseuse pour perforer la baie et faire sauter un verrou plus costaux. Oui, s’il veut rentrer il peut toujours, mais comme pour le piratage, il y a les pirates du dimanche opportunistes qui ne vont pas prendre trop de risque et vont passer à la maison suivante.
Sinon, je n’ai pas vu un boitier IPTV depuis bien longtemps, je ne sais pas si on peut coller un VPN de base dessus ? C’est peu être très simple. Il faut aussi rappeler qu’un bon VPN est un VPN payant.
J’ai pas tout compris à ta réponse
#21
Lutter contre les partages sur l’internet, c’est perdu d’avance, oui, c’est ça raison d’être depuis le départ.
Contre les escrocs est plus légitime, mais il faudrait d’abord supprimer les gogos et les influençables trop désarmés, ça n’est pas technique.
#22
Super, il suffit donc d’avoir un mirror d’un site totalement inutile sur chaque serveur pour ne pas être concerné ?
#22.1
Oui.
#23
C’est pas le seul argument justement des vpn…
Et puis bon, après les VPN on va interdire aussi les VPS et les scripts en bash ? Parce que , bon, un VPN c’est assez simple à mettre en oeuvre désormais et vu le prix des VPS…
Non par contre si j’étais les AD je ferais l’inverse : Je créerais des milliers de services IPTV “pirate” , à prix cassé (car les clients cherchent aussi les prix les + bas).
Et hop, juste avant les matchs, je coupe tout :-)
Et on refais ça à chaque fois. Pour miner la crédibilité des “vrai” services de pirates, qui verraient leur clientèle passer en dessous du seuil de rentabilité.
#23.1
C’est un peu le fusil à un coup quand même, au second, il est grillé, et il n’y a pas que les matchs à protéger, bien que ça semble être l’objectif, en fait ce sont toutes les chaines à péage, toute une économie très fragile qui n’a guère de chances de durer très longtemps à mon avis, même les plus accros se lassent vite si d’autres font la même bouse à moins cher.
#23.2
Je pense que le pourcentage d’utilisateur Italien qui piratent capable de louer un VPS pour se monter un VPN est assez faible, même si des solutions bien packagées existent, ça reste quand même difficile à mettre en œuvre quand on a aucune compétence technique, sans parler de le maintenir dans le temps ou de debugger si il y a un soucis.
Perso je serais plus inquiet du nombre de personnes qui se retrouvent membre à leur insu d’un botnet en utilisant se genre de site.
#24
Oui mais tout le monde est pas obligé de s’y coller , ceux qui savent faire peuvent le faire pour plusieurs personnes. Mais sur le fond je suis d’accord que c’est pas réplicable.
Bon argument pour les “box” android. Sinon quand tu achètes “simplement” des liens M3U…
J’ai vu des sites qui étaient “malin” : Il diffusaient des M3U avec des extraits de chaines en boucle de 10 à 20mn…. en testant dessus ca avait l’air bon, mais en restant dessus tu voyais l’enflure :-)