Comment peut-on "filtrer" l'Internet ?

 

 

NB : Il est conseillé de lire notre article sur les DNS au préalable si vous n'êtes pas très au fait du principe de fonctionnement des noms de domaines sur internet.

 

Le filtrage est un sujet d'actualité. Il ne se passe pas une journée sans que l'on puisse lire dans la presse que tel ou tel site va être ou devrait être "filtré" pour des raisons X ou Y.

 

Nous allons tenter de vous expliquer le plus simplement possible les principales méthodes utliisées par les gouvernements ou certaines organisations pour "filtrer" les sites auxquels vous n'êtes pas censés avoir accès (et également quelques méthodes simples pour les contourner).

 

Inutlile de préciser que nous sommes résolument opposés à toute forme de filtrage. La décision d'accéder, ou pas, à un site ou un service internet ne devrait dépendre que de vous.

 

  • Principes de filtrage utilisées aujourd'hui :

    • Le filtrage par DNS
    • Le filtrage par Proxy
    • Le filtrage par Firewall
    • Le filtrage par manipulation du BGP
  •  

  • Le filtrage par DNS

 

Si vous avez lu notre article sur le fonctionnement des DNS vous avez certainement compris à quel point ce système méconnu du public est capital pour le fonctionnement de l'internet.

 

Souvenez-vous, dans cet article nous vous avons expliqué que pour toute connexion sur internet, que ce soit pour consulter un site web, retrouver vos mails, etc., votre ordinateur demande à chaque fois au DNS de votre FAI de "résoudre" l'adresse internet à laquelle vous voulez accéder et de vous retourner l'adresse IP correspondante.

 

Imaginez-donc que le gouvenement "G" veuille interdire l'accès à un site web que nous appelerons "SiteX".

 

Il suffit pour cela par exemple au gouvernement G d'exiger que tous les FAI du pays (en général on fait une loi pour cela, on est en train d'y venir en France ...) qu'ils configurent leurs DNS principaux pour que toute demande de résolution du domaine "SiteX" retourne une erreur "Non trouvé". C'est une manipulation relativement simple et très efficace puisque votre "DNS par défaut" en tant qu'abonné de votre FAI est ... justement celui de ce dernier !

 

Vous allez donc, depuis votre navigateur essayer d'accéder a http://www.SiteX.com et vous allez recevoir une erreur du genre "Firefox (ou IE) ne peut trouver le serveur à www.SiteX.com" .

 

Le même principe est appliqué par certaines grandes companies ou organisations pour vous empêcher d'accéder à certains sites depuis votre lieu de travail par exemple. Les grandes companies exploitent de grand réseaux privé et possèdent donc leur propres DNS privés à usage interne.

 

Simple et efficace. Cela fait froid dans le dos, non ?

 

  • Le filtrage par Proxy

 

Cette méthode est utilisée principalement pour "filtrer" les accés aux services web à partir de votre navigateur.

 

Quand vous consultez un site web, votre navigateur se connecte à ce site au moyen d'un protocole de communication que l'on appelle "http" ou "https". C'est ce que vous voyez dans votre barre d'adresses en haut de votre navigateur avant le nom du site (http://xxxxxx.com par exemple).

 

Http est utilisé pour toutes les connexions "en clair" et https pour les connexions "sécurisées" (quand vous accédez à votre compte bancaire ou que vous faites un achat sur internet par exemple).

 

Ces protocoles utilisent des "ports" bien définis. En bref, un "port" est un peu comme une étiquette qui permet aux routeurs, serveurs, etc., de reconnaître le type de service que vous utilisez et donc de l'acheminer correctement. Il existe un numéro de "port" bien précis pour tous les types de services utilisables au travers de l'internet. Vous pouvez consulter la liste des services les plus utilisés et les "ports" correspondants en suivant ce lien. Vous pouvez également obtenir plus de détails sur la notion de "port" en suivant ce lien.

 

Dans la plupart des cas en France, l'accés est "direct". Votre navigateur se connecte directement au site choisi sans intermédiare.

 

Votre Navigateur ⇒ Réseau de votre FAI ⇒ Site Internet

Il pourrait toutefois facilement en être autrement.

 

Vous accédez à l'internet au travers du réseau de votre FAI. Vous n'avez pas le choix, c'est comme ça. A moins de disposer de gros moyens et de vous faire installer un lien direct vers l'internet comme les grosses entreprises.

 

Il existe un système appelé "Proxy". Qu'est-ce qu'un proxy ? C'est un serveur qui va recevoir votre demande de connection, se connecter lui-même au service que vous voulez atteindre et vous retourner les pages que vous voules consulter.

 

Sans rentrer dans des explications techniques complexes, ce "proxy" peut être installé par votre FAI et fonctionner de manière "transparente" (On appelle cela un "proxy transparent") sans que vous vous en rendiez compte.

 

Dans ce cas, la connexion s'établit de la manière suivante :

 

Votre Navigateur → Réseau de votre FAI → Proxy transparent de votre FAI → Site Internet

Ce proxy peut donc être configuré de manière à "filtrer" certains sites et vous retourner un message d'erreur ou pire, vous rediriger vers un autre site sans que vous puissiez à priori y faire grand chose. Nous y reviendrons.

 

Le filtrage par Firewall

 

C'est le type de filtrage utilisé dans les grandes entreprises, pour empêcher l'accès à certains services depuis leur réseau interne et également ...  par des pays comme la Chine.

 

Le firewall est un système par lequels passent obligatoirement toutes les connexions. Il examine en temps réel leur contenu, le protocole utilisé, etc. et décide en fonction de certaines "règles" si telle ou telle connexion est autorisée ou si elle doit être "bloquée" ou "redirigée".

 

En général le firewall ne s'intéresse pas vraiment aux sites que vous voulez atteindre mais plutot au protocole (service) et donc au "port" que vous utilisez.

 

Il lui est donc très facile d'interdire l'utilisation du protocole "http" ou ... de le rediriger vers un "proxy transparent".

 

Dans la pratique courante en France, votre FAI ne filtre généralement pas et vous laisse utiliser l'ensemble des "ports" (services) comme bon vous semble. (Ce n'est pas le cas en Chine par exemple). Il y a cependant des exceptions. Orange par exemple filtre le port 25, ce qui vous oblige à utiliser leurs serveurs de messagerie pour envoyer vos emails, entre autres.

  •  

  • Le filtrage par manipulation du BGP

 

J'ai gardé celle-ci pour la fin car cette méthode est très dangereuse et peut vraiment déstabiliser le fonctionnement de tout ou partie de l'internet si elle est mal maîtrisée. Son utilisation est assez rare, bien que l'on ait relevé quelques tentatives dont certaines ont eu quelques retentissements.

♦  Tout d'abord, qu'est-ce donc que BGP ?

 

En bref, BGP (ou "Border Gateway Protocol") est le protocole de routage qui permet à l'internet de fonctionner. Sans BGP, pas d'internet.

L'internet est un réseau flexible. Pour chaque "paquet" d'information transmis, il existe à tout moment plusieurs "routes" possibles pour l'acheminer entre son origine et sa destination. C'est ce qui fait d'internet un réseau résistant généralement assez bien aux coupures, pannes, etc.

 

Votre FAI dispose en principe de plusieurs liaisons vers le reste de l'internet (on appelle cela des "peerings"). A tout moment, les routeurs centraux doivent décider  quelle "route" utiliser pour acheminer telle ou telle information vers sa destination de la manière la plus efficace et la plus rapide possible.

 

Comment cela est-il possible ? C'est là qu'intervient notre ami BGP.

 

BGP réside à l'intérieur de chaque "routeur" relié à l'internet. Tous ces routeurs s'échangent en permanence des informations sur la disponibilité et l'état des "routes" qui leur sont accessibles en "publiant" vers les autres routeurs les routes pour lesquelles ils se considèrent les mieux placés. Tous ces routeurs considèrent également à priori que leurs homologues sont dignes de confiance et publient des informations exactes.

 

Imaginez maintenant que vous êtes un FAI à la botte de votre gouvernement et  que ce dernier vous demande d'interdire l'accès à Facebook par exemple.

 

Il vous suffit de programmer vos routeurs centraux pour qu'ils informent tous les routeurs auxquels ils sont connectés que vous disposez d'une "route" directe vers Facebook. A chaque "route" est affecté un "poids" sous la forme d'une valeur numérique. Un poids de "1" signifie que vous avez la route la plus directe et la plus économique vers le réseau en question. Donc, pour reprendre notre exemple, vous "offrez" à tous les routeurs une "route" directe de poids "1" vers les adresses IP des serveurs de Facebook. Tous les routeurs avec lesquels vous êtes en contact vont donc vous envoyer toutes les demandes d'accès vers facebook, et comme de bien entendu, vous dirigez toutes ces demandes vers une "adresse poubelle" à l'intérieur de votre réseau qui n'aboutit nulle part (on appelle cela une adresse "trou noir" ou "blackhole").

 

Ceci semble marcher à priori et vous êtes satisfait d'avoir atteint votre but. Mais ... l'histoire ne s'arrête pas là ... Tous les routeurs que vous avez "embobinés" vont à leur tour propager la bonne nouvelle à tous les copains routeurs avec lesquels ils sont en contact ... et ainsi de suite.

 

En l'espace de quelques minutes ou heures, le monde entier essaye d'atteindre Facebook en passant par chez vous ! (Et bien sur, ils n'arrivent nulle part). Evidemment, au bout d'un certain temps ceci va attirer l'attention et les informations vont être corrigées, mais cela demande une intervention manuelle qui peut prendre du temps, et en attendant, vous avez effectivement bloqué Facebook pendant plusieurs heures ou jours.

 

Cette méthode a été utilisée il y a un peu plus d'un an par un pays du moyen orient que nous ne nommerons pas. Cela a causé une panique indescriptible et quelques règlements de compte entre administrateurs réseau :-). Depuis, quelques précautions ont été prises mais la manip reste toujours possible à ce jour.

 

Une telle démarche équivaudrait pour une armée à utiliser l'arme nucléaire ... Jouer à l'apprenti sorcier peut se révéler particulièrement hasardeux.

 

**UPDATE : Il s'avère que les Chinois ont du lire notre article puisqu'ils ont réussi à détourner pratiquement 60% du trafic internet mondial à travers leurs serveurs en manipulant le BGP il y a quelques semaines, et ce pour 18 minutes environ ! On va peut-être leur réclamer des droits d'auteur ;-)

  •  

  • Les moyens de "contourner" un filtrage

Voilà donc les principales méthodes utilisables pour effectivement "filtrer" des sites, addresses IP, domaines, etc.

 

"Super", allez-vous me dire, mais que pouvons-nous faire, pauvres utilisateurs de base, pour s'en affranchir ou les contourner ?

 

Les réponses sont multiples car toutes ces méthodes peuvent être utilisées individuellement ou combinées entre elles.

 

Eliminons tout d'abord l'hypothèse BGP. Si une telle méthode est effectivement utilisée vous ne pourrez absolument rien y faire. Les cas de ce genre sont toutefois extrèmement rares au vu des perturbations massives que cela entrâine inévitablement au sein de l'internet tout entier.

 

  • Contourner un filtrage par DNS :

 

Vous n'êtes nullement obligés d'utiliser les DNS de votre FAI. Il existe sur Internet des organisations sans but lucratif, comme OpenDNS par exemple, qui mettent à votre disposition gratuitement un service DNS accessible à tous et à priori "impartial".

 

Vous pouvez vous renseigner sur www.opendns.com si vous le souhaitez. Les manipulations nécessaires pour changer vos DNS peuvent être très simples ou assez compliquées. Tout dépend de votre environnement et des systèmes que vous utilisez mais c'est tout à fait faisable et possible.

 

Vous pouvez également utiliser un service VPN (le nôtre ou n'importe lequel). En effet, quand vous êtes connecté en VPN, la totalité de votre traffic internet paase au travers du VPN y compris les requêtes DNS qui sont donc traitées par les DNS de votre fournisseur VPN et non plus par ceux de votre FAI. On peut considérer que votre founisseur de VPN est quant à lui tout à fait neutre en la matière et ne "trafique" pas ses DNS.

 

  • Contourner un "proxy transparent" :

 

 

Vous pouvez configurer votre navigateur pour vous connecter à un "proxy libre", il en existe sur l'internet de gratuits (avec souvent des performances assez limitées) ou payants (en général entre 3 et 5 dollars par mois).

 

Vous pouvez là encore utiliser un service VPN. En effet, une fois de plus, quand vous êtes connecté en VPN, la totalité de votre traffic internet passe au travers du VPN et par là même, "échappe" de fait, au proxy transparent de votre FAI.

 

  • Contourner un firewall :

 

 

Il est possible de contourner un firewall dans la majorité de cas. En effet, un firewall ne peut tout bloquer, sinon vous seriez incapables d'accéder à quoi que ce soit. Il s'agit donc de découvrir ce à quoi vous avez droit et de créer un "tunnel" pour déguiser vos connections de manière à ce que le firewall croie qu'elles sont légitimes. Ceci va bien au-delà du sujet de ce document et nécessite des connaissances réseau étendues, mais sachez que c'est tout à fait possible !

 

Là encore, si votre firewall accepte de laisser passer les connexions VPN, vous pouvez là encore utiliser ce type de service. La plupart du temps, les firewalls l'autorisent (pas forcèment PPTP, mais souvent L2TP ou OpenVPN sont autorisés) car les connexions VPN sont fréquemment utilisées au sein des entreprises.

 

  • Conclusion :

 

Loin de nous l'idée de faire de vous de parfaits petits "hackers" mais plutôt une volonté de vous faire découvrir tous les moyens que peuvent utiliser des gens plus ou moins bien intentionnés pour "éviter" que vous ayez accès à un certain type de site ou d'information. N'hésitez pas à nous contacter si vous vous posez des questions à ce sujet, nous ferons le maximum pour y répondre et nous publierons les réponses dans notre F.A.Q si elles ont un interêt général.

 

© 2010  Anti-Hadopi

 

Contourner HADOPI en 2 minutes : La loi hadopi est une loi anti liberte anti-hadopi.com fournit des vpn securises pour contourner hadopi.Notre service vpn anti hadopi pour contourner hadopivous permettent de telecharger tranquillement. PPTP, Openvpn, openvpn surcrypte. Routeur anti-hadopi vpn. La loi hadopi est une loi anti liberte anti-hadopi.com fournit des vpn securises contourner hadopi.Notre service vpn anti hadopi vous permettent de telecharger tranquillement. Openvpn, pptp, ou openvpn surcrypte pour controuner hadopi. Routeur anti hadopi vpn. VPN provider un english. The best reliable vpn around : http://www.proxydaddy.net - Secure your internet access and protect your privacy : http://proxydaddy.net