• Le filtrage des contenus sur Internet
• Les technologies de contournement
• Déterminer les besoins et la capacité à utiliser la technologie
• Les systèmes de contournement en ligne
  • Les services publics de contournement en ligne
  • Les logiciels de contournement en ligne
  • Les systèmes de contournement en ligne : problèmes de sécurité
• Les serveurs proxie
  • Les logiciels de serveur proxy
  • Les serveurs proxies publics
    • Localiser des proxies ouverts
    • Les proxies ouverts : ports peu fréquents
  • Les serveurs proxies : problèmes de sécurité
• Le tunneling
• Les systèmes de communications anonymes
• Conclusion
   

  ---

Le filtrage des contenus sur Internet

Une technologie de filtrage des contenus sur Internet permet de contrôler l’accès aux données diffusées sur le Web. Bien que cette technologie ait initialement visé le niveau individuel, permettant notamment aux parents de limiter l’accès de leurs enfants à des contenus inappropriés, elle est maintenant largement déployée à des niveaux institutionnels et nationaux. Le contrôle de l’accès aux contenus sur Internet est devenu la priorité pour un certain nombre d’acteurs institutionnels comme par exemple des écoles, des bibliothèques ou des entreprises. Le filtrage se développe par ailleurs de plus en plus au niveau national. Ainsi, l’accès à certains contenus en ligne se voit bloqué pour des populations entières, souvent sans que ces restrictions soient expliquées ou justifiées.

Les technologies de filtrage reposent en général sur le blocage d’une liste de noms de domaine ou d’URL, mais elles sont souvent également associées à des systèmes basés sur la recherche de mots-clés permettant de bloquer les contenus de façon dynamique. Ces listes sont compilées et triées par catégories avant d’être chargées dans un logiciel de filtrage qui peut être configuré de façon à ne bloquer que certaines catégories. Quand les utilisateurs tentent d’accéder à une page Web, le logiciel vérifie sa liste de sites interdits et bloque l’accès à toute page qui s’y trouve. Si la censure par mots-clés est activée, le logiciel contrôlera chaque page (le domaine, l’URL et/ou le contenu même de la page demandée) et en bloquera l’accès de façon dynamique si l’un des mots-clés interdits y figure.

Les systèmes de filtrage présentent par nature deux défauts : le « sur-blocage » et le « sous-blocage ». En effet, les technologies de filtrage rendent souvent inaccessibles des contenus qui ne devraient pas figurer sur leur liste noire tout en laissant passer de nombreuses pages qu’elles auraient dû interdire. Toutefois, le principal problème est le secret entourant la création des listes de sites bloqués. Bien qu’il existe des listes ouvertes et accessibles (en « open source ») - se concentrant essentiellement sur la pornographie -, les listes noires commerciales ainsi que celles utilisées au niveau national restent le plus souvent secrètes. Les listes commerciales sont la propriété de leurs concepteurs et ne sont pas rendues publiques. Bien que certains fabricants de logiciels de filtrage mettent en ligne des systèmes permettant de contrôler les URL bloquées, la liste noire est, dans son ensemble, indisponible pour une vérification et une analyse indépendantes.

Les Etats mettent souvent en place des listes noires qui s’ajoutent à celles créées par les entreprises privées. Ces ajouts visent notamment des partis politiques ou des journaux d’opposition, des organisations de droits de l’homme, des agences de presse internationales et, d’une manière générale, les contenus qui sont critiques vis-à-vis des gouvernements concernés. La plupart des pays se concentrent sur le filtrage des contenus en langue locale et visent de plus en plus les espaces de discussion en ligne, comme les blogs et les forums.

Les technologies de contournement

En réponse aux méthodes de contrôle et de filtrage mises en place par les Etats, de nombreuses « technologies de contournement » sont apparues afin de permettre aux internautes de passer outre à ces restrictions. Ces technologies ont été développées pour aider les citoyens et la société civile à se protéger de, ou à lutter contre, la censure et la surveillance du Net. En général, ces techniques fonctionnent en transmettant la requête d’un internaute vivant dans un pays qui filtre le Web via une machine intermédiaire qui n’est pas bloquée. Cet ordinateur récupère le contenu demandé par l’utilisateur, qui devrait être bloqué par les filtres, et le lui retransmet. Parfois, ces technologies peuvent être conçues spécifiquement pour contourner la censure dans un pays donné, ou pour lutter contre une technique spécifique de filtrage ; dans d’autres cas, les usagers adaptent des technologies existantes, mais qui n’avaient pas au départ cette finalité.

Certaines de ces technologies sont développées par des entreprises privées, d’autres par des groupes de hackers et d’activistes. Ces outils vont de petits scripts informatiques et de programmes très simples jusqu’à des protocoles réseaux point à point (peer-to-peer) très développés. Compte tenu de la variété des technologies, les utilisateurs doivent être capables de peser les points forts et les faiblesses de chacune afin de choisir celle qui répond le mieux à leurs besoins.

Il faut différencier le « fournisseur de contournement » et son utilisateur. Le fournisseur de contournement est celui qui installe un logiciel sur un ordinateur situé dans une zone où le Web n’est pas filtré et rend le service disponible aux internautes vivant dans des pays qui censurent Internet.

Cet article vise à informer les utilisateurs des technologies de contournement des options disponibles et à leur indiquer comment évaluer quelle technique est la plus adaptée à leurs besoins. Cela nécessite de déterminer les besoins et la capacité des internautes (aussi bien ceux qui utilisent que ceux qui fournissent la technologie de contournement), en tenant compte également du niveau de sécurité de chaque outil. Un contournement efficace, sûr et simple, ne peut être obtenu qu’en associant la bonne technologie avec le bon utilisateur.

Déterminer les besoins et la capacité à utiliser la technologie

Les technologies de contournement ont pour cibles des utilisateurs disposant de ressources et de niveaux d’expertise variables. Ce qui peut bien fonctionner dans un cas peut ne pas être la meilleure option dans un autre. Quand on sélectionne une technologie, il est important que son fournisseur et son utilisateur se posent les questions suivantes :

• Quel est le nombre d’utilisateurs attendus et la bande passante disponible ? (pour le fournisseur de contournement et pour l’utilisateur)
• Où est le principal point d’accès à Internet pour les utilisateurs attendus et pour quoi l’utiliseront-ils ?
• Quel est le niveau d’expertise technique ? (pour le fournisseur de contournement et pour l’utilisateur)
• Quelle est la disponibilité de contacts - fiables - qui vont fournir la technologie de contournement ? (pour l’utilisateur)
• Quel est le niveau des sanctions possibles si l’utilisateur est pris alors qu’il utilise ce type d’outil ?
• Quel risque court l’utilisateur de ce type de technologie ? (pour l’utilisateur)

Nombre d’utilisateurs et bande passante disponible

Le fournisseur de contournement doit estimer le nombre d’utilisateurs pour lesquels son outil est prévu et le mettre en rapport avec la bande passante dont il dispose. L’utilisateur final doit aussi prendre en compte sa bande passante car la technologie de contournement ralentira son utilisation d’Internet.

Les personnes désirant faire fonctionner des proxies publics doivent envisager que leur proxy peut être utilisé par des personnes qui ne se trouvent pas dans des endroits soumis à la censure. Par exemple, il peut être utilisé pour télécharger des films, ce qui consommera une très grande quantité de sa bande passante. De ce fait, il peut souhaiter restreindre l’accès à son proxy ou déterminer quelle est la bande passante maximale qu’il souhaite allouer à son système de contournement. Il existe différentes technologies qui permettent ce type de paramétrage.

Point principal d’accès et utilisateur

Il y aura différentes options technologiques applicables selon l’endroit d’où l’utilisateur final se connecte à Internet et selon les services Web auxquels il souhaite accéder. Ainsi, par exemple, les utilisateurs qui accèdent à Internet à partir d’ordinateurs publics ou de cybercafés peuvent ne pas être en mesure d’installer n’importe quel logiciel et seront limités à des solutions intégralement accessibles en ligne. D’autres utilisateurs pourront vouloir utiliser des applications différentes de la simple navigation Web (HTTP), telles que le courrier électronique (SMTP) et le transfert de fichier (FTP) ; ils devront alors installer un logiciel sur leur poste de travail et modifier les réglages de leur ordinateur. Naturellement, ce type d’intervention nécessite un certain niveau de compétence technique.

Niveau d’expertise technique

Plus le niveau d’expertise technique est élevé (et le nombre d’utilisateurs limité) et plus les options de contournement augmentent. Les obstacles pour les utilisateurs non aguerris se situent dans la procédure d’installation et de réglage, ainsi que dans toutes les modifications de configuration qui doivent être réalisées quand on utilise certaines technologies. Cela s’applique à la fois au fournisseur de contournement et à l’utilisateur final. Une mauvaise utilisation de la technologie de contournement peut mettre les utilisateurs dans des situations à risques.

Disponibilité de contacts de confiance

Les utilisateurs finaux peuvent largement augmenter leurs options de contournement s’ils connaissent des personnes de confiance à l’extérieur de leur pays. Si un utilisateur n’a pas de contact fiable, ses options sont alors limitées aux options accessibles au public et si l’utilisateur peut trouver ces systèmes, ceux qui mettent en place le filtrage le peuvent aussi. Grâce à un contact de confiance, l’utilisateur final peut trouver une solution qui réponde à ses besoins spécifiques et ainsi éviter d’être repéré. Un contournement stable, de long terme et réussi, est grandement facilité lorsque l’on dispose de ce type de contact, dans un pays qui ne censure pas le Net.

La sanction pénale prévisible

Il est extrêmement important de connaître la sanction pénale à laquelle s’exposent les utilisateurs s’ils sont surpris en train d’utiliser une technologie de contournement. Les options seront différentes en fonction de la sévérité de la sanction. Si la sanction pénale encourue est limitée, les internautes peuvent choisir la technologie de contournement la plus efficace, même si celle-ci n’est pas très sûre. Si l’environnement est extrêmement dangereux, il faut prendre soin d’utiliser une technique qui est à la fois discrète et sûre. Certaines de ces techniques peuvent même être utilisées sous couvert d’un prétexte légitime ou en brouillant les pistes.

Les problèmes de sécurité

Trop souvent, les utilisateurs sont encouragés à utiliser des technologies de contournement sans en connaître les risques et les faiblesses en termes de sécurité. Ces risques peuvent être réduits en déployant la bonne technologie, au bon endroit, et en l’utilisant correctement.

Les systèmes de contournement en ligne

Les systèmes de contournement en ligne sont des pages Web affichant un formulaire qui permet aux utilisateurs de saisir simplement une adresse URL et de laisser le système récupérer puis afficher le contenu de la page demandée. Il n’y a aucun lien entre l’utilisateur et le site Internet demandé : le système relaie de façon transparente la requête et permet à l’internaute de naviguer sans heurt sur des sites bloqués. Cette technologie réécrit les liens inclus dans la page Web demandée, de sorte que l’utilisateur peut continuer à naviguer normalement sur le Net. L’utilisateur final n’a pas besoin d’installer un logiciel ni de changer les réglages de son navigateur. Tout ce qu’il a à faire est de se rendre à l’adresse URL du système, saisir l’adresse qu’il souhaite visiter dans le formulaire en ligne et cliquer sur le bouton "Soumettre". (Les systèmes de contournement en ligne peuvent avoir des aspects différents, mais leur fonctionnalité de base est la même). Ainsi, aucune expertise n’est requise et ce système peut être utilisé à partir de n’importe quel point d’accès, public ou privé.

Avantages :

• Les systèmes de contournement en ligne sont faciles à utiliser ; il n’y a aucun programme à installer au niveau de l’utilisateur.
• Lorsqu’ils sont publics, ces systèmes sont accessibles aux utilisateurs qui ne disposent pas d’un contact fiable dans un pays non soumis au filtrage.
• Lorsqu’ils sont privés, ils peuvent être personnalisés pour répondre aux besoins spécifiques de chaque utilisateur et ces derniers ont moins de risque d’être découverts par les autorités.

Inconvénients :

• Les systèmes de contournement en ligne sont souvent limités au trafic Web (HTTP) et peuvent ne pas accepter un accès crypté (SSL). Certains services Internet (tels que les webmails) nécessitant une authentification peuvent ne pas être pleinement fonctionnels.
• Lorsque ce sont des systèmes publics, ils sont généralement connus des autorités et sont bloqués. La plupart de ces services sont rendus inaccessibles par des logiciels commerciaux de filtrage.
• Dans le cas de systèmes privés, ils nécessitent que l’utilisateur ait un contact dans un endroit non soumis au filtrage. Idéalement, les deux parties doivent être en mesure de communiquer entre elles de manière confidentielle.

Les services publics de contournement en ligne

Il existe des logiciels de contournement en ligne ainsi que des services accessibles directement sur le Web. La plupart de ces services offrent une version limitée gratuite et une version comprenant davantage d’options - comme un accès crypté - disponible sur abonnement. Certains services sont gérés par des entreprises, d’autres par des volontaires.

Quelques exemples de services de contournement en ligne :

• www.anonymizer.com
• www.unipeak.com
• www.anonymouse.ws
• www.proxyweb.net
• www.guardster.com
• www.webwarper.net
• www.proximal.com
• www.the-cloak.com

Dans la mesure où les adresses Internet de ces services sont largement connues, la plupart des applications de filtrage, de même que les systèmes de censure installés au niveau national, les ont déjà incluses dans leurs listes noires. Or, si les adresses de ces services sont bloquées, ils ne peuvent pas fonctionner. Ensuite, certains de ces services ne cryptent pas le trafic entre le système de contournement et l’utilisateur final. Toute information transmise par l’utilisateur peut donc être interceptée par le fournisseur du service.

Récapitulatif : Les services publics de contournement en ligne sont les plus adaptés pour les utilisateurs vivant dans des environnements à faible risque qui ne disposent pas de contacts fiables dans des endroits non filtrés, qui ont besoin de ce type de service de manière ponctuelle et qui ne transmettent pas des informations sensibles.

Les logiciels de contournement en ligne

L’installation d’un logiciel de contournement en ligne peut nécessiter un certain niveau d’expertise technique et des ressources appropriées, notamment un serveur Internet et de la bande passante. L’emplacement de ce service privé de contournement n’est connu que des utilisateurs cibles, alors que les systèmes publics de contournement et les services anonymes sont également connus de ceux qui ont mis en œuvre le filtrage (entreprises commerciales et services de censure gouvernementaux). Les risques de détection et de blocage des systèmes privés de contournement sont inférieurs à ceux des services publics.

Les systèmes privés de contournement peuvent être réglés et personnalisés pour répondre aux besoins spécifiques de l’utilisateur. Il est par exemple possible de modifier le numéro du port que le serveur utilise et d’utiliser une technologie de cryptage. Le protocole SSL (Secure Sockets Layer) est utilisé pour transmettre des données de façon sécurisée sur le Net. Il est souvent utilisé par les sites qui transmettent des informations sécurisées, comme des numéros de carte de crédit. On accède aux pages Web qui proposent ce système SSL via une requête « https», à la place de l’habituel « http».

Une autre option pour l’utilisation de SSL est de créer une page d’apparence anodine à la racine du serveur Web et de masquer le système de contournement grâce à un chemin d’accès et un nom de fichier aléatoires. Bien qu’un intermédiaire puisse identifier le serveur auquel l’utilisateur se connecte, il ne sera pas capable de déterminer la page Web à laquelle il accède car cette partie de la requête est cryptée. Si, par exemple, un utilisateur se connecte sur « https://example.com/secretcircumventor/ », un intermédiaire sera capable de déterminer que l’utilisateur s’est connecté à example.com mais ils ne saura pas que l’utilisateur a utilisé un système de contournement. Si le gestionnaire du système de contournement crée ce type de page Web d’apparence anodine sur example.com, il ne sera pas possible de découvrir le système de contournement, même en cas de surveillance.

• Proxy CGI : un script CGI agit comme un proxy HTTP ou FTP.
• Le système de contournement Peacefire : un programme d’installation automatisé qui rend beaucoup plus facile l’installation et la configuration du proxy CGI pour des utilisateurs non expérimentés.
• proxy pH : système de contournement expérimental entièrement paramétrable.
• Psiphon : serveur Web disposant de la fonctionnalité SSL et d’un système de contournement en ligne intégré.

Récapitulatif : Des systèmes de contournement privés en ligne, autorisant le cryptage, sont les plus adaptés pour les utilisateurs qui ont besoin d’un service de contournement stable et qui ont des contacts fiables dans un pays non soumis au filtrage - ces derniers devant eux-mêmes disposer de compétences techniques suffisantes et d’une bande passante disponible permettant de régler et de maintenir le système de contournement. Il s’agit de l’option de contournement la plus souple. Elle est idéale pour surfer sur Internet et c’est la solution qui a le moins de chance d’être découverte et bloquée.

Les systèmes de contournement en ligne : problèmes de sécurité

Il est à noter que les systèmes de contournement n’assurent pas nécessairement l’anonymat. L’identité des utilisateurs est masquée des responsables des sites visités. En revanche, si la requête entre l’utilisateur et le fournisseur de contournement n’est pas cryptée (requête HTTP), comme c’est souvent le cas pour les services gratuits, son contenu peut alors être facilement intercepté et analysé par un intermédiaire, par exemple un fournisseur d’accès à Internet (FAI). Aussi, bien que le contournement ait réussi, les autorités peuvent toujours pister l’utilisateur et découvrir qu’il a utilisé un système de contournement en ligne. De plus, elles peuvent déterminer quels contenus - y compris les sites que l’utilisateur a visités - ont été échangés entre le système de contournement et l’utilisateur final.

Les systèmes de contournement en ligne non cryptés utilisent parfois un brouillage de l’URL (Uniform Resource Locators) pour contrer les techniques de filtrage qui recherchent les mots-clés dans l’URL. Par exemple, avec l’utilisation d’une technique simple comme ROT-13, où une lettre est remplacée par la lettre située treize places plus haut dans l’alphabet, l’URL http://ice.citizenlab.org devient uggc ://vpr.pvgvmrayno.bet/. Le texte de l’URL est encodé de telle sorte que les mots-clés que recherche la technologie de filtrage ne seront pas trouvés dans l’URL qui est demandée par le système de contournement. Toutefois, le contenu de la session peut toujours être "reniflé" (intercepté), même si le contournement a réussi.

Il existe également des risques associés à l’utilisation des cookies et des scripts. De nombreux systèmes de contournement en ligne peuvent être configurés pour supprimer les cookies et les scripts, mais de nombreux sites (par exemple les webmails) nécessitent leur utilisation. Un autre risque est lié à l’utilisation de services nécessitant un nom d’utilisateur et un mot de passe. Dans ce cas, l’internaute accède au système de contournement via une connexion en clair puis utilise le système pour faire une demande d’information à partir d’un serveur crypté. Dans ce cas de figure, le système de contournement récupère l’information demandée à partir du serveur actif SSL via une transmission cryptée, mais envoie ensuite son contenu en clair à l’utilisateur, exposant ainsi les données sensibles à une possible interception.

Certaines de ces questions de sécurité peuvent être résolues en utilisant des proxies via une connexion cryptée. Certains proxies sont configurés pour qu’on y accède en SSL (HTTPS), ce qui crypte la connexion dès le départ, c’est-à-dire entre l’utilisateur et le système de contournement. Dans ce cas de figure, des tiers ne peuvent qu’observer le fait que l’utilisateur s’est connecté à un système de contournement mais ils ne peuvent pas déterminer quels contenus ont été téléchargés. Il est très fortement recommandé aux utilisateurs de s’assurer qu’ils emploient un système de contournement utilisant SSL si les risques d’interception sont importants.

Cependant, bien que la connexion de l’utilisateur au système de contournement puisse être sécurisée, il faut garder à l’esprit que toute information passant par un système de contournement peut être interceptée par celui qui a mis en place ce système.

Les archives du système de contournement constituent un problème de sécurité supplémentaire. Selon la localisation du système de contournement ou de son serveur, les autorités peuvent en effet avoir accès à son historique et à ses archives électroniques.

Il existe encore d’autres problèmes dont les utilisateurs doivent être informés quand ils utilisent un système de contournement en SSL. En premier lieu, l’utilisation du cryptage peut attirer l’attention sur les activités de l’internaute qui utilise ce système, et ne pas être légale partout. Deuxièmement, les autorités assurant le filtrage ont la possibilité de déterminer quels sont les sites qui ont été visités grâce au contournement, même lorsqu’un cryptage SSL est utilisé, en recourant à des techniques connues sous les noms de « prise d’empreinte » HTTPS et d’attaques dites de « l’homme du milieu » (MITM ou Man in the Middle). Toutefois, les pages ayant un contenu dynamique ou les systèmes de contournement qui ajoutent au hasard du faux texte et de fausses images au contenu demandé peuvent rendre ces techniques d’interception inefficaces. Si les utilisateurs disposent de l’« empreinte » - ou signature sécurisée - du certificat SSL, ils peuvent vérifier manuellement que celui-ci est bien authentique et ainsi éviter une attaque de « l’homme du milieu » [1].

Lire la suite