Contourner le blocage administratif des sites internet

Actuellement le gouvernement Français peut décider arbitrairement de « bloquer » l’accès à un site internet pour les internautes Français. C’est arbitraire, donc sans juge (séparation des pouvoirs, tout ça…). Seuls les sites pédopornographiques ou faisant l’apologie du terrorisme sont concernés… pour le moment… un député ayant proposé que soient rajoutés les sites injurieux envers les élus (oui parce que le « Égalité » de « Liberté Égalité Fraternité » ça ne concerne pas les élus)… Et nos élus nous disent de faire attention sinon le Front National va gagner aux prochaines élections présidentielles, si c’est le cas je vous laisse deviner ce que pourrait faire le FN avec cette possibilité de bloquer arbitrairement des sites internet.

Il y a déjà le nécessaire législatif pour lutter contre la pédopornographie et le terrorisme, faire des lois supplémentaires qui ne font que tuer la démocratie et les libertés ne sert strictement à rien.

Ici on parle de bloquer l’accès à des sites internet afin d’éviter que des personnes influençables tombent par accident sur du contenu qui pourrait les mener à faire des actions répréhensibles, ou réfréner des apprentis terroristes peu motivés (porter atteinte à la démocratie pour empêcher si peu…). La méthode choisie est de faire mentir les serveurs DNS des principaux fournisseurs d’accès internet (FAI), donc si par exemple vous avez OVH comme FAI ou un FAI associatif ou que vous surfez depuis votre lieu de travail (avec un réseau probablement bien configuré) vous ne serez pas « protégé », le gouvernement s’en tape de vous ? (Il choisit la version facile de la solution de facilité…)

Une meilleure alternative aurait été de faire une variante de ce qui existe déjà dans les navigateurs web pour protéger les utilisateurs contre le phishing et les malwares. Les navigateurs internet, avant d’accéder à une page ou télécharger un logiciel, peuvent consulter des bases de données de phishing et malwares (via le protocole Google Safe Browsing par exemple) pour savoir si le contenu comporte un risque. En cas de risque, l’utilisateur a un message l’informant des dangers, mais l’utilisateur a toujours le contrôle et peut choisir de passer outre l’avertissement. Ça marche bien, c’est assez transparent et ça ne casse pas l’internet comme le fait la loi Française qui force les DNS à retourner des informations corrompues (et le jour où les navigateur web implémenteront DNSSEC ils bloqueront l’accès à la page de blocage mise en place par le gouvernement en disant que c’est une contrefaçon (arroseur arrosé ?)).

En gros c’est du contrôle parental où l’utilisateur a le choix, personnellement j’aimerais bien quelque chose comme ça, avec des catégories et pour plus de domaines. Par exemple je vais sur un site pornographique classique, tout ce qu’il y a de plus légal, mon navigateur me prévient. Avec plusieurs niveau configurables :

• accès bloqué,
• page d’avertissement,
• accès autorisé mais un petit avertissement dans un coin,
• accès autorisé et un petit logo (genre « 18+ »),
• accès autorisé.

Et ça réglable par catégories, par exemple un réglage pourraît être :

• accès bloqué pour une page faisant l’apologie du terrorisme,
• accès bloqué pour une page avec du contenu pédopornographiques,
• page d’avertissement pour une page avec du contenu pornographique,
• juste un logo pour une page avec une vidéo violente.

Bref, un standard pour faire du contrôle parental à base de listes dont je peux choisir les sources (par exemple les listes vues plus haut pour le phishing et les malwares, PEGI pour les jeux en ligne, le CSA pour les vidéos en ligne). Mais bon pour mettre tout ça en place c’est difficile, bloquer un site c’est tellement plus simple.

Contourner le blocage voulu par le gouvernement Français se fait en à peu près 10 secondes, il suffit d’utiliser un serveur DNS autre que celui de votre FAI. Par exemple dans Mac OS dans les préférences système, réseau, avancé, DNS, mettre 8.8.8.8 pour utiliser les serveurs DNS de Google. Inconvénient, Google va connaître tous les domaines que vous consultez. Vous pouvez mettre l’adresse d’un autre serveur DNS publique, mais le problème reste le même, le propriétaire du serveur DNS saura quels sites vous consultez (mais contrairement à Google, ça ne l’intéresse probablement pas).

Une autre solution est d’avoir son propre serveur DNS, pour faire uniquement de la récursion (la partie du protocole DNS qui permet de trouver l’IP correspondant à un nom de domaine en interrogeant les serveurs autoritaires pour le domaine recherché).

Dans mon cas, pour un réseau local, c’est vite fait en installant PowerDNS sur mon routeur (Debian) :

$ sudo apt-get install pdns-recursor

Configuration de PowerDNS pour lui dire d’écouter sur toutes les interfaces réseau mais en autorisant que les requêtes du réseau local (à adapter en fonction de votre configuration réseau) :

$ sudo emacs /etc/powerdns

(…)
allow-from=192.168.1.0/24
(…)
local-address=0.0.0.0
(…)

Modifier la configuration du serveur DHCP pour qu’il renvoit l’adresse du serveur DNS (idem, à adapter en fonction de votre configuration réseau) :

$ sudo emacs /etc/dhcp/dhcpd.conf

(…)
option domain-name-servers 192.168.1.1;
(…)

Reste plus qu’à autoriser le port 53 dans le firewall si nécessaire et de redémarrer pdns-recursor et dhcpd pour que le nouveau serveur DNS soit utilisé par toutes les machines du réseau local (nécessite de renouveler le lease DHCP sur les machines clientes, ou d’attendre). Et au passage ça m’a résolu un problème que j’avais avec les serveurs DNS de Free.