Un censeur peut choisir des techniques de censure qui ciblent les utilisateurs, le matériel, les logiciels ou le réseau. Par exemple, certaines politiques nationales peuvent favoriser l’autocensure.
Le matériel livré aux utilisateurs finaux peut être manipulé ou remplacé avant d’arriver chez le client. Une manipulation logicielle peut également être réalisée en déployant une porte dérobée dans le code.
Aujourd’hui, nous nous concentrons sur la censure au niveau du réseau. Dans le contexte du réseau, un censeur pourrait interrompre la transmission d’un nœud vers des destinations spécifiques à un niveau bas, par exemple par la manipulation physique des câbles. Mais la plupart des méthodes se concentrent sur les protocoles de niveau réseau au-dessus des couches physique et liaison de données.
Sources et références
- Reporters Sans Frontières – Classement mondial de la liberté de la presse : https://rsf.org/fr/classement
- Freedom House – Rapport « Freedom on the Net » qui analyse les techniques de censure numérique : freedomhouse.org
- Oxford Internet Institute – La communication électorale sur internet et dans les médias sociaux : https://rm.coe.int/etude-relative-a-l-utilisation-d-internet-dans-le-cadre-des-campagnes-/168077c236
- Article scientifique – « The Anatomy of Web Censorship in Pakistan » : https://www.usenix.org/system/files/conference/foci13/foci13-nabi.pdf
Ces sources analysent les différentes techniques de censure (matérielle, logicielle, réseau) et les mécanismes d’autocensure dans divers contextes politiques.
La méthodologie basée sur IPv4/IPv6
L’une des méthodes les plus fondamentales de censure sur internet consiste à rejeter les paquets IPv4/IPv6 destinés à une cible indésirable.
- La cible peut se trouver en-dehors du réseau du censeur.
- Le censeur peut empêcher la communication de nœuds sélectionnés au sein de son réseau (par exemple, les nœuds d’un groupe de journalistes et leur nœud de service de chat).
- Le censeur peut également rediriger ces paquets vers un réseau d’analyse pour une inspection plus approfondie. Cela peut être réalisé en modifiant les tables de routage d’un routeur ou en envoyant des messages de redirection ICMP. Mais les redirections ICMP sont souvent ignorées par les hôtes qui reçoivent ces messages pour des raisons de sécurité.
- Le censeur peut introduire une réponse d’erreur ICMPv4/v6 perturbatrice, par exemple ICMPv4 type 3/ICMPv6 type 1 avec différentes options de code (réseau/hôte/port inaccessible, réseau de destination inconnu ou communication interdite par l’administrateur), ou ICMPv4 type 11/ICMPv6 type 3 (délai dépassé), même si le paquet atteint effectivement sa destination.
- Enfin, le censeur peut réduire la qualité de service pour certains flux entre les sources et les cibles, ce qui peut être fait en augmentant la perte de paquets, les délais ou la gigue, ainsi qu’en réduisant la bande passante.
Limites
Un filtre au niveau IP doit être situé sur le chemin entre le client et la cible, ce qui n’est pas nécessairement le cas pour d’autres tentatives telles que les détournements basés sur le BGP.
Le filtrage IP peut entraîner un blocage excessif, par exemple lorsqu’une adresse IP d’un hôte virtuel qui sert également des sites web légitimes est bloquée.
Interférences techniques
Interférences DNS
Les censeurs peuvent bloquer ou filtrer l’accès à certains contenus en modifiant les réponses DNS, par exemple en bloquant la réponse, en renvoyant un message d’erreur, ou en répondant avec une adresse incorrecte. Des protocoles comme DNS over HTTPS et DNS over TLS permettent désormais de chiffrer les requêtes DNS et réduire les possibilités d’interférence entre le client et le résolveur.
Répondre à une requête DNS avec une mauvaise adresse peut se faire via une interception en cours de route, un empoisonnement du cache (cache poisoning), ou une réponse mensongère du serveur DNS. Le « DNS mangling » est une méthode d’interception où une mauvaise adresse IP est retournée pour un domaine censuré. En Chine, chaque requête DNS est analysée (probablement avec de l’inspection DPI), et si le domaine est censuré, une fausse réponse est injectée.
Exemple : interroger une adresse IP inutilisée en Chine (comme 192.0.2.2) donne un faux résultat si le domaine est censuré.
Le cache poisoning se fait hors du chemin classique : un censeur répond plus vite qu’un serveur DNS autoritaire avec une adresse IP de substitution. Ce faux résultat est ensuite mis en cache, et potentiellement répliqué en cascade. Il peut renvoyer vers un site bidon ou une page d’avertissement. En Iran, la réponse est parfois tout simplement bloquée avant même d’être transmise.
On parle aussi de « DNS lying » quand un fournisseur d’accès ou un opérateur DNS modifie volontairement la réponse sur ordre du censeur.
Inconvénients
Ces techniques nécessitent que l’utilisateur passe par des serveurs DNS contrôlés. Elles peuvent être contournées via des résolveurs publics (comme Cloudflare ou Google DNS) ou des VPN. Le « mangling » ou l’empoisonnement entraînent la réception d’une IP erronée mais parfois le site reste accessible si l’utilisateur récupère l’adresse IP réelle par un autre moyen.
Le contournement est facile : il rend ces méthodes peu fiables. Parfois, même des utilisateurs hors de la zone censurée peuvent être affectés si leur trafic passe par des DNS modifiés. De plus, ces méthodes supposent l’absence de DNSSEC ou la non-vérification de sa validité.
Avant le chiffrement du DNS, les requêtes passaient en clair sur le port 53. Avec DNS over HTTPS ou TLS, elles passent désormais sur le port 443 (comme le trafic web), compliquant les interférences.
Exemple concret
En 2014, la Turquie a bloqué Twitter et YouTube via des interférences DNS. Le contournement facile de cette méthode a accru la popularité de Twitter, jusqu’à ce que les FAI turcs bloquent les IPs directement. Ensuite, ils ont même détourné toutes les requêtes Google DNS.
En janvier 2014, une mauvaise configuration du DNS en Chine a redirigé tout le trafic vers un seul domaine censuré, « dongtaiwang.com », causant la plus grande panne internet connue à ce jour. Plusieurs pays (Chine, Turquie, États-Unis) ont même évoqué le blocage complet de certains TLDs.
Le blocage DNS est également courant en Europe pour :
- la pédopornographie (Norvège, Royaume-Uni, France, Allemagne, etc.),
- les jeux d’argent en ligne (France, Belgique, Pologne, etc.),
- la violation de droits d’auteur (tous pays EEE),
- les discours haineux et extrémistes (France),
- le terrorisme (France).
Dégradation des performances
Plutôt que de bloquer complètement l’accès, une méthode efficace consiste à ralentir le trafic réseau pour rendre l’expérience utilisateur si mauvaise qu’il abandonne le service. Le traffic shaping ou limitation de débit est un exemple.
Inconvénients : Cette méthode ne coupe pas l’accès mais pousse l’utilisateur vers d’autres canaux plus faciles à surveiller.
Exemples : L’Iran ralentit le trafic HTTPS pour favoriser le HTTP non chiffré [Aryan-2013].
Blocage de paquets
Il s’agit de ne pas acheminer certains paquets réseau jugés indésirables. Cela peut être couplé avec d’autres techniques, à condition que le trafic passe par un routeur contrôlé.
Inconvénients : Cela suppose que l’on bloque tout un domaine à cause d’un sous-domaine indésirable (ex : GitHub). La Chine a ainsi bloqué tout GitHub pendant trois jours pour un seul dépôt gênant. Ce filtrage temps réel est exigeant pour la QoS.
Très courante, cette méthode est identifiable grâce aux délais d’expiration. Elle est utilisée par la Chine via son Grand Firewall et par l’Iran pour limiter SSH. Elle est aussi utilisée contre QUIC (Inde, Russie, Iran, Ouganda).
Injection de paquets RST
Vous avez l'impression que vos proches vous espionnent ou même que votre opérateur téléphonique enregistre tous vos historiques de connexion?
L’injection RST consiste à envoyer de faux paquets TCP indiquant que la connexion est terminée, ce qui coupe la communication. Cette technique Machine-In-The-Middle (MITM) fonctionne en envoyant un faux paquet à chaque extrémité. Une seule acceptation suffit pour interrompre la session.
Inconvénients : Inefficace contre UDP ou IPsec. Mais elle est populaire car elle permet un blocage asynchrone, sans impacter la QoS. Un duplicateur optique suffit à capturer le trafic, couplé à de l’inspection DPI.
L’injection repose sur la capacité à falsifier les bons numéros de séquence TCP (adresse IP, port et numéro). Le plus dur est le numéro de séquence, mais avec le mode « in-window » , il est possible de réussir une attaque « Blind RST Injection » notamment contre SSH ou Tor. Certaines contre-mesures visent à embrouiller le censeur pour le piéger.
Exemples : Comcast a utilisé cette technique en 2007 contre BitTorrent, ce qui a abouti à une décision de la FCC. La Chine l’utilise aussi contre Tor.
Coupure réseau
C’est la méthode la plus brutale : couper totalement l’accès à internet en retirant les routes BGP. Cela donne un contrôle total, mais détruit l’accès aux services numériques.
Inconvénients : Très coûteux politiquement, socialement et économiquement. Utilisé en dernier recours lors d’émeutes ou troubles majeurs.
Exemples :
- Birmanie en 2007 pour étouffer une rébellion
- Xinjiang (Chine) en 2009
- Printemps arabe : Égypte, Libye (2011), Syrie (2012)
- Russie a testé une déconnexion nationale en 2019
- L’Inde détient le record annuel de coupures Internet (2016–2017)
BGP hijacking
Un censeur peut rediriger de manière frauduleuse les routes BGP à l’intérieur ou à l’extérieur d’une région. Cela empêche l’accès à certains contenus en falsifiant leur emplacement réseau.
Inconvénients : Une fuite mondiale d’une route erronée peut surcharger un FAI. Les erreurs globales sont corrigibles, mais les détournements internes persistent tant que le FAI ne corrige pas.
Exemples :
- 2008 : Pakistan Telecom redirige YouTube suite à une demande gouvernementale ; la redirection a touché l’ensemble du Net.
- 2018 : Google a perdu contrôle de plusieurs millions d’IP, redirigées vers China Telecom, affectant des services comme Spotify.
- 2022 (Russie) et 2021 (Myanmar) : tentatives multiples de détournement de Twitter.
Attaques par déni de service distribué (DDoS)
Les attaques DDoS (Distributed Denial of Service) sont couramment utilisées par des hacktivistes ou des cybercriminels. Mais les censeurs y ont également recours pour diverses raisons. Il existe de nombreux types d’attaques DDoS mais globalement, elles se divisent en 2 effets principaux :
- L’attaque par inondation (flood) rend un service inutilisable en le surchargeant de requêtes
- L’attaque par crash cherche à planter le service, permettant de libérer des ressources ailleurs sans lui redonner accès
Avantages/inconvénients
Le DDoS est utile lorsqu’un censeur souhaite bloquer l’accès à un contenu à l’échelle mondiale, mais uniquement pour une durée limitée. Cette temporaire efficacité est la seule caractéristique réellement « avantageuse » dans un contexte de censure.
Réussir une attaque DDoS contre une cible importante demande de grandes ressources (matérielles et logicielles), souvent via des botnets. C’est une méthode brutale, peu précise, coûteuse, et surtout temporaire. Elle est utilisée principalement pour bloquer du contenu sensible pendant une courte période de crise.
Exemples concrets
En 2012, les services de renseignement britanniques (GCHQ) ont utilisé une attaque DDoS de type Syn Flood pour fermer temporairement des salons IRC utilisés par le collectif Anonymous. Cette méthode surcharge le serveur en exploitant le processus de poignée de main TCP.
- Des sites d’opposition sont souvent ciblés pendant des événements politiques sensibles, comme en Birmanie.
- Des accusations ont visé les autorités en Russie, au Zimbabwe ou en Malaisie pour usage de DDoS visant à couper l’accès à l’opposition durant des élections.
- En 2015, la Chine a lancé une attaque DDoS via un système MITM surnommé le « Great Cannon » associé au Grand Firewall. Ce dispositif injectait du code JavaScript dans les pages vues par des internautes chinois, réquisitionnant à leur insu leurs navigateurs pour envoyer du trafic DDoS à des sites ciblés.
| Couche | Technique | Efficacité | Facilité de contournement | Coût pour le censeur |
|---|---|---|---|---|
| Application | Interférence DNS (mangling, cache poisoning, DNS menteur) | Moyenne | Facile (VPN, DNS alternatif) | Faible |
| Transport | Dégradation de performance (ralentissement HTTPS, shaping) | Moyenne | Moyenne | Modéré |
| Transport | Blocage de paquets (IP, ports, protocoles) | Élevée | Difficile (nécessite tunnels) | Modéré |
| Transport | Injection de paquets RST | Élevée | Moyenne (selon séquence TCP) | Modéré |
| Routage | Coupure réseau (retrait BGP, black-out) | Totale | Impossible (aucune connexion) | Très coûteux (social/politique) |
| Routage | Annonce BGP malveillante (BGP hijacking) | Élevée | Moyenne | Modéré |
| Multi-couche | Attaque DDoS | Variable (temporaire) | Facile (contenu revient) | Élevé (botnet, coordination) |
| Multi-couche | Censure en profondeur (combinaison des techniques) | Très élevée | Moyenne | Élevé |
Conclusion
Les censeurs combinent souvent plusieurs techniques à la fois, ce que l’on appelle la censure en profondeur. Cela peut inclure :
- le blocage d’un même contenu par plusieurs couches (DNS, IP, HTTP)
- l’utilisation de systèmes parallèles redondants pour garantir l’efficacité du blocage
- l’imposition de protocoles filtrés pour limiter les moyens de contournement (ex : blocage complet de certains protocoles, obligeant l’utilisateur à en utiliser d’autres, filtrables)
Cette censure en profondeur offre une robustesse accrue : si un utilisateur contourne un type de censure, il peut être stoppé par un autre. Le principal inconvénient est le coût initial important, car il faut déployer plusieurs systèmes de censure simultanément.
- Par exemple, en Chine, des chercheurs ont observé une stratégie de censure en profondeur bien implantée. Les mêmes contenus sont souvent bloqués sur plusieurs protocoles à la fois avec plusieurs systèmes superposés ciblant la même ressource.
- En Iran, un filtre complémentaire de protocole est utilisé pour restreindre les protocoles autorisés sur certains ports, forçant les utilisateurs à passer par des protocoles que les censeurs peuvent inspecter.
