Suite à la mise en place de la censure en France qui s’est opérée plus vite que je ne l’avais prévu je mets en chantier une nouvelle extension Firefox couplée à un site Internet qui auront pour but de référencer les sites filtrés par pays. Et pour cela j’ai besoin de votre aide !
MAJ : le système sera couplé à un système permettant l’envoi de mail aux hébergeurs (basé sur les infos du Whois, Whohosts) des sites incriminés pour qu’ils soient vraiment fermés et non pas juste bloqués si ceux-ci présentent de la pédo-porno…
Pour mener à bien ce projet j’ai besoin de deux choses :
Un proxy mis en place par quelqu’un abonné Bouygues
Bouygues est pour le moment le seul FAI à avoir mis en place la censure, il faut que j’analyse exactement le retour des requêtes envoyées sur le site bloqué pour voir ce que je dois surveiller (même si je prévois de m’attaquer à tous les headers 404 retournés sur la racine d’un site). N’importe qui abonné chez Bouygues peut le faire, et vous trouverez des tutos sur le net pour le faire. La BBox est certes assez facile à pénétrer mais je n’en ai pas dans mon voisinage et je me vois mal coder pour aller tester avec un laptop au coin de la rue…
Un serveur en dehors des pays où ont commencé le filtrage
C’est une demande plus délicate, et si je ne trouve pas je me débrouillerai autrement (location d’un serveur à mes frais), mais il me faut un petit serveur pour lancer l’appli. Je dois avoir un accès presque complet au bousin et disposer d’une solution LAMP (PHP5, mySQL4 mini) complète autorisant l’utilisation de exec et surtout passthru. Ce serveur servira à envoyer des requêtes (via passthru donc en l’occurrence) nslookup et ping et il comportera un site codé par mes soins avec une BDD contenant les adresses de tous les sites filtrés (donc potentiellement de la pédo-porno pour des pays où un équivalent de la Loppsi est déjà en place :/).
Cette dernière perspective ne m’enchante pas, mais c’est ce à quoi la France nous contraint par l’application d’un filtrage démesuré et ridicule.
Comment cela va fonctionner ?
Je vous fait un rapide point sur le fonctionnement du machin : vous installez l’extension Firefox (nom choisi, mais confidentiel (et non c’est pas FilterFuck :p)) et vous naviguez tranquillement. Chaque fois que vous tentez d’accéder à une URL non reconnue l’url de la page ainsi que votre IP (non stockée) sont transmises à un serveur qui est lui dans un pays où le net est toujours libre (Suède ?).
Sur ce serveur on va vérifier que l’adresse n’est pas répertoriée et qu’elle n’est pas associé à un site existant, si ce n’est pas le cas : il y a des chances que le site soit filtré.
L’adresse du site ainsi que votre pays d’origine (et votre FAI ?) sont stockés en BDD et passé un certain nombre de constatations de site inexistant (sur une période donnée) le site est réputé filtré dans le pays (et par le FAI) en question… Un bouton permet de signaler un faux positif et ceux-ci sont examinés à la main.
L’extension vous affiche alors un message (à la manière de l’Hadopi Explorer *sick*) vous prévenant que le site est réputé bloqué…
Des interfaces, sous la forme d’un site web, de fichiers XML et CSV par pays, de RSS par pays + global, permettent de consulter en temps réel le filtrage du net à travers le monde…
Ainsi la plus grosse base de données de sites bloqués du monde va se constituer toute seule…
Comme vous le voyez c’est un énorme projet, pas tant en termes de quantité de travail mais en termes de retombées sur la nature même du filtrage. Dans des pays comme la Chine la plateforme sera vite censurée à son tour (enfin ils vont essayer quoi), mais en France si censure il doit y avoir ce sera très grave…
Et j’ai besoin de vous pour les deux éléments plus haut ainsi que, une fois l’extension et son site sortis, pour peupler la base de données en surfant… En attendant si vous ne pouvez m’aider sur l’un des deux points cités plus hauts essayez d’en parler autour de vous que tout cela se mette en place très vite… Je pense avoir fini l’extension et une ébauche du site dans le courant de la semaine prochaine
Excellente initiative 🙂 Tu devrais voir avec Bluetouff pour un serveur en Suède (sauf s’il a tout rapatrié chez Bearstech après le DDOS)
Pas trop viiiiite ! o_o
Déjà en prenant en compte les codes d’erreur 404, le filtrage de Stanjames par Bouygues ne sera pas détecté.
« 404 » signifie « introuvable », autrement dit c’est le serveur web qui dit « tu m’as demandé cette page, mais je ne l’ai pas ». Or pour ça, il faut que la connexion au serveur soit déjà possible !
Pour forcer l’apparition d’erreurs 404 sur des sites où ça ne devrait pas, c’est avec du DPI et header-hijacking qu’on le fait. On en est (heureusement) pas tout à fait là 🙂
Le blocage de Bouygues intervient à un niveau supérieur, le système DNS. En fait, le blocage de Bouygues, c’est comme si vous faisiez une erreur de saisie dans l’URL (par exemple: stznjames.com). Ce n’est pas un 404 dans la mesure où aucun serveur n’envoie le code d’erreur puisque aucune connexion au serveur web n’est établie !
Là où ça se corse pour ton extension, c’est qu’elle va devoir détecter les requêtes DNS qui ne reçoivent pas de réponse et vérifier sur un serveur externe si le domaine introuvable résulte d’une erreur de frappe ou si le serveur externe arrive à accéder au domaine, auquel cas un filtrage est déterminé. Il te faudra ton propre serveur DNS pour vérifier les domaines détectés « introuvables » par l’extension 😉
Techniquement, les gars de chez Google ont un système assez proche avec Chrome (sauf que là c’est pour tracer l’utilisation, pour du profilage publicitaire). Joie: Chromium est open-source.
ps: à propos de la requête DNS qui ne rencontre pas de réponse: on se fait baiser par les DNS menteurs comme ceux de SFR par exemple car une réponse DNS est donnée, pointant vers un serveur avec un moteur de recherche.
Oops faut que je révise le système DNS, il semble que les serveurs DNS donnent quand même une réponse quand le domaine est introuvable o_o
Stay tuned.
Effectivement ce n’est pas le code 404 mais j’ai moyen de savoir si le site existe ou pas en faisant un nslookup / ping côté serveur et il faut que je voie du côté de l’extension firefox les retours en cas de blocage…
Précision à propos de ta MAJ: un envoi de mail à l’hébergeur peut ne pas être suivi d’effets, et il subsiste un réel risque de « sur-fermeture » (notifications qui n’ont pas lieu d’être). De plus la définition de la pédo-pornographie est déjà différente entre la France et le reste du monde… Si déjà il devait encore exister des sites web à contenu pédo-pornographique (jamais tombé dessus, donc…).
Non ce qui serait plus intéressant ça serait de coupler ce système avec WOT (Web Of Trust) pour affiner la séparation entre le « bon blocage » et le « mauvais blocage ».
> donc potentiellement de la pédo-porno pour des pays comme l’Australie où c’est déjà en place
Vivant actuellement en Australie, je me permets de te contredire sur ce point.
Il a en effet été question de mettre un tel filtre en place. L’idée était d’établir une liste noire des URLs interdites. Beaucoup d’experts techniques se sent prononcés unanimement (d’autant que je me souvienne) sur le manque de viabilité de cette approche, et la liste elle même n’a pas tarder à être révélée sure WikiLeaks. Cela à mis en avant d’autres problèmes comme le fait que cette liste pouvait devenir un répertoire de sites de choix pour les amateurs de pédo-pornographie qu’elle est pourtant conçue pour limiter. Les URLs étaient en effet en clair. De plus, seules certaines URLs appartenant clairement à une série étaient listées, laissant les autre facilement accessible, même au travers de ce filtre. Le problème de sur quels critères une URL pouvaient être ajoutée à la liste, et sous quelles conditions elle pourrait en être supprimé n’étaient simplement pas spécifiés (on se souviendra peut-être du site web de cet établissement dentaire se faisant ajouter suite à une attaque).
Bref, tout ce rapide résumé, au passé, surtout pour dire que la proposition de filtre a, pour l’instant, été discrètement allégée et reportée. J’espère qu’on la verra biontôt disparaître complètement. Elle n’est en tout cas certainement pas en place, et certains opérateurs se battent farouchement contre.
> j’ai moyen de savoir si le site existe ou pas en faisant un nslookup / ping côté serveur et il faut que je voie du côté de l’extension firefox les retours en cas de blocage…
Pourquoi ne pas faire manuellement la requête DNS directement depuis l’extension Firefox vers un pool de serveurs connus pour ne pas être filtrés afin de vérifier que la réponse négative correspond à celle du DNS de l’opérateur ? Il me semble que DNSSEC, qui commence à être déployé au niveau des TLDs, permet de signer les réponses négatives également, ce qui empêcherait l’interception/modification des réponses des DNS non filtrés.
@Arkados : j’ai corrigé l’histoire des 404. Pour le WOT, why not… mais pas dans un premier temps, le signalement me parait plus sain, qu’il soit justifié ou non dans le pays de destination sera à la discrétion de l’hébergeur. Après personnellement j’ai déjà signalé des sites et y’a toujours eu un effet, alors si on parle d’une plateforme suffisamment fréquentée on peut assumer que les signalements partiront en masse et que les hébergeurs les prendront en considération.
@Olivier : Au temps pour moi, j’étais persuadé que c’était déjà en place. A vrai dire on a tellement à faire avec notre pays de dingue que parfois je me mélange un peu les pinceaux sur ce qui se passe à l’étranger. Je corrige.
>> Cela à mis en avant d’autres problèmes comme le fait que cette liste pouvait devenir un répertoire de sites de choix pour les amateurs de pédo-pornographie qu’elle est pourtant conçue pour limiter.
C’est sur que si tu fais une liste des sites pédo-porno avec une censure aussi puissante que les Française. ça a du faire rire plus d’un « amateur de pedo-pornographie ».
Pour ton serveur en suéde :
http://glesys.com/
http://prq.se/
Ping : Bookmark: Une base de données collaborative du filtrage dans le monde « Into Oblivion
Ce serait plus intéressant de se rapprocher de M-Lab pour intégrer la possibilité dans Glasnot ou NANO de détecter le blocage d’un URL particulier.
http://www.measurementlab.net/
Ping : Le blog de Djidane » Du 12/08 au 19/08
Ping : CensorCheap est enfin en ligne en fonctionnel ! | Blog perso de Paul Da Silva