Après avoir écrit ce billet sur la surveillance de masse comparée aux écoutes téléphoniques classiques, je ressens la nécessité de revenir en détail sur le communiqué de eu.org, en particulier l’extrait ci-dessous sur ses motifs :
En effet, cette loi — dont le texte doit encore être voté définitivement à l’assemblée le 5 mai 2015, puis au sénat — instaure une surveillance légale systématique du trafic Internet par les services de renseignement français, dans des conditions d’opacité complète, sous la seule responsabilité de l’exécutif, sans contre-pouvoir.
Ce trafic inclut notamment des requêtes de résolution DNS des utilisateurs accédant aux 28 000 domaines délégués par Eu.org.
Eu.org ne peut moralement laisser en toute connaissance de cause le trafic de ses utilisateurs — incluant des sites d’activisme politique dans le monde entier — et, par ricochet, le trafic d’accès de leurs propres utilisateurs, exposé à de telles écoutes.
Ces éléments méritent d’être développés car ils ne touchent pas tout à fait aux mêmes sujets que l’hébergement web proprement dit. Ils concernent :
- le trafic DNS, et la question de son chiffrement
- les méta-données
- la localisation des serveurs EU.org
Elles sont au cœur du projet de loi sur le renseignement.
Sur le trafic DNS
Tout accès à un site web commence par une résolution DNS depuis l’ordinateur du demandeur. Celui-ci demande, en général au serveur DNS du fournisseur d’accès, l’adresse IP (la seule utilisable pour effectuer la connexion) du nom de site désiré, ici par exemple signal.eu.org.
Sur Internet vont circuler des paquets contenant cette demande. D’abord de l’ordinateur initial au serveur DNS du fournisseur puis, si celui-ci ne connaît pas la réponse, du fournisseur aux serveurs de .ORG pour obtenir les adresses des serveurs EU.ORG, puis du fournisseur aux serveurs de EU.ORG pour y récupérer l’adresse de SIGNAL.EU.ORG.
Les réponses suivent le même chemin, en sens inverse.
Ce trafic circule “en clair”, que le site web finalement accédé soit protégé ou pas par du chiffrement, et est donc susceptible de révéler cette tentative d’accès à toute écoute en chemin.
Il n’existe actuellement aucun moyen de chiffrer le trafic DNS de résolution : les serveurs DNS “faisant autorité” (détenant les informations utiles) ne peuvent recevoir et répondre qu’en clair. Des travaux à l’IETF (l’organisation qui travaille à l’évolution des protocoles Internet) sont en cours pour résoudre ce problème.
Ce trafic est donc vulnérable à toute écoute et révèle des informations sur les accès à tel ou tel site, ou l’envoi de mail à tel ou tel serveur, etc. Dans le cas de EU.org, 28 000 domaines sont ainsi concernés, et un nombre inconnu mais probablement beaucoup plus élevé d’utilisateurs accédant à ces sites.
J’aurais pu développer ici également une réflexion sur les résolveurs DNS “personnels” par opposition à ceux du fournisseur, par rapport à la volonté affichée du ministère de l’Intérieur d’identifier les comportements “déviants” comme l’utilisation de chiffrement, de Tor ou de VPN, mais cela rendrait cet article trop long.
Sur les méta-données
Les méta-données sont les données techniques nécessaires à l’acheminement d’une communication.
Dans le réseau téléphonique il s’agit en particulier des numéros de l’appelant et de l’appelé.
Pour un routeur Internet ce sont les adresses IP origine et destination.
Pour un serveur d’application, ce sont les adresses IP, les numéros de port (qui permettent de savoir si la communication est un envoi de message ou un accès web) et le protocole.
Pour un site web cela peut être le nom du serveur, certaines informations sur le navigateur, le type de document consulté (texte, image), etc.
Et le trafic DNS ? Pour le routeur Internet il s’agit d’une donnée. Pour un serveur DNS, il s’agit en partie de méta-données, en partie de données. Pour le site web, il s’agit d’une méta-donnée.
Et pour le fournisseur d’accès ? Bonne question, la réponse n’est pas simple car le fournisseur d’accès gère à la fois des routeurs et des serveurs DNS de résolution.
La loi renseignement et les méta-données
Que dit la loi renseignement ? Dans son texte, rien. Elle ne parle que de données et de données de connexion. Mais ses promoteurs ont plusieurs fois affirmé, pour nous rassurer, que seules les méta-données étaient concernées.
Mais lesquelles ? Comme on l’a vu ci-dessus, la question est très floue puisque la réponse n’est pas la même suivant les équipements ou intervenants à qui on s’adresse.
Et, par ailleurs, pour reprendre un exemple très parlant, si quelqu’un sait que j’ai appelé le numéro d’un centre d’analyses médicales, puis un numéro vert d’information sur le SIDA, puis mon médecin, puis ma mutuelle, il peut avoir une idée suffisante du contenu de mes conversations sans pour autant y avoir accès.
La localisation des serveurs EU.org
Le trafic EU.org circulant en France sera donc sujet à écoute systématique et contient, comme on l’a vu, des informations sur des usages dont certains peuvent être sensibles.
Le chiffrement du trafic DNS de EU.org est actuellement impossible, et cela restera le cas à moyen terme. Même lors du déploiement des protocoles de chiffrement du DNS, leur usage ne sera pas systématique avant des années, voire jamais, comme le montrent l’exemple du web avec https, et celui du courrier électronique…
Par ailleurs, le chiffrement du trafic DNS, comme celui des sites web ou du courrier électronique, ne cacherait pas les méta-données d’acheminement du trafic.
La seule autre solution, celle choisie, est de déplacer les serveurs DNS EU.org dans des pays ne pratiquant pas l’écoute systématique légale.
Cette solution est très imparfaite : le trafic de résolution depuis des utilisateurs situés en France, ou vers des serveurs DNS situés en France, sera toujours sujet à écoute. De même, du trafic transitant par la France (peut-être entre Espagne et Allemagne, ou Royaume-Uni et Tunisie, ou d’autres pays, au gré des variations du routage d’Internet) risquera également d’être écouté.
Néanmoins, le trafic ainsi concerné sera évidemment beaucoup plus réduit que si les serveurs DNS de EU.org sont situés en France.
Les spécificités de la loi renseignement française
La plupart des pays démocratiques pratiquent des écoutes, mais ce sont généralement des écoutes légales ciblées, sur le modèle déjà évoqué des écoutes téléphoniques, et encadrées par une décision judiciaire préalable.
En aucun cas — dans les pays démocratiques — il ne s’agit, comme le gouvernement souhaite le faire en France, d’écoutes légales et sans autorisation judiciaire a priori et systématiques (en masse), et même destinées à détecter des comportements parfaitement légaux mais “déviants”.
Je parle bien ici de la loi et non des décrets et mises en œuvre techniques, qui promettent à ce jour un cadre plus restreint que ne le permettra la loi elle-même, mais ne disent rien de mesures encore plus intrusives qui pourraient être déployées ultérieurement sans nécessité de retour au parlement.
Il peut exister parfois, n’importe où, et comme l’affaire Snowden/NSA l’a montré, des écoutes illégales ou découlant d’une interprétation très extensive de la loi, contre lesquelles il est difficile de se prémunir.
Mais mieux vaut, à mon avis, risquer ce genre d’écoute dans un pays où elles sont explicitement illégales que dans un pays où elles sont explicitement légales.
Ou, plus simplement, admettre que certains protocoles, dont HTTP et le DNS, mettent en danger leur utilisateur. De la même manière qu’il est désormais recommandé de ne pas utiliser HTTP, ne pas utiliser le DNS en attendant que ceux qui restent chargés de sa normalisation prennent en compte l’état général de surveillance d’internet.
Unbound + DNSCrypt avec un « resolver » hors France au choix parmi ceux fournis dans la liste suivante : github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv
Utiliser un VPN fort contre le « DPI » (Deep Packet Inspection) et de préférence méticuleusement choisi. Il y en a de très sérieux.