Comment les sites web sont bloqués : les méthodes techniques

Imaginez que vous essayez d'accéder à un site web depuis un pays où le gouvernement souhaite le rendre inaccessible. Vous tapez l'adresse dans votre navigateur. Rien ne se passe — ou une page d'erreur s'affiche, ou la connexion s'éternise. Mais avez-vous une idée de ce qui s'est vraiment produit sous le capot ? Le blocage n'est pas magique. C'est le résultat de l'une de plusieurs techniques bien définies, chacune fonctionnant à un niveau différent du réseau internet. Comprendre ces méthodes est essentiel pour saisir comment la censure en ligne fonctionne réellement — et pourquoi certaines approches sont plus difficiles à contourner que d'autres. Filtrage DNS : l'approche la moins coûteuse La plupart des blocages internet commencent au niveau du DNS — le système qui traduit les noms de sites web (comme exemple.com) en adresses IP numériques. Pensez au DNS comme à un annuaire téléphonique. Vous appelez le service des renseignements et demandez le numéro de téléphone d'une entreprise. Normalement, on vous donne la réponse correcte. Mais si l'opérateur est contrôlé par une autorité qui souhaite bloquer ce numéro, il peut tout simplement vous donner un faux numéro — ou aucun numéro du tout. Le filtrage DNS est la méthode la plus économique pour un censeur. Elle nécessite peu de bande passante, pas d'équipement sophistiqué, et se déploie souvent au niveau du fournisseur d'accès internet (FAI) national. Un utilisateur qui essaie d'accéder à un site bloqué reçoit une réponse DNS fausse ou vide, et sa connexion échoue. Cependant, cette méthode est triviale à contourner. Utiliser un serveur DNS différent — public et non censuré — suffit souvent. C'est comme demander les renseignements à un service téléphonique différent qui n'est pas censuré. De nombreux utilisateurs dans les pays soumis à la censure utilisent cette technique sans même le réaliser. Blocage par adresse IP : plus coûteux, mais plus robuste Si le filtrage DNS ne fonctionne pas (parce que quelqu'un utilise un DNS alternatif), un censeur peut passer à l'étape suivante : bloquer directement les adresses IP. Chaque serveur web a une adresse IP — un numéro unique comme 192.0.2.1. Au lieu de bloquer le nom du site, le réseau peut refuser tout le trafic vers cette adresse IP précise. Cette approche est plus robuste que le filtrage DNS, car elle fonctionne quel que soit le DNS utilisé. Le problème, pour le censeur, c'est le coût et la complexité. Il faut maintenir une liste à jour de toutes les adresses IP à bloquer, et les sites web populaires partagent souvent une même adresse IP (ce qu'on appelle l'hébergement mutualisé). Bloquer une seule adresse IP peut donc accidentellement bloquer des centaines de sites légitimes. Contourner le blocage par IP est également possible, mais demande plus d'efforts qu'une simple modification DNS. Cela nécessite généralement de rediriger le trafic à travers un serveur tiers non bloqué, une technique qui entre dans la catégorie des contournements plus larges. Inspection SNI : lire l'enveloppe sans l'ouvrir Le protocole HTTPS (le cadenas de sécurité que vous voyez dans votre navigateur) chiffre le contenu de votre communication avec le serveur web. Cependant, le nom du site — l'adresse que vous cherchez à atteindre — était autrefois visible en clair dans une partie du handshake de connexion appelée SNI (Server Name Indication). Un censeur peut exploiter cela. Imaginez une enveloppe scellée avec des mots de passe secrets à l'intérieur. Mais vous avez écrit l'adresse du destinataire sur l'enveloppe elle-même, en clair. Un censeur lisant cette adresse peut refuser de livrer l'enveloppe sans jamais l'ouvrir. L'inspection SNI est peu coûteuse à mettre en place — elle ne nécessite que de surveiller le trafic réseau — et elle fonctionne même quand HTTPS est utilisé. Cependant, elle commence à devenir obsolète. Les navigateurs modernes et les sites web passent à des versions plus récentes de TLS qui chiffrent même le SNI. Inspection approfondie du paquet (DPI) : surveillance au niveau du contenu L'inspection approfondie du paquet, ou DPI, est bien plus puissante et intrusive. Imaginez un censeur qui ouvre littéralement chaque enveloppe de courrier, en lit le contenu, et décide si le message est autorisé ou non. La DPI analyse les données circulant sur le réseau pour détecter des motifs — des mots-clés interdits, certains protocoles, des signatures de fichiers. Elle peut identifier qu'une connexion chiffre du trafic vidéo vers un certain site, même si elle ne peut pas lire le contenu exact. Le coût de la DPI est considérable. Elle demande beaucoup de puissance de calcul, crée des goulots d'étranglement dans le réseau, et exige une infrastructure sophistiquée. Elle est généralement déployée par les États ayant des ressources importantes (grandes agences de cybersécurité, par exemple). La DPI est difficile à contourner complètement, mais des techniques comme le chiffrement plus fort, la dissimulation du trafic, ou le mélange de trafic légitime avec du trafic interdit peuvent aider. Interventions au niveau BGP et arrêts complets : l'arme nucléaire Au sommet de l'échelle se trouvent les interventions au niveau BGP (Border Gateway Protocol) — le système par lequel les réseaux internet échangent des informations de routage. Contrôler le BGP signifie contrôler quels chemins le trafic emprunte sur internet. Un État peut essentiellement faire disparaître un site web de son segment d'internet. Plus radical encore : un gouvernement peut ordonner un arrêt complet d'internet, comme cela s'est produit en 2011 en Égypte. C'est l'approche la moins subtile, mais aussi la plus garantie. Elle a un coût économique énorme et n'est généralement réservée qu'aux crises politiques extrêmes. Comparaison et réalité pratique Dans la pratique, la plupart des pays utilisent une combinaison de ces méthodes : filtrage DNS pour la majorité des utilisateurs (économique), blocage IP pour les contournants basiques, et DPI pour les cas difficiles. Les ressources disponibles et la sophistication technique de l'autorité censurant déterminent jusqu'où elle peut aller. La clé à retenir : aucune méthode n'est parfaite, et toutes présentent des tradeoffs entre efficacité, coût et visibilité. Un blocage qui laisse des traces obvies (une page d'erreur, une latence) incite les utilisateurs à chercher des contournements. Un blocage qui semble aléatoire ou intermittent est moins détectable, mais plus difficile à mettre en place. Pour aller plus loin, explorez les concepts de chiffrement de bout en bout, de protocoles anonymes, et de mesure de la censure — autant de domaines qui se situent à l'intersection entre la technologie et la politique.