Comment les Émirats arabes unis bloquent X : les méthodes techniques décortiquées

Les Émirats arabes unis bloquent X (anciennement Twitter) depuis mai 2022 en utilisant une combinaison de techniques de filtrage qui opèrent à plusieurs niveaux de la pile réseau. Ces méthodes ne relèvent pas d'une stratégie unique mais d'une architecture de contrôle multicouche, chacune complétant les autres pour réduire l'accès à la plateforme.

Le contexte légal du blocage remonte à une directive des autorités de régulation des télécommunications émiraties. Aucun décret public officiel n'a spécifié les raisons techniques ou légales du blocage de X en particulier, bien que les rapports de presse et les organisations de défense des droits numériques comme Access Now aient documenté son application progressive à partir de mai 2022. Cette décision s'inscrit dans une politique plus large de contrôle du contenu en ligne aux EAU, gérée notamment par la Telecommunications and Digital Government Regulatory Authority (TDRA).

Sur le plan technique, le blocage aux EAU combine au moins quatre méthodes distinctes :

Le filtrage DNS constitue la première couche. Lorsqu'un utilisateur aux EAU tente de résoudre le nom de domaine x.com, les serveurs DNS gérés par les fournisseurs d'accès Internet (FAI) de l'État retournent soit une adresse IP non valide, soit aucune réponse. Cela crée l'impression que le domaine n'existe pas. Les utilisateurs voient généralement une erreur « serveur introuvable » ou « délai dépassé » dans leur navigateur. OONI (Open Observatory of Network Interference) détecte cette technique en comparant les réponses DNS depuis des serveurs récursifs résolveurs de domaines (comme 8.8.8.8 de Google) avec les réponses reçues via les serveurs DNS du FAI local. Les discordances indiquent un filtrage DNS.

Le blocage par liste noire d'adresses IP complète cette première couche. Même si un utilisateur contourne le filtrage DNS ou utilise un résolveur externe, les adresses IP appartenant aux serveurs de X.com sont bloquées à la limite du réseau, vraisemblablement via des listes noires configurées sur les pare-feu des points d'interchange du réseau nacional. Les utilisateurs qui tentent une connexion directe à une adresse IP recevront un timeout ou une réinitialisation de connexion (RST). OONI teste cette technique en effectuant des connexions TCP directes vers des adresses IP connues et en observant les réponses.

L'inspection SNI (Server Name Indication) représente une technique plus sophistiquée. SNI est un mécanisme TLS qui envoie le nom de domaine en clair lors de la négociation HTTPS. Les équipements de filtrage DPI (Deep Packet Inspection) des FAI listent les valeurs SNI correspondant à X et rejettent ou réinitialisent les connexions avant même que le certificat TLS soit échangé. Cela empêche les utilisateurs de contourner le filtrage DNS simplement en mémorisant l'adresse IP du serveur. Les chercheurs détectent cette technique en initiant des connexions TLS avec différentes valeurs SNI : si la connexion échoue uniquement lorsque le SNI indique un domaine de X, alors l'inspection SNI est active.

L'inspection approfondie des paquets (DPI) va plus loin. Elle analyse le contenu des flux réseau pour détecter et bloquer les patterns associés à X, même lorsque le domaine est masqué ou offusqué. Bien que documentée dans d'autres régions (particulièrement en Chine et en Russie), la présence d'une DPI aux EAU est probable étant donné l'infrastructure de contrôle plus large du pays, bien qu'il soit difficile de l'isoler précisément sans accès aux équipements de réseau eux-mêmes.

Selon les rapports d'OONI et de chercheurs indépendants, le blocage de X aux EAU depuis 2022 a maintenu une efficacité élevée contre les utilisateurs non techniques. Les mesures OONI collectées via leur logiciel de test ouvert ont confirmé une accessibilité très réduite au domaine x.com à partir des réseaux émiratis majeurs.

Contrairement aux idées reçues, un simple tunnelage générique (OpenVPN, WireGuard, ou protocoles fondés sur QUIC comme les transports pluggables Tor) chiffre le contenu au-delà du point de filtrage, rendant l'inspection SNI et DPI inefficaces contre cette couche de trafic. Cependant, l'absence totale de logs ou la véracité des audits de sécurité dépend entièrement de la configuration et de l'exécution, pas du protocole lui-même.

Le blocage de X aux EAU illustre comment un régime peut empiler plusieurs techniques pour atteindre une couverture presque complète sans technique révolutionnaire unique. L'architecture est rudimentaire en comparaison aux systèmes observés en Chine continentale, mais reste efficace contre la majorité des utilisateurs occasionnels.