OONI : comment mesurer et vérifier la censure Internet

L'Open Observatory of Network Interference (OONI) est une infrastructure de mesure de la censure Internet qui produit des données vérifiables sur les techniques et l'ampleur du blocage en ligne dans le monde. Depuis sa création en 2012 par le Tor Project et Arturo Filastò, OONI a collecté plusieurs millions de tests réseau documentant les interventions gouvernementales sur la libre circulation de l'information.

Les gouvernements ne censurent pas tous de la même manière. Les agences nationales responsables — Roskomnadzor en Russie, la Commission Administrative du Cyberespace (CAC) en Chine, le Ministère des Télécommunications (MoTT) en Égypte, la Bangladesh Telecommunication Regulatory Commission (BTRC), ou d'autres autorités — utilisent des techniques qui laissent des traces mesurables dans le trafic réseau.

OONI mesure ces interventions en exécutant des tests depuis des appareils ordinaires connectés à des réseaux commerciaux. Les tests Websites effectuent des requêtes HTTP vers une liste de domaines présumément bloqués. Les tests DNS testent si les serveurs de noms retournent des réponses legitimes ou falsifiées. Les tests TCP/IP détectent si les connexions sont fermées ou réinitialisées. Les tests de performance mesurent le throttling — la dégradation intentionnelle de la vitesse. Chaque test génère des métadonnées : adresse IP source, serveur DNS interrogé, en-têtes HTTP reçus, codes d'erreur réseau, horodatage précis.

Les techniques de blocage détectées par OONI incluent le filtrage DNS, où un serveur de noms retourne une adresse IP fausse ou ne répond pas. C'est peu coûteux techniquement mais facilement contournable via DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT). L'inspection des noms de serveur (SNI) analyse la balise SNI en clair envoyée au début de la négociation TLS pour déterminer le domaine demandé, avant même que le chiffrement prenne effet. L'inspection approfondie de paquets (DPI) scrute le contenu du trafic chiffré lui-même — technique plus invasive nécessitant une puissance de calcul significative. Le blocage par liste noire IP ferme simplement tout accès aux adresses associées à des services considérés comme non conformes. Certaines juridictions appliquent le throttling : réduire intentionnellement la bande passante vers certains domaines ou protocoles, rendant le service inaccessible de facto sans blocage explicite.

Les données OONI sont librement accessibles via une base de données publique et un API. Les chercheurs peuvent télécharger les résultats bruts, identifier les anomalies réseau, et corréler les événements avec l'actualité politique ou légale. Lorsque Roskomnadzor a annoncé l'intention de bloquer Telegram en 2018, OONI a documenté une escalade graduelle du DNS filtering puis du DPI. Lors des fermetures Internet du Soudan en juin 2019 et de la Birmanie en février 2021, les données OONI ont fourni un enregistrement vérifiable des interventions au niveau du routeur BGP — l'annonce ou le retrait d'itinéraires réseau entiers, stoppant toute connexion externe.

Cependant, les limitations sont réelles. OONI mesure principalement depuis les connexions résidentielles d'utilisateurs volontaires ; la couverture est inégale. Une absence de données OONI ne signifie pas l'absence de censure : elle peut simplement indiquer qu'aucun volontaire n'a testé depuis ce réseau à ce moment. Les faux positifs surviennent — une page d'erreur SSL valide peut ressembler à un blocage si le test ne l'analyse pas correctement. OONI ne peut pas mesurer efficacement les interventions qui s'opèrent au-delà de la couche réseau : modération de contenu algorithmique, suppression de comptes, ou arrestations basées sur l'activité en ligne.

Concernant la contremesure technologique, plusieurs protocoles offrent des propriétés adaptées à des menaces différentes. Tor et ses pluggable transports comme Snowflake ou WebTunnel masquent l'activité Tor elle-même face au DPI. WireGuard et OpenVPN chiffrent le trafic de bout en bout mais ne masquent pas le protocole sous-jacent — détectable par DPI. Shadowsocks et V2Ray/Xray implémentent l'obfuscation du protocole, rendant plus difficile la classification du trafic sans l'inspecter au niveau applicatif. ECH (Encrypted Client Hello) supprime la balise SNI en clair, neutralisant l'inspection SNI. MASQUE (Multiplexed Application Substrate over QUIC Encryption) encapsule le trafic dans des flux QUIC apparemment ordinaires.

La censure est un phénomène évolutif. Chaque contremesure technique génère une réaction des opérateurs réseau, qui affinent leurs approches. OONI ne constitue pas une solution : ce sont des données. Ce que nous en faisons — documenter, analyser, exposer — détermine réellement sa valeur civique.