Résultats de l’étude 1.1.1.1Benchmark technique
Dans le benchmark technique, nous avons analysé les solutions de blocage d’accès suivantes:
Blocage IP par filtre ACL qui consiste à paramétrer les routeurs du réseau du FAI pour bloquer les communications vers et à partir d’une liste d’adresses IP appelée liste de contrôle d’accès (ACL)
Blocage BGP qui repose sur la mise en place d’un routeur BGP qui annonce à ses voisins les routes falsifiées pour une liste d’adresses IP de sites à bloquer et concentre ainsi le trafic à destination de ces sites
Blocage DNS qui repose sur le principe de falsification de la réponse à une requête DNS pour l’accès à un site interdit
Blocage DPI qui consiste à analyser les contenus des paquets IP en forçant leur passage par un serveur DPI. En fonction des critères de blocage, le DPI autorise ou interdit le transit des paquets vers leur adresse destination.
Blocage hybride qui est une combinaison du blocage BGP et du blocage DPI dans le but de limiter l’analyse DPI uniquement au trafic IP suspect
Ces techniques diffèrent par la complexité de leur mise en œuvre, et par les impacts et effets de bord qu’elles peuvent entraîner au niveau du réseau du FAI. Si les techniques les plus évoluées comme l’hybride ou le BPI permettent d’effectuer des blocages plus précis, évitant ainsi des surblocages1 importants, leur coût reste élevé. Par ailleurs, les risques pour la qualité de service des réseaux des FAI sont très importants. De ce fait, ces solutions plus évoluées ne sont pas adaptées à un contexte de blocage légal des sites pédopornographiques, dont l’objectif premier est de prévenir de l’accès involontaire à ces contenus.
Toutes les techniques de blocage, sans exception aucune, sont contournables. Elles n’empêcheront pas des utilisateurs malveillants de trouver des parades pour accéder aux contenus illégaux. Par ailleurs, tous les contenus diffusés sur des réseaux Peer-2-Peer, par des services de messagerie instantanée échappent au périmètre de blocage, alors même qu’ils sont les principaux supports constatés d’échange d’images pédopornographiques.
1.1.1.2Benchmark international
Dans le benchmark international, nous avons effectué un comparatif détaillé de 7 grands pays : le Royaume-Uni, l’Australie, la Norvège, les Pays-Bas, l’Italie, la Suède et le Canada et amené un éclairage sur le Danemark, l’Allemagne et la Belgique. Ces pays ont été sélectionnés à la fois en raison de leur état d’avancement sur la question du blocage légal des sites pédopornographiques et de leurs différences. Cela nous a permis de relever les dispositions légales et juridiques ayant préfiguré à la mise en place du blocage, ainsi que les principales caractéristiques opérationnelles liées aux dispositifs de blocage.
A partir de cette analyse, nous pouvons mettre en avant les points suivants :
Cadre législatif spécifique au blocage :
Tous les pays examinés ont un cadre législatif réprimant la pédopornographie
Ils ont également tous des textes limitant la responsabilité des prestataires sur les contenus hébergés, avec une application du principe de subsidiarité (suppression/accès impossible au contenu illicite par l’acteur le plus pertinent, l’éditeur à défaut l’hébergeur)
Seule l’Italie a signé un décret obligeant les FAI à effectuer le blocage des sites pédopornographiques. Dans les autres pays, il s’agit donc d’une démarche concertée, autorité/FAI
En cas de surblocage, la plupart des pays garantit un minimum de sécurité juridique aux FAI via la signature d’accords ou de chartes entre FAI et autorités
La taille de la liste est généralement inférieure à 2000 entrées (URL, noms de domaine, adresses IP), à l’exception du Canada où la liste gérée par Cybertip contient plus de 8000 entrées.
L’IWF s’est engagé auprès des FAI à ce que sa liste noire ne dépasse pas le millier d’URL
Afin de minimiser les risques opérationnels et juridiques, les listes noires ne sont pas retraitées par les FAI et leur contenu est intégré tel quel dans leurs systèmes de blocage.
Les techniques de blocage sont laissées au choix de chaque FAI, à l’exception de l’Allemagne et l’Italie qui indiquent dans les textes le blocage de noms de domaine
La solution de blocage généralement adoptée en Europe est de type DNS. Les pays anglo-saxons –Royaume-Uni, Australie, Canada– ont adopté un blocage hybride de type Cleanfeed
La page de blocage ou le message d’erreur renvoyé à l’internaute sont assez disparates selon le pays : les FAI qui n’utilisent pas de pages spécifiques le font pour ne pas susciter de curiosité, les autres pour dégager leur responsabilité.
D’après les retours que nous avons eus des différents FAI interrogés, le blocage des sites pédopornographiques n’entraînerait aucune dégradation de qualité de service (QoS) pour des utilisateurs lambda qui ne cherchent pas à accéder à ce type de contenu. Cela suppose que les systèmes de blocage soient correctement dimensionnés et les listes noires précises et de taille limitée (inférieure à 2000 entrées).
1.1.1.3Eléments de coûts
Dans cette étude, nous avons réalisé une modélisation des coûts complets de mise en place de dispositifs de blocage d’accès. Le modèle reçoit en entrée les caractéristiques du réseau d’un FAI français représentatif et permet de faire ressortir les coûts directs d’investissement (Capex), de fonctionnement (Opex) et les coûts communs. A cela s’ajoute une appréciation qualitative des coûts additionnels pouvant être la conséquence d’erreurs de blocage.
Les coûts de mise en place sur 3 ans pour le secteur (3 FAI fixe-mobile, 1 FAI fixe-câble, 1 FAI fixe-DSL), se déclinent selon la technologie retenue de la manière suivante :
entre 100 k€ et 3 M€ respectivement pour le blocage BGP « externalisé Etat » et BGP « internalisé FAI »
près de 5 M€ pour le blocage DNS
près de 15 M€ pour le blocage hybride
près de 140 M€ pour le blocage DPI
Le tableau suivant synthétise les coûts sur 3 ans pour chacun des scénarii techniques et opérationnels d’un FAI DSL générique adressant un parc moyen d’abonnés d’environ 5 millions et présente une appréciation qualitative des risques pour le réseau du FAI :
Les modèles de coûts ne prennent pas en compte les impacts financiers des « effets de bord ». Les expériences étrangères montrent que ces effets sont inévitables. Les conséquences financières peuvent être significatives si le blocage concerne des sites à fort trafic. Ces conséquences doivent donc être anticipées par les autorités. Des compensations pourraient être demandées par :
d’une part les FAI, en cas de dégradation notamment de la qualité de service pour les clients finaux, de saturation des centres d’appel (plusieurs centaines de k€ par heure en cas de blocage erroné), ou d’altération de l’image de marque du FAI se traduisant par une augmentation des résiliations
et d’autre part les éditeurs de sites bloqués, avec la perte de chiffre d’affaires induite et l’impact sur l’image de l’éditeur
|
