2 avril: ajout de détails concernant un éventuel blocage par Renater et concernant le tcp ping. Merci à Stéphane Bortzmeyer !

Sci-Hub et LibGen sont deux sites web de partages d'articles et d'ouvrages scientifiques (mais pas uniquement) fournissant un accès libre à des articles scientifiques en contournant les paywalls mis en place par les éditeurs desdits articles.

Le 7 mars 2019, les fournisseurs d'accès internet (FAI) classiques (Bouygues Télécom, Free, Orange et SFR) ont reçu l'ordre de procéder au blocage de ces sites, suite à une décision du tribunal de grande instance de Paris, comme le rapporte NextINpact (source du document précédent).

Le jugement concerne un ensemble de 57 noms de domaines, tels que sci-hub.tw , sci-hub.cat , libgen.io ou scihub.unblocked.app , et demande la mise en place de « toutes mesures propres à empêcher l'accès aux plateformes Sci-Hub et LibGen », pendant « une durée de 12 mois à compter de la mise en œuvre des mesures ordonnées ». L'actualisation de cette liste de site n'est pas automatique, et demande la saisie du juge des référés.

Comment cette censure est-elle mise en place par les FAIs concernés ?

D'autres FAIs ont-ils mis en place une telle censure, de leur propre initiative, sans être pourtant concernés par ce jugement ?

Pour répondre à ces questions, il est possible d'utiliser la plateforme RIPE Atlas.

RIPE Atlas

RIPE Atlas est une plateforme distribuée composée de sondes connectées à Internet que l'on peut controller à distance pour effectuer des mesures « réseau » comme un ping, un traceroute ou une résolution dns depuis ces dernières. On compte actuellement plus de 10 000 sondes en activité, dont la majorité est située aux États-Unis et en Europe.



Capture d'écran de la carte des sondes RIPE Atlas.

Atlas permet de choisir l'origine et la destination de ces mesures, par exemple, pour n'utiliser que des sondes connectées à Internet en utilisant l'opérateur Orange, ou pour n'obtenir que les résultats de sondes situées physiquement en France (chaque propriétaire de sonde ayant renseigné l'emplacement géographique de cette dernière).

Il est donc possible de vérifier si la résolution d'un nom de domaine (celui de Sci-Hub et de LibGen) est correcte, ou si l'on a affaire à un DNS Menteur, c'est-à-dire à un serveur qui manipule les données pour, par exemple, empêcher l'accès à un site web (i.e. de la censure).

Mesures sur les sondes françaises

Il y a 1933 sondes localisées en France actuellement, mais seulement une partie est connectée à internet et disponible à l'utilisation.

Pour interroger ces sondes, on utilise l'outil blaeu développé par Stéphane Bortzmeyer en lui précisant quelles sont les sondes que l'on souhaite utiliser (dans notre cas, des sondes localisées en France).

Une liste de l'ensemble des sondes disponibles ainsi que les numéros d'Autonomous System associés (en IPv6 et IPv4) peuvent être obtenus en utilisant les données disponibles sur cette page d'archive.

On limite pour l'instant la mesure à la résolution des noms de domaines principaux des deux plateformes, c'est-à-dire libgen.io et sci-hub.se , et on effectue des mesures en IPv4 sur 1000 sondes, le maximum pour une unique mesure:

blaeu-resolve --country=FR --requested=1000 --ipv4 --type A libgen.io blaeu-resolve --country=FR --requested=1000 --ipv4 --type A sci-hub.se

On effectue aussi une mesure d'accessibilité de l'adresse ip 93.174.95.87 (vers laquelle libgen.io pointe) afin de déterminer si un blocage au niveau IP est effectué (il n'est pas possible de faire ce test avec sci-hub.se qui semble de toute façon bloquer les ping):

blaeu-reach --country=FR --requested=1000 93.174.95.87

Les résultats bruts sont disponibles aux adresses suivantes: 1, 2 et 3.

Différentes stratégies de censure

En analysant les résultats, on remarque différentes stratégies de censure selon les opérateurs, uniquement au niveau DNS (en utilisant les DNS de l'opérateur):

Orange (AS 3215): une réponse invalide est renvoyée ( 127.0.0.1 );

); Bouygues Télecom (AS 5410): Une réponse de type NXDOMAIN est renvoyée;

SFR/Cegetel/Numericable (AS 15557, 21502 et 8228): Une réponse de type NXDOMAIN est renvoyée;

Free (AS 12322): aucun blocage DNS n'est en place (au 30 mars 2019).

Par ailleurs, presque l'ensemble des sondes a accès au niveau IP à libgen.io , en tout cas pour des requêtes de type ping (il est possible qu'un filtrage soit en place uniquement pour des requêtes http sur le port 80 ou 443 (port http et https ), mais cela est peu probable).

Pour vérifier cette hypothèse, Stéphane Bortzmeyer me précise par email qu'il est possible d'utiliser un tcp ping, et confirme, par le biais d'une nouvelle mesure qu'un tel blocage (« niveau 3 » de la couche OSI) n'est pas en place.

Un unique autre AS est associé à des réponses erronées (de type 127.0.0.1 ) dans les résultats obtenus: l'AS 35540, correspondant à OVH. En examinant les adresses des résolveurs utilisés, on remarque qu'elles sont du type 192.168.100.1 et 192.168.0.100 , adresses utilisées par défaut dans les solutions de type OverTheBox permettant l'agrégation de plusieurs connexions à internet. L'une de ces connexions est probablement fournie par Orange, et utilise les DNS d'Orange.

Et Renater dans tout ça ?

Il apparait que RENATER, réseau de télécommunications français reliant les différents établissements d'enseignement et de recherche entre eux, et à ce titre particulièrement lié à cette problématique, n'a pas mis en place de blocage (Renater ne fournissant pas de résolveurs dns, il serait nécessaire de bloquer au niveau "ip" pour empêcher l'accès à ces sites). La pertinence d'une telle demande de blocage auprès de fournisseurs d'accès grand public apparait alors comme assez limitée, me semble-t-il, une grosse partie des utilisateurs de sci-hub utilisant probablement ce FAI.

L'année dernière, RENATER avait procédé au blocage d'un site de sa propre initiative, au titre qu' « un certain nombre d'utilisateurs pourraient se plaindre que RENATER laisse libre accès à ce site, dont le contenu a pourtant été jugé répréhensible au sens de la loi sur la liberté de la presse ». Il reste donc à déterminer si il fera de même pour sci-hub et libgen.