La politique de censure DNS en Malaisie présente un danger à l'Internet libre
La Commission malaisienne des communications et du multimédia (MCMC) a fait sensation au début du mois lorsqu'elle a ordonné aux fournisseurs d'accès à Internet (FAI) du pays de rediriger vers leurs propres serveurs les requêtes DNS envoyées à d'autres fournisseurs DNS.
Le MCMC a déclaré à l'époque que cette mesure visait à protéger le public des " contenus préjudiciables ", à savoir les sites web "liés aux jeux d'argent en ligne, à la pornographie, à la violation des droits d'auteur, aux escroqueries et à d'autres violations de la loi malaisienne ".
Avant d'aller plus loin, revenons un peu en arrière et rappelons ce qu'est le DNS et quel est son rôle dans l'infrastructure du web.
DNS est l'acronyme de Domain Name System (système de noms de domaine), qui fait essentiellement office de dictionnaire de l'internet. Lorsque vous tapez une adresse web dans votre navigateur, par exemple www.example.com, votre ordinateur doit traduire cette adresse lisible par l'homme en une adresse IP, qui est une étiquette numérique identifiant un serveur spécifique sur l'internet. Cette traduction est effectuée par un résolveur DNS. Ce résolveur est généralement géré par votre fournisseur d'accès à Internet ou par un service DNS tiers que vous avez configuré sur votre appareil.
Dans le contexte de l'ordre donné aux FAI malaisiens de rediriger les requêtes DNS, cela signifie que si les utilisateurs tentent d'utiliser des fournisseurs DNS alternatifs (comme Google DNS, Cloudflare DNS ou AdGuard DNS), leurs requêtes seront interceptées et redirigées vers les propres serveurs DNS du FAI. Tout cela dans le but ostensible de les protéger contre les sites web "nocifs".
Les FAI peuvent-ils facilement intercepter et rediriger le trafic ?
D'un point de vue technique, une telle manœuvre est possible car les FAI ont le contrôle du trafic DNS qui passe par leurs réseaux. Il faut néanmoins faire une distinction importante. Si vous utilisez un serveur DNS en clair, non crypté, qui utilise les protocoles IPv4 ou IPv6 pour rediriger des adresses IP, votre fournisseur d'accès à l'internet peut voir les sites web que vous visitez. Cela signifie que vos requêtes et réponses DNS peuvent être lues, interceptées et potentiellement modifiées par toute personne ayant accès au trafic réseau, en premier lieu votre fournisseur d'accès. Historiquement, le trafic DNS n'est pas crypté, ce qui est le cas pour la plupart des utilisateurs.
Cependant, il sera beaucoup plus difficile pour les FAI de faire de même avec les demandes des utilisateurs envoyées par des protocoles DNS cryptés. Les protocoles DNS cryptés, bien qu'ils ne soient pas encore très répandus, gagnent du terrain car ils permettent de résoudre les problèmes de confidentialité inhérents au DNS non crypté. Plusieurs protocoles sécurisés sont utilisés pour transmettre ces demandes cryptées. Les plus largement adoptés sont DNS-over-HTTPS (DoH) et DNS-over-TLS (DoT). Il existe également un nouveau protocole de pointe - DNS-over-QUIC (DoQ) - qui est supérieur à ces deux protocoles en termes de vitesse et de fiabilité. Son adoption n'en est qu'à ses débuts : AdGuard DNS a été le premier résolveur public à le prendre en charge.
Bien que l'utilisation d'un serveur DNS crypté empêche que votre historique web ne devienne accessible à votre FAI, ce dernier peut toujours déduire que vous utilisez un serveur DNS alternatif. Cela est dû à un processus connu sous le nom de "bootstrap". Lorsque votre appareil tente pour la première fois d'utiliser un serveur DNS crypté, il doit d'abord résoudre l'adresse IP de ce serveur par le biais d'un DNS traditionnel non crypté. Cette étape initiale, appelée "bootstrap", consiste à envoyer une requête DNS standard, non cryptée, au serveur DNS de votre FAI pour obtenir l'adresse IP du serveur DNS crypté. Cela permet à votre FAI de savoir que vous utilisez probablement un serveur DNS qui n'est pas celui de votre FAI.
Toutefois, ce processus n'est pas très clair et est susceptible de produire de nombreux faux positifs. En termes de mise en œuvre, nous ne savons pas si les fournisseurs d'accès iront au-delà de la simple redirection du trafic. Beaucoup dépendra de la portée de l'ordonnance et des responsabilités d'un FAI dans le cadre de celle-ci. À première vue, il semble que le seul moyen pour les FAI de s'assurer que les utilisateurs de DNS cryptés ne recourent pas à d'autres fournisseurs de DNS soit de les couper de l'internet, et cette solution semble extrême.
En conclusion, si vous utilisez un DNS crypté, vous aurez plus de chances de vous protéger contre le réacheminement forcé de votre trafic DNS.
L'application de l'ordonnance est suspendue : problèmes potentiels
Plusieurs jours après la publication de l'ordonnance, le MCMC en a suspendu l'application. Le vice-ministre malaisien des communications, Teo Nie Ching, a annoncé le 9 septembre que les autorités auraient dû consulter les acteurs principaux du secteur avant de mettre en œuvre l'ordonnance. Elle a indiqué que ce processus de consultation allait désormais avoir lieu, sans fixer de calendrier précis. *"Nous souhaitons que le MCMC procède à un engagement approprié et complet. S'ils ont besoin d'un mois, nous le ferons. S'ils ont besoin de trois mois, nous le ferons" * a-t-elle déclaré.
La volte-face du gouvernement malaisien sur cette question fait suite aux réactions négatives que le MCMC a subies après avoir forcé les fournisseurs d'accès à Internet à se plier à ses exigences. Il a été signalé que des personnes utilisant des résolveurs DNS publics exploités par Google et Cloudflare rencontraient des problèmes d'accès à l'internet. Des plaintes ont également été déposées par des sites web déclarant héberger des contenus légitimes qui ont été rendus inaccessibles parce qu'ils se trouvaient dans la ligne de mire. Le MCMC a conseillé aux propriétaires de ces sites de contacter leur fournisseur d'accès à Internet et, en cas d'échec, de s'adresser directement au MCMC, mais cela n'a apparemment pas suffi, puisque l'exécution de l'ordonnance est désormais suspendue pour une durée indéterminée.
Il existe plusieurs scénarios pour expliquer ce qui a pu se passer. Mais il nous faut d'abord faire un petit détour pour aborder un point important : nous ne pensons pas que de tels ordres aient leur place dans le monde numérique interconnecté d'aujourd'hui. L'esprit de cette ordonnance entre en contradiction avec l'idée d'un Web libre, et ce n'est pas tout : elle empiète sur notre droit fondamental de choisir le service qui répond le mieux à nos besoins.
Même si l'intention est de protéger les utilisateurs contre les contenus inappropriés, donner au gouvernement un tel contrôle est risqué et ouvre la porte à des abus potentiels. Nous sommes fermement convaincus que c'est à l'utilisateur individuel de décider des contenus qu'il souhaite consulter et de ceux qu'il souhaite bloquer. Par exemple, les services DNS publics gratuits comme AdGuard DNS offrent des modes de non-filtrage, de blocage des publicités et de protection de la famille pour aider les utilisateurs à gérer leur expérience en ligne. C'est à l'utilisateur de décider, et non au fournisseur de services.
En ce qui concerne les problèmes liés à l'application de la loi, outre le mécontentement populaire, il est possible que les serveurs DNS approuvés par le gouvernement aient été instantanément surchargés par les requêtes redirigées à partir des serveurs DNS figurant sur la liste noire. Certains ont pu être affectés par le problème des faux positifs, lorsque des sites apparemment légitimes ne s'ouvraient pas.
Que va-t-il se passer ensuite ?
Les autorités malaisiennes ont peut-être renvoyé la décision pour réexamen, mais elles ne sont pas retournées à la planche à dessin. L'idée est toujours d'actualité et il y a de fortes chances qu'elle soit mise en œuvre. Si ce n'est pas la semaine prochaine, ce sera au cours de l'année.
Le MCMC a également déclaré qu'il n'interdirait pas les VPN dans le cadre de l'application de l'ordonnance. Le cryptage fourni par un VPN garantit que le FAI ne peut pas voir les requêtes DNS de l'utilisateur ou toute autre donnée. Le FAI peut détecter qu'un utilisateur est connecté à un VPN et identifier l'adresse IP du serveur VPN, mais il ne peut pas accéder ou modifier le contenu du trafic, y compris les requêtes DNS effectuées par l'intermédiaire du VPN. Ces requêtes DNS seront traitées par les propres serveurs DNS du VPN.
À première vue, la décision de ne pas bloquer les services VPN semble étrange, car l'utilisation d'un VPN compromettrait probablement l'efficacité de l'ordonnance. Une explication possible est que les autorités ne s'attendent peut-être pas à ce que beaucoup de gens se donnent la peine d'utiliser des VPN pour contourner les restrictions.
En ne ciblant pas les VPN, le gouvernement malaisien crée une lacune pour l'accès aux contenus bloqués. L'ordonnance n'en reste pas moins préoccupante pour la vie privée et la sécurité des utilisateurs. Elle pourrait donner aux FAI et au gouvernement un accès illimité à la liste des noms de domaine (comme google.com, dailymail.com ou pornhub.com) que l'utilisateur a visités. De plus, si les utilisateurs de DNS cryptés se voient couper leur accès à l'internet, cela nuirait à leur expérience d'utilisateur (c'est le moins que l'on puisse dire), à leur sécurité et ferait reculer les normes de sécurité en ligne en général.
En plus de ces préoccupations, de telles politiques pourraient donner des indications à d'autres pays, en particulier ceux qui ont peu de considération pour les libertés démocratiques, créant ainsi un précédent potentiellement dangereux. La communauté doit s'unir contre ces menaces qui pèsent sur le web libre et exprimer clairement sa désapprobation. Il s'agit peut-être de la Malaisie aujourd'hui, mais votre pays pourrait être le suivant.