Comment la Tunisie censure l'internet

Posted Novembre 23rd, 2005 by anarcat
in

Grâce à la présence d'un ami à l'infâme SMSI, j'ai pu expérimenter sur le firewall de Tunisie, ce pays qui se prétend ô si démocratique, mais qui bloque les sites internets dissidents, notamment Reporters sans Frontières, un parti d'opposition et la Ligue tunisienne des droits de l'Homme. L'APC a un blog qui détaille plusieurs de ces violations flagrantes de la liberté de parole et des droits humains, au sommet et en marge de celui-ci.

Bref, ce n'est pas de la tarte la Tunisie et c'est d'un ironie exceptionnelle que les grands de ce monde en matière de société de l'information se rassemblent dans ce pays pour parler de la "société dans laquelle règnerait l’égalité des chances de mise à profit des bienfaits des technologies de l’information et de la communication, en permettant l’accès de tous aux sources du savoir et de l’information, pour que soit jeté ce faisant un pont solide de développement et d’échanges culturels entre les différentes cultures et civilisations, et pour que se concrétisent les nobles valeurs de solidarité et de coopération." (dixit le président de la Tunisie lui-même!). Ces mêmes grands de ce monde qui, encore plus ironiquement, sont soit: a) des grandes compagnies (e.g. Microsoft) ou b) des représantants d'états défandant les intérêts des mêmes compagnies.

Donc, voilà pour le contexte politique. Le but de ce billet étant plus de détailler les contraintes techniques qui rendent cette répression digitale possible, passons à autre chose, même si c'est si peu, au fond.

(Attention, exposé geek en cours!)

Quand on est branché en Tunisie, la première chose que l'on remarque, évidemment, c'est que tous le traffic réseau passe par une agence gouvernementale: 

anarcat@ubuntu:~$ tracepath koumbit.net
 1:  192.168.2.3 (192.168.2.3)                              0.294ms pmtu 1500
 1:  . (192.168.2.1)                                        1.716ms 
 2:  . (192.168.2.1)                                      asymm  1   2.778ms pmtu 1400
 3:  193.95.123.250 (193.95.123.250)                      asymm  4 127.040ms 
 4:  193.95.124.245 (193.95.124.245)                      126.840ms 
 5:  193.95.1.126 (193.95.1.126)                          124.688ms 
 6:  193.95.1.9 (193.95.1.9)                              asymm  7 127.234ms 
 7:  62.216.147.25 (62.216.147.25)                        asymm  8 239.624ms 
 8:  so-2-1-0.0.cjr02.lax001.flagtel.com (62.216.128.241) 318.909ms 
 9:  so-0-3-0.0.ejr02.pao001.flagtel.com (62.216.128.78)  asymm 10 318.245ms  
10:  GE5-0-PEERA-STTLWA.IP.GROUPTELECOM.NET (198.32.176.22) 325.667ms
11:  POS7-0.PEERA-STTLWA.IP.GROUPTELECOM.NET (66.59.190.77) 335.737ms 
12:  POS7-0.WANA-VANCBC.IP.GROUPTELECOM.NET (66.59.190.45) 344.029ms 
13:  66.59.190.58 (66.59.190.58)                          asymm 15 327.635ms 
14:  216.18.63.194 (216.18.63.194)                        326.213ms 
15:  216.18.72.10 (216.18.72.10)                          asymm 12 323.491ms 
16:  bgp-mtl-sora-gt.iweb.ca (66.38.187.202)              asymm 15 328.976ms 
17:  pop.koumbit.org (209.172.32.46)                      asymm 14 343.124ms reached
     Resume: pmtu 1400 hops 17 back 14


On voit que les hops (en) 3 à 6 sont dans le bloc d'IP 193.95.0.0/17, qui appartient à une agence gouvernementale: 


% Information related to '193.95.0.0 - 193.95.127.255'

inetnum:      193.95.0.0 - 193.95.127.255
org:          ORG-AFNC1-RIPE
netname:      AFRINIC-NET-TRANSFERRED-20050223
descr:        This network has been transferred to AFRINIC
remarks:      These IP addresses are assigned in the AFRINIC region.
remarks:      Authoritative registration information for this network
remarks:      is available for query and modification in
remarks:      the AFRINIC whois database: whois.afrinic.net or
remarks:      web site: http://www.afrinic.net
remarks:      The routing registry information (route(6) objects)
remarks:      may be published in any Routing Registry, including
remarks:      RIPE Whois Database
country:      EU # country is really somewhere in African Region
admin-c:      AFRI-RIPE
tech-c:       AFRI-RIPE
status:       ALLOCATED PA
mnt-by:       RIPE-NCC-HM-MNT
mnt-routes:   RIPE-NCC-RPSL-MNT
source:       RIPE # Filtered

organisation: ORG-AFNC1-RIPE
org-name:     African Internet Numbers Registry
org-type:     RIR
address:      see http://www.afrinic.net
e-mail:       bitbucket@ripe.net
admin-c:      AFRI-RIPE
tech-c:       AFRI-RIPE
remarks:      For more information on AFRINIC assigned blocks, use
remarks:      AFRINIC's whois database, whois.afrinic.net.
mnt-ref:      RIPE-NCC-HM-MNT
mnt-by:       RIPE-NCC-HM-MNT
source:       RIPE # Filtered

role:         The African Internet Numbers Registry
org:          ORG-AFNC1-RIPE
address:      AFRINIC, see http://www.afrinic.net
admin-c:      AFRI-RIPE
tech-c:       AFRI-RIPE
nic-hdl:      AFRI-RIPE
e-mail:       bitbucket@ripe.net
remarks:      For more information on AFRINIC assigned blocks, connect
remarks:      to AFRINIC's whois database, whois.afrinic.net.
mnt-by:       RIPE-NCC-HM-MNT
source:       RIPE # Filtered

% Information related to '193.95.0.0/17AS2609'

route:        193.95.0.0/17
descr:        Agence Tunisienne Internet
descr:        RIPE  LIR  for ISP's and Networks in Tunisia  -tn.ati-
origin:       AS2609
mnt-by:       ATI-MNT
source:       RIPE # Filtered


Le DNS ne semble pas être trafiqué comme pour la grande muraille de feu chinoise (en): 


anarcat@ubuntu:~$ ping rsf.org
PING rsf.org (80.67.162.3) 56(84) bytes of data.
64 bytes from rsf.org (80.67.162.3): icmp_seq=1 ttl=49 time=258 ms


Mais essayer de se connecter sur le port 80 sur rsf.org nous donne: 


anarcat@ubuntu:~$ telnet rsf.org 80
Trying 80.67.162.3...
Connected to rsf.org.
Escape character is '^]'.
HEAD / HTTP/1.1
Host: www.rsf.org

HTTP/1.1 403 Forbidden
Date: Sat, 19 Nov 2005 01:32:53 GMT
Content-Length: 1876
Content-Type: text/html
Server: NetCache appliance (NetApp/6.0.1)


La page elle-même est une page d'erreur classique de IIS. En faisant un reverse lookup de l'addresse, on trouve que c'est un serveur AlternC, zola.netaktiv.com. On peut accéder à cette page correctement, ce n'est donc pas une restriction par IP, ce qui est un peu faible, si vous me demandez mon avis...

C'est donc un "proxy transparent" qui filtre tout le contenu qui sort ou entre de la Tunisie. La compagnie complice de cette censure est NetApp avec leur produit NetCache, comme indiqué par les headers. Tout comme Cisco a construit la grande muraille de feu chinoise, NetApp est complice de la censure global et du Big Brother localisé qui est en train de s'implanter dans le monde.

Références:

ils sont très fort ces gens

On Juin 17th, 2008 Anonymous (non vérifié) said:

ils sont très fort ces gens de la censure !

un site comme open-files.com censuré je ne sais même pas pourquoi !!!!

je suis bien d'accord quand ils ferment des sites politiques islamistes mais pas des sites de news et d'information !!!

Quand on est pour la censure...

On Juillet 3rd, 2008 anarcat said:

Quand on est pour la censure, qui choisit? Qui dit qu'un site politique doit être fermé et un autre pas? Pourquoi un site islamiste devrait être fermé et un site catholique resterait ouvert?

Au bout du compte, la censure, c'est une arme comme les autres: tant qu'on la pointe vers des "méchants islamistes", c'est facile de la célébrer, mais quand elle se retourne contre nous, il est peut-être temps à réfléchir pourquoi on l'approuvait avant.


Lorsque les nazis sont venus chercher les communistes
Je me suis tu, je n'étais pas communiste.
Lorsqu'ils sont venus chercher les syndicalistes
Je me suis tu, je n'étais pas syndicaliste.
Lorsqu'ils sont venus chercher les sociaux-démocrates
Je me suis tu, je n'étais pas social-démocrate.
Lorsqu'ils sont venus chercher les juifs
Je me suis tu, je n'étais pas juif.
Puis ils sont venus me chercher
Et il ne restait plus personne pour protester.

Martin Niemöller

pas terrible ton blog

On Avril 20th, 2008 Anonymous (non vérifié) said:

pour moi c du charabia

ça n'a pas de sens

et même si c vrai , dommage mais je peux te dire tu te plante.

tu nous sous estime , la tunisie est un pays des plus développé dans tous les systemes de controle de l'information.

donc ne croit pas la solution aussi facile .

merci à l'avance

On Juin 5th, 2008 anarcat said:

Je ne considère pas vous sous-estimer: le pare-feu semble parfaitement efficace pour la plupart des usagers. Je ne crois pas la solution si facile et je serais curieux de savoir en quoi les solutions proposées ne fonctionnent pas et continuer à documenter le phénomène ici.

Soit dit en passant, je ne considère pas que le "contrôle de l'information" soit un "développement" au sein d'une société, mais plutôt une régression historique de l'échelle du moyen-âge européen où les religieux contrôlaient tout ce qui se disait et se pensait. Maintenant c'est encore pire, je dirais même car les joueurs ne s'affichent plus aussi clairement: on ne sait pas qui censure quoi et pourquoi, en particulier en chine ou aux états-unis.

Donc où est-ce que je me plante exactement? Merci à l'avance de m'expliquer.

svp je suis en tunisie et

On Septembre 30th, 2007 Anonymous (non vérifié) said:

svp je suis en tunisie et j'aimerai avoir des proxy pour passer ces barriere si vous permetait et merci

Des pistes de solution

On Octobre 13th, 2007 anarcat said:

Puisque la censure est au niveau du protocole TCP, il suffirait d'outrepasser le proxy au niveau IP. Je ne crois pas que d'autres proxy règleraient le problèmes, à moins qu'ils ne fonctionnent pas selon le standard HTTP. Par exemple, la cache de Google ou Archive.org devrait pouvoir être utilisée afin de contourner les mécanismes de protection. Mais ce sont des solutions peu fiables et qui ne sont pas conçues pour faire office de "proxy", mais d'engin de recherche ou d'archive. Une solution dans techniquement proche (disons) mais conçue expressément pour contourner la "muraille de chine" est Picidae, que vous pouvez essayer directement dans votre navigateur à http://pici.picidae.net/, s'il n'est pas bloqué, évidemment.

Je peux aussi recommander l'utilisation d'un outil comme Tor. Puisque les sites sont accessibles au niveau IP, il est fort probable que Tor puisse fonctionner, à moins que sont protocole soit détecté par les machines NetApp, ce dont je doute car c'est un protocole assez récent.

Évidemment, il es fort possible que le site de distribution du logiciel Tor soit lui-même censuré et bloqué. À ce moment, il suffirait de trouver l'archive ailleurs. Il doit probablement y avoir plusieurs mirroirs et en dernier recours un ami à l'extérieur du pays peut en faire parvenir une version par courriel (par exemple). ;)

Blogs censurés en fin 2006

On Janvier 15th, 2007 Mouwaten Tounsi (non vérifié) said:

Fin 2006, plusieurs blogs ont été censurés :

http://mouwatentounsi.blogspot.com/2007/01/le-film-des-coup-de-ciseaux-de-lati.html

Et ce blog?

On Janvier 15th, 2007 anarcat said:

Je me demande si mon propre blog est censuré...

Non ..

On Janvier 22nd, 2007 Infinity (non vérifié) said:

Ce blog n'est pas censuré en Tunisie .. :)

Poster un nouveau commentaire

The content of this field is kept private and will not be shown publicly.

Plus d'information sur les options de formatage