Comment la Tunisie censure l'internet

Grâce à la présence d'un ami à l'infâme SMSI, j'ai pu expérimenter sur le firewall de Tunisie, ce pays qui se prétend ô si démocratique, mais qui bloque les sites internets dissidents, notamment Reporters sans Frontières, un parti d'opposition et la Ligue tunisienne des droits de l'Homme. L'APC a un blog qui détaille plusieurs de ces violations flagrantes de la liberté de parole et des droits humains, au sommet et en marge de celui-ci.

Bref, ce n'est pas de la tarte la Tunisie et c'est d'un ironie exceptionnelle que les ''grands de ce monde'' en matière de ''société de l'information'' se rassemblent dans ce pays pour parler de la ''"société dans laquelle règnerait l’égalité des chances de mise à profit des bienfaits des technologies de l’information et de la communication, en permettant l’accès de tous aux sources du savoir et de l’information, pour que soit jeté ce faisant un pont solide de développement et d’échanges culturels entre les différentes cultures et civilisations, et pour que se concrétisent les nobles valeurs de solidarité et de coopération."'' (dixit le président de la Tunisie lui-même!). Ces mêmes ''grands de ce monde'' qui, encore plus ironiquement, sont soit: a) des grandes compagnies (e.g. Microsoft) ou b) des représantants d'états défandant les intérêts des mêmes compagnies.

Donc, voilà pour le contexte politique. Le but de ce billet étant plus de détailler les contraintes techniques qui rendent cette répression digitale possible, passons à autre chose, même si c'est si peu, au fond.

(Attention, exposé geek en cours!)

Quand on est branché en Tunisie, la première chose que l'on remarque, évidemment, c'est que tous le traffic réseau passe par une agence gouvernementale:


anarcat@ubuntu:~$ tracepath koumbit.net
1: 192.168.2.3 (192.168.2.3) 0.294ms pmtu 1500
1: . (192.168.2.1) 1.716ms
2: . (192.168.2.1) asymm 1 2.778ms pmtu 1400
3: 193.95.123.250 (193.95.123.250) asymm 4 127.040ms
4: 193.95.124.245 (193.95.124.245) 126.840ms
5: 193.95.1.126 (193.95.1.126) 124.688ms
6: 193.95.1.9 (193.95.1.9) asymm 7 127.234ms
7: 62.216.147.25 (62.216.147.25) asymm 8 239.624ms
8: so-2-1-0.0.cjr02.lax001.flagtel.com (62.216.128.241) 318.909ms
9: so-0-3-0.0.ejr02.pao001.flagtel.com (62.216.128.78) asymm 10 318.245ms
10: GE5-0-PEERA-STTLWA.IP.GROUPTELECOM.NET (198.32.176.22) 325.667ms
11: POS7-0.PEERA-STTLWA.IP.GROUPTELECOM.NET (66.59.190.77) 335.737ms
12: POS7-0.WANA-VANCBC.IP.GROUPTELECOM.NET (66.59.190.45) 344.029ms
13: 66.59.190.58 (66.59.190.58) asymm 15 327.635ms
14: 216.18.63.194 (216.18.63.194) 326.213ms
15: 216.18.72.10 (216.18.72.10) asymm 12 323.491ms
16: bgp-mtl-sora-gt.iweb.ca (66.38.187.202) asymm 15 328.976ms
17: pop.koumbit.org (209.172.32.46) asymm 14 343.124ms reached
Resume: pmtu 1400 hops 17 back 14

On voit que les hops (en) 3 à 6 sont dans le bloc d'IP 193.95.0.0/17, qui appartient à une agence gouvernementale:


% Information related to '193.95.0.0 - 193.95.127.255'

inetnum: 193.95.0.0 - 193.95.127.255
org: ORG-AFNC1-RIPE
netname: AFRINIC-NET-TRANSFERRED-20050223
descr: This network has been transferred to AFRINIC
remarks: These IP addresses are assigned in the AFRINIC region.
remarks: Authoritative registration information for this network
remarks: is available for query and modification in
remarks: the AFRINIC whois database: whois.afrinic.net or
remarks: web site: http://www.afrinic.net
remarks: The routing registry information (route(6) objects)
remarks: may be published in any Routing Registry, including
remarks: RIPE Whois Database
country: EU # country is really somewhere in African Region
admin-c: AFRI-RIPE
tech-c: AFRI-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-RPSL-MNT
source: RIPE # Filtered

organisation: ORG-AFNC1-RIPE
org-name: African Internet Numbers Registry
org-type: RIR
address: see http://www.afrinic.net
e-mail: bitbucket@ripe.net
admin-c: AFRI-RIPE
tech-c: AFRI-RIPE
remarks: For more information on AFRINIC assigned blocks, use
remarks: AFRINIC's whois database, whois.afrinic.net.
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

role: The African Internet Numbers Registry
org: ORG-AFNC1-RIPE
address: AFRINIC, see http://www.afrinic.net
admin-c: AFRI-RIPE
tech-c: AFRI-RIPE
nic-hdl: AFRI-RIPE
e-mail: bitbucket@ripe.net
remarks: For more information on AFRINIC assigned blocks, connect
remarks: to AFRINIC's whois database, whois.afrinic.net.
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

% Information related to '193.95.0.0/17AS2609'

route: 193.95.0.0/17
descr: Agence Tunisienne Internet
descr: RIPE LIR for ISP's and Networks in Tunisia -tn.ati-
origin: AS2609
mnt-by: ATI-MNT
source: RIPE # Filtered

Le DNS ne semble pas être trafiqué comme pour la grande muraille de feu chinoise (en):


anarcat@ubuntu:~$ ping rsf.org
PING rsf.org (80.67.162.3) 56(84) bytes of data.
64 bytes from rsf.org (80.67.162.3): icmp_seq=1 ttl=49 time=258 ms

Mais essayer de se connecter sur le port 80 sur rsf.org nous donne:


anarcat@ubuntu:~$ telnet rsf.org 80
Trying 80.67.162.3...
Connected to rsf.org.
Escape character is '^]'.
HEAD / HTTP/1.1
Host: www.rsf.org

HTTP/1.1 403 Forbidden
Date: Sat, 19 Nov 2005 01:32:53 GMT
Content-Length: 1876
Content-Type: text/html
Server: NetCache appliance (NetApp/6.0.1)

La page elle-même est une page d'erreur classique de IIS. En faisant un ''reverse lookup'' de l'addresse, on trouve que c'est un serveur AlternC, zola.netaktiv.com. On peut accéder à cette page correctement, ce n'est donc pas une restriction par IP, ce qui est un peu faible, si vous me demandez mon avis...

C'est donc un "proxy transparent" qui filtre ''tout le contenu'' qui sort ou entre de la Tunisie. La compagnie complice de cette censure est NetApp avec leur produit NetCache, comme indiqué par les headers. Tout comme Cisco a construit la grande muraille de feu chinoise, NetApp est complice de la censure global et du Big Brother localisé qui est en train de s'implanter dans le monde.

Références:

Commentaires

Portrait de anarcat

#1 anarcat : suivi de la censure de ce blog et des mécanismes de contournemen

le suivi de cette discussion se fait ici.


Portrait de Anonymous

#2 Anonymous : La tunisie, même si on a

La tunisie, même si on a quelques problèmes est un pays qui se débrouille dix fois que d'autres dans beaucoup des domaines cités et si toi tu considères que nous sommes si nul pourquoi tu parles de nous mêle toi de tes affaires et de sarkozy qui vous nique en douce lui et ses amis sans que vous vous en rendiez compte .

Ici nous sommes fier de ce qui se passe et de notre gouvernement et tous ceux a qui sa plaît ils n'ont qu'à aller se faire ...


Portrait de Anonymous

#3 Anonymous : Parle pour toi, moi j'ai

Parle pour toi, moi j'ai honte de notre gouvernement et de l'état de corruption auquel est arrivé notre pauvre pays


Portrait de anarcat

#4 anarcat : Sarkozy??

Bon, pour commencer, je vois pas ce que j'ai dis de si grave sur la Tunisie: le gouvernement censure des sites que je considère légitime, et c'est tout. Je ne me suis pas exprimé autrement sur les "domaines ciblés", et je n'ai pas comparé avec la France (où la censure est aussi rampante, si peut-être moins institutionnalisée au niveau international) ou avec un autre pays.

D'ailleurs, je ne suis pas français et j'emmerde Sarkozy et tous les connards de politiciens de son espèce, de tous les pays, y compris le mien.

Je me permets de critiquer les actions des gouvernements du monde entier, particulièrement lorsqu'ils s'attaquent à la liberté d'expression civiques de leurs citoyens. Si ça ne vous plaît pas, je vous invite à consulter d'autres sites pour vos lectures quotidiennes.


Portrait de pas juste

#5 pas juste : incroyable le taux d'hypocrisie entunisie

Je connais la tunisie et la plupart sont hypocrite, ils n'ont pas le courage de s'afficher ouvertement. Il prefere etre comme ils sont c'est a dire en prison a ciel ouvert... petit exemple faite entrer des euros aucun probleme essayé par western unin de les renvoyés a l'expediteur

pas juste


Portrait de anarcat

#6 anarcat : Restons dans le sujet SVP

Je vois pas du tout le rapport avec l'article ici. Je ne tolèrerai pas les attaques personnelles du genre. Si c'est tout ce qui peut sortir des commentaires ici, je me permettrai de fermer cet article, ce qui serait fort malheureux compte tenu du sujet original.

Veuillez demeurer dans le sujet, merci.


Portrait de Anonymous

#7 Anonymous : ils sont très fort ces gens

ils sont très fort ces gens de la censure !

un site comme open-files.com censuré je ne sais même pas pourquoi !!!!

je suis bien d'accord quand ils ferment des sites politiques islamistes mais pas des sites de news et d'information !!!


Portrait de anarcat

#8 anarcat : Quand on est pour la censure...

Quand on est pour la censure, qui choisit? Qui dit qu'un site politique doit être fermé et un autre pas? Pourquoi un site islamiste devrait être fermé et un site catholique resterait ouvert?

Au bout du compte, la censure, c'est une arme comme les autres: tant qu'on la pointe vers des "méchants islamistes", c'est facile de la célébrer, mais quand elle se retourne contre nous, il est peut-être temps à réfléchir pourquoi on l'approuvait avant.


Lorsque les nazis sont venus chercher les communistes
Je me suis tu, je n'étais pas communiste.
Lorsqu'ils sont venus chercher les syndicalistes
Je me suis tu, je n'étais pas syndicaliste.
Lorsqu'ils sont venus chercher les sociaux-démocrates
Je me suis tu, je n'étais pas social-démocrate.
Lorsqu'ils sont venus chercher les juifs
Je me suis tu, je n'étais pas juif.
Puis ils sont venus me chercher
Et il ne restait plus personne pour protester.

Martin Niemöller


Portrait de Anonymous

#9 Anonymous : pas terrible ton blog

pour moi c du charabia

ça n'a pas de sens

et même si c vrai , dommage mais je peux te dire tu te plante.

tu nous sous estime , la tunisie est un pays des plus développé dans tous les systemes de controle de l'information.

donc ne croit pas la solution aussi facile .


Portrait de anarcat

#10 anarcat : merci à l'avance

Je ne considère pas vous sous-estimer: le pare-feu semble parfaitement efficace pour la plupart des usagers. Je ne crois pas la solution si facile et je serais curieux de savoir en quoi les solutions proposées ne fonctionnent pas et continuer à documenter le phénomène ici.

Soit dit en passant, je ne considère pas que le "contrôle de l'information" soit un "développement" au sein d'une société, mais plutôt une régression historique de l'échelle du moyen-âge européen où les religieux contrôlaient tout ce qui se disait et se pensait. Maintenant c'est encore pire, je dirais même car les joueurs ne s'affichent plus aussi clairement: on ne sait pas qui censure quoi et pourquoi, en particulier en chine ou aux états-unis.

Donc où est-ce que je me plante exactement? Merci à l'avance de m'expliquer.


Portrait de Anonymous

#11 Anonymous : svp je suis en tunisie et

svp je suis en tunisie et j'aimerai avoir des proxy pour passer ces barriere si vous permetait et merci


Portrait de anarcat

#12 anarcat : Des pistes de solution

Puisque la censure est au niveau du protocole TCP, il suffirait d'outrepasser le proxy au niveau IP. Je ne crois pas que d'autres proxy règleraient le problèmes, à moins qu'ils ne fonctionnent pas selon le standard HTTP. Par exemple, la cache de Google ou Archive.org devrait pouvoir être utilisée afin de contourner les mécanismes de protection. Mais ce sont des solutions peu fiables et qui ne sont pas conçues pour faire office de "proxy", mais d'engin de recherche ou d'archive. Une solution dans techniquement proche (disons) mais conçue expressément pour contourner la "muraille de chine" est Picidae, que vous pouvez essayer directement dans votre navigateur à http://pici.picidae.net/, s'il n'est pas bloqué, évidemment.

Je peux aussi recommander l'utilisation d'un outil comme Tor. Puisque les sites sont accessibles au niveau IP, il est fort probable que Tor puisse fonctionner, à moins que sont protocole soit détecté par les machines NetApp, ce dont je doute car c'est un protocole assez récent.

Évidemment, il es fort possible que le site de distribution du logiciel Tor soit lui-même censuré et bloqué. À ce moment, il suffirait de trouver l'archive ailleurs. Il doit probablement y avoir plusieurs mirroirs et en dernier recours un ami à l'extérieur du pays peut en faire parvenir une version par courriel (par exemple). ;)


Portrait de Mouwaten Tounsi

#13 Mouwaten Tounsi : Blogs censurés en fin 2006

Fin 2006, plusieurs blogs ont été censurés :

http://mouwatentounsi.blogspot.com/2007/01/le-film-des-coup-de-ciseaux-de-lati.html


Portrait de anarcat

#14 anarcat : Et ce blog?

Je me demande si mon propre blog est censuré...


Portrait de Badoo

#15 Badoo : Ton blog est censuré en

Ton blog est censuré en Tunisie...
Félicitation !! :D


Portrait de Infinity

#16 Infinity : Non ..

Ce blog n'est pas censuré en Tunisie .. :)


Portrait de dido

#17 dido : Je confirme anarcat, ton site

Je confirme anarcat, ton site est bien censuré.

En ce qui concerne la tunisie, tu as vu juste...
Et l'hypocrisie y est devenu un mal endémique...à moins que ce ne soit le syndrome de stockholm...se mettre à aimer ses bourreaux pour mieux supporter une situation inacceptable..

Orwell, ce génie, avait bien terminer "1984" par 'I love Big Brother'...lol (un lol jaune)
Toutes les libertés sont bafouées dans ce pays.
Et aux personnes qui se sont offusquées dans les commentaires, soit c'est des trolls, soit je leur dirai : il n'y a que vous qui pouvez améliorer la situation dans votre pays, ne vous résignez pas, ne vous mentez pas, faites plutot preuve de dignité et de courage, et battez vous. La politique de l'autruche vous menera droit vers le mur...Est-ce vraiment dans ce genre de pays que vous voulez faire vivre vos enfants...?

Anarcat, dis moi svp, qu'en est-il de hotspot shield, est ce une bonne protection?
Merci, Continue le bon boulot ;-)


Portrait de anarcat

#18 anarcat : hotspot shield

Si ça marche (parce que le gouvernement peut bloquer le HTTPS!), hotspot shield peut être une bonne solution. Par contre:

  1. c'est payant - enfin, ils affichent de la pub
  2. le traffic passe non-encrypté après les passerelles de hotspot shield
  3. ils espionnent votre traffic pour vous envoyer de la pub ciblée

C'est en fait un peu bizarre comme service: vous êtes en sécurité jusqu'à ce que vous arrivez sur les passerelles de hotspot shield, qui peut alors lire toutes vos données confidentielles. Leur entente de confidentialité précise d'ailleurs que le service collecte des renseignements personnels (qui ne peuvent apparemment pas vous identifier personnellement mais bon, qui sait..) pour vous envoyer de la pub... Yerk.

En comparaison, Tor est un logiciel libre (donc gratuit) et n'a pas un seul fournisseur qui peut espionner toutes vos communications. Des milliers de serveurs partout dans le monde fournissent le service et il est donc impossible pour une seule organisation, corporative ou gouvernementale, d'espionner le traffic.