IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Fraude en ligne : la France se prépare à imposer aux développeurs de navigateurs de bloquer des sites sur liste noire
Mozilla craint que cette mesure ne nuise gravement à l'internet ouvert mondial

Le , par Stéphane le calme
56 commentaires

19PARTAGES

31  0 
L’article 6 du projet de loi SREN, qui vise à lutter contre la fraude en ligne, prévoit d’imposer aux développeurs de navigateurs web de bloquer les sites web figurant sur une liste noire fournie par le gouvernement. Cette mesure, qui pourrait entrer en vigueur en 2023, suscite de vives critiques de la part des défenseurs d’un internet libre et ouvert, qui y voient une atteinte à la neutralité du net, à la liberté d’expression et à la sécurité des utilisateurs.

L'enfer est pavé de bonnes intentions

Les gouvernements ont la responsabilité de protéger leurs citoyens. Au nom de cette responsabilité, ils estiment parfois devoir fouiller dans la vie privée de leurs concitoyens, brandissant des jokers comme la sécurité nationale, la protection des enfants et autres motifs qui suscitent de vives émotions.

Le problème qui se profile est qu'une fois que les « mesures de protection » sont mises en place, même avec les meilleures intentions du monde, elles sont généralement vulnérables à la dérive de la mission.

Parlons par exemple du système de blocage de contenu Cleanfeed mis en œuvre au Royaume-Uni par BT, le plus grand fournisseur Internet de Grande-Bretagne, le premier à bloquer la liste de contenu d'images d'abus d'enfants de l'Internet Watch Foundation. Il a été créé en 2003 et mis en ligne en juin 2004.

Développé à un coût estimé à 500 000 £, le but déclaré était d'empêcher l'accès au matériel pédopornographique. Pour la plupart des gens dans la société, cela était considéré comme une décision positive, mais quelques années plus tard, l'existence même de Cleanfeed était considérée comme une opportunité.

Dans un effort pour supprimer l'indexeur Usenet Newzbin, les studios hollywoodiens ont demandé et obtenu une injonction qui obligeait BT à utiliser Cleanfeed pour bloquer le site, les studios admettant que la société était ciblée parce qu'elle disposait des outils nécessaires pour mettre en œuvre le blocage.

La situation était donc loin de correspondre à sa mission première relative à la protection de l'enfance : la technologie mise sur place dans cette optique a été détournée de son objectif. Ainsi, rien qu'en juin 2023, plus de 850 nouvelles entrées sont apparues sur les listes de blocage des FAI britanniques.

Le gouvernement français dit vouloir protéger sa population

La volonté du gouvernement français d'empêcher les enfants d'accéder à du contenu pornographique en ligne est bien documentée. Peu de gens contestent que les sites largement disponibles et librement accessibles ne conviennent pas aux mineurs, mais dans un monde où la responsabilité parentale est considérée comme démodée, pour ne pas dire inefficace, la France estime que la législation est le seul moyen de protéger les enfants du pays.

Parallèlement, le gouvernement est sur le point d'adopter une nouvelle loi visant à protéger les adultes des dangers de la fraude en ligne. Compte tenu de l'ampleur du problème et de l'absence de réponse des forces de l'ordre à l'échelle mondiale, qu'est-ce qui pourrait mal se passer ? Selon Mozilla, la structure derrière le navigateur Firefox, presque rien - si c'est fait correctement, du moins.


Quels sont les risques d’un blocage des sites web via le navigateur ?

Le blocage des sites web via le navigateur est une mesure technique qui consiste à empêcher l’accès à certains contenus en fonction de leur adresse URL. Contrairement au filtrage par les fournisseurs d’accès à internet (FAI), qui peut être contourné par l’utilisation d’un VPN ou d’un proxy, le blocage par le navigateur rend impossible la consultation des sites web interdits, sauf à changer de navigateur ou à modifier son fichier hosts.

Cette mesure présente plusieurs risques pour l’internet ouvert mondial :
  • Elle remet en cause le principe de neutralité du net, qui garantit que tous les contenus sont traités de manière égale sur internet, sans discrimination ni interférence. En imposant aux navigateurs de bloquer certains sites web, le gouvernement français se donne le pouvoir de décider quels contenus sont légitimes ou non, sans passer par une autorité judiciaire indépendante ni respecter le droit à un recours effectif.
  • Elle porte atteinte à la liberté d’expression et au droit à l’information des utilisateurs, qui se voient privés de l’accès à des sources diverses et potentiellement critiques. Le blocage des sites web via le navigateur pourrait avoir un effet dissuasif sur les éditeurs de contenus, qui pourraient s’autocensurer par peur de figurer sur la liste noire du gouvernement. Il pourrait aussi entraîner des erreurs ou des abus, comme le blocage de sites web légitimes par erreur ou pour des raisons politiques.
  • Elle compromet la sécurité et la confidentialité des utilisateurs, qui sont exposés à des risques accrus de piratage, de surveillance ou de censure. Le blocage des sites web via le navigateur implique que les navigateurs doivent communiquer avec le gouvernement pour recevoir la liste des sites web interdits, ce qui crée une faille potentielle dans la protection des données personnelles. Il implique aussi que les navigateurs doivent modifier leur fonctionnement normal, ce qui peut affecter leur performance, leur stabilité ou leur compatibilité avec les standards du web.



Mozilla met en garde

Ci-dessous un extrait du billet de Mozilla.

Dans une tentative louable, mais périlleuse de lutter contre la fraude en ligne, la France s’apprête à obliger les créateurs de navigateurs à mettre en œuvre une fonctionnalité technique relevant de la dystopie. L’article 6 du projet de loi SREN obligerait les développeurs de navigateur à créer les moyens de bloquer obligatoirement les sites web figurant sur une liste fournie par le gouvernement et intégrée directement dans le navigateur. Une telle mesure renverserait des décennies de normes établies en matière de modération des contenus. Celle-ci fournira également aux gouvernements autoritaires un moyen de minimiser l’efficacité des outils qui peuvent être utilisés pour contourner la censure.

Malgré sa motivation légitime, cette mesure qui vise à bloquer des sites web directement dans le navigateur serait un désastre pour un Internet libre et serait disproportionnée par rapport aux objectifs du projet de loi, à savoir la lutte contre la fraude. Elle instaurerait également un précédent inquiétant et des capacités techniques que d’autres régimes exploiteront à des fins bien plus néfastes. Pour atteindre les objectifs de cette législation, il serait plus judicieux de tirer parti des outils de protection existants contre les logiciels malveillants et l‘hameçonnage (phishing) plutôt que de les remplacer par des listes de blocage de sites web imposées par le gouvernement.

Navigateurs et systèmes de protection contre le hameçonnage

Les navigateurs ont été un élément clé de l’expansion du Web, en servant d’agents utilisateurs qui facilitent nos interactions sur Internet. Ce rôle, dont Mozilla est un acteur à part entière depuis plus de 25 ans via Firefox, repose sur quelques présomptions fondamentales qui permettent aux navigateurs de se concentrer sur les intérêts de leurs utilisateurs et utilisatrices tout en laissant les décisions relatives à la réglementation du contenu plus en amont de la chaîne, entre les intermédiaires du réseau (tels que les fournisseurs d’accès à Internet) ou les éditeurs de services (sites web).

Les deux systèmes de protection contre les logiciels malveillants et l’hameçonnage les plus utilisés dans l’industrie sont Safe Browsing de Google et Smart Screen de Microsoft, Mozilla (ainsi qu’Apple, Brave et bien d’autres) utilisant Safe Browsing de Google. Le service Safe Browsing existe depuis au moins 2005 et protège actuellement près de la moitié de la population mondiale en ligne sur divers appareils et logiciels. Il couvre les logiciels malveillants, les logiciels indésirables et l’ingénierie sociale (hameçonnage et autres sites trompeurs). Il dispose également de politiques générales assez robustes et est également disponible via une API gratuite, ce qui en fait un moyen simple pour les organisations de protéger les utilisateurs.

Firefox utilise l’offre Safe Browsing de Google depuis 2007 et dispose d’une implémentation unique qui protège la vie privée des utilisateurs tout en les empêchant d’être victimes de logiciels malveillants et d’hameçonnage. Ce paramètre peut également être désactivé par les utilisateurs à tout moment, ce qui leur permet de garder le contrôle de leur expérience sur le Web.

On pourrait penser que les pratiques actuelles du secteur de la protection contre les logiciels malveillants et le hameçonnage ne sont pas très différentes de la proposition française. C’est loin d’être le cas, car le principal facteur de différenciation est qu’elles ne bloquent pas les sites web, mais se contentent d’avertir les utilisateurs des risques et de leur permettre d’accéder aux sites web s’ils choisissent de l’accepter. Ce type de langage n’est pas présent dans la proposition actuelle, qui se concentre sur le blocage. Il n’y a pas non plus de référence à des implémentations préservant la vie privée ou à des mécanismes empêchant l’utilisation de cette fonction à d’autres fins. En fait, la possibilité pour un gouvernement d’exiger qu’un certain site web ne s’ouvre pas du tout sur un navigateur/système est un terrain inconnu et même les régimes les plus répressifs dans le monde préfèrent jusqu’à présent bloquer les sites web en amont du réseau (fournisseurs d’accès à Internet, etc.).

Un précédent mondial

Forcer les navigateurs à créer des fonctionnalités permettant de bloquer des sites web au niveau du navigateur est une pente glissante. Bien qu’elle ne soit envisagée aujourd’hui en France que pour les logiciels malveillants et l’hameçonnage, cette mesure créera un précédent et donnera aux navigateurs la capacité technique de réaliser tout ce qu’un gouvernement pourrait vouloir restreindre ou criminaliser dans une juridiction donnée, et ce, pour toujours. Un monde dans lequel les navigateurs peuvent être forcés d’incorporer une liste de sites web interdits au niveau logiciel qui ne s’ouvrent tout simplement pas, que ce soit dans une région ou dans le monde entier, est une perspective inquiétante qui soulève de sérieuses préoccupations en matière de liberté d’expression. Si cette loi est adoptée, le précédent qu’elle créerait rendrait beaucoup plus difficile pour les navigateurs de rejeter les demandes de ce type émanant d’autres gouvernements.

De meilleures solutions existent

Plutôt que d’imposer un blocage basé sur le navigateur, nous pensons que la législation devrait se concentrer sur l’amélioration des mécanismes existants déjà utilisés par les navigateurs – des services tels que Safe Browsing et Smart Screen. La loi devrait plutôt se concentrer sur l’établissement de délais clairs et raisonnables dans lesquels les principaux systèmes de protection contre l’hameçonnage devraient traiter les demandes légitimes d’inclusion de sites web émanant d’agences gouvernementales autorisées. Toutes ces demandes d’inclusion devraient être basées sur un ensemble solide de critères publics limités aux sites d’hameçonnage/escroquerie, faire l’objet d’un examen indépendant par des experts et expertes et contenir des mécanismes d’appel judiciaire au cas où une demande d’inclusion serait rejetée par un éditeur. Un tel cadre juridique créerait un mécanisme de coordination bien plus équilibré qu’une proposition de blocage de sites web, et qui protégerait les utilisateurs non seulement en France, mais dans le monde entier. Tirer parti des offres déjà présentes sur des milliards d’appareils et de logiciels pour lutter contre la fraude est une solution bien plus efficace que de tenter de réinventer la roue avec un blocage de sites web basé sur le navigateur.

Conclusion

Mozilla estime que la proposition française de bloquer les sites web via le navigateur est une mesure disproportionnée et dangereuse pour l’internet ouvert mondial. Elle menace la neutralité du net, la liberté d’expression et la sécurité des utilisateurs. Elle crée aussi un précédent inquiétant pour d’autres pays qui pourraient s’inspirer de ce modèle pour censurer ou contrôler l’accès à l’information sur internet. Pour lutter efficacement contre la fraude en ligne, il faut privilégier des solutions qui respectent les droits et libertés des utilisateurs, comme la coopération internationale, l’éducation et les outils de protection existants.

Sources : Mozilla, projet de loi visant à sécuriser et réguler l’espace numérique

Et vous ?

Que pensez-vous de la proposition française de bloquer les sites web via le navigateur ?
Quels sont les avantages et les inconvénients de cette mesure pour les utilisateurs et les éditeurs de contenus ?
Quelles sont les alternatives que vous préconisez pour lutter contre la fraude en ligne ?
Avez-vous déjà été victime ou témoin d’une fraude en ligne ? Si oui, comment avez-vous réagi ?
Quels sont les outils ou les conseils que vous utilisez pour vous protéger des logiciels malveillants et de l’hameçonnage sur internet ?

Une erreur dans cette actualité ? Signalez-nous-la !

56 commentaires
Commenter Signaler un problème
RxB2038
Avatar de RxB2038
Membre régulier https://www.developpez.com
Le 17/08/2023 à 15:46
Pour ma part, j'ai signé la pétitions sans hésiter.

De mon point de vue c'est une nouvelle mesure liberticide, qui devrait absolument être combattue. je ne me fais pas d'illusion cependant, la mesure passera au nom de la sécurité, de la protection des petit nenfants contre les "eco-pédo-nazi d'ultra gauche" et du fait que ce gouvernement se contrefous de l'opinion publique et de la vox populi.

Pour ma part je m'en cogne je pourrais toujours trouver un build sans les éléments de censure, ou éditer mon fichier hosts (tant qu'on peut encore sous Windows), mais c'est une tannée. L'obsession de contrôle du capitalisme de surveillance (lire "fachos à la petite semaine" commence vraiment à me les brouter menu.

En faut de plus en plus on est dans la situation dénoncée par Martin Niemöller dans son célèbre poème "Quand il sont venus chercher". Le gouvernement rogne petit à petit nos libertés et si on ne fait rien, très vite on se retrouvera à poil dans une cellule de 2x2 une cagoule sur la tête à se demander comment on est arrivés là. (et oui, un point Godwin, j'ai pas honte )
22  0 
Madmac
Avatar de Madmac
Membre extrêmement actif https://www.developpez.com
Le 18/08/2023 à 7:11
Citation Envoyé par kain_tn Voir le message
Probablement parce que les raisons derrière sont plus étoffées que ce qui est évoqué (ou alors par pure incompétence).
\

La raison est simple: Il y a une bande de milliardaires comme Soros et les dirigeants de Blackrock qui veulent veulent contrôler ce qui "est la vérité" pour imposer leur vérité. Si cela passe le monde deviendra une vaste dictature façon chinoise.
17  3 
Aesir
Avatar de Aesir
Membre du Club https://www.developpez.com
Le 17/08/2023 à 14:29
Encore une décision Française qui me donne envie de me barrer, qu'ils ne viennent pas se plaindre par la suite que les jeunes s'en vont ...
13  1 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 30/06/2023 à 17:44
La France serait la première à interdire les réseaux dits 'sociaux' ?

Quelles sont les alternatives que vous préconisez pour lutter contre la fraude en ligne ?
En dehors du Trolling, à l'instar du safe browsing on peut très bien imaginer un message d'avertissement comme pour les sites ne disposant pas de certificats d'authentification valides.
Facilement, on peut imaginer une base internationale regroupant tous les sites malsains comme le dit Mozilla.
9  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 01/07/2023 à 11:23
Que pensez-vous de la proposition française de bloquer les sites web via le navigateur ?
Techniquement c'est ridicule, parce que soit j'exécute un navigateur "non-conforme à l'internet-minitel français", soit je le recompile sans le blocage. Il faudrait aussi que le gouvernement force la main aux fabriquant d'OS à bloquer les binaires non-signés par le gouvernement français, des fois que ce soit un navigateur non-conforme. Bon courage. Je ne sais pas s'ils se ridiculisent involontairement, ou s'ils brassent de l'air en connaissance de cause, pour se donner un genre.

C'est peut être pour ça que les dictatures bloquent au niveau réseau... Ils devraient demander conseil à la Chine...
8  0 
totozor
Avatar de totozor
Membre expert https://www.developpez.com
Le 03/10/2023 à 7:45
Citation Envoyé par Patrick Ruiz Voir le message
Passons sur ce que cela impliquerait en termes de risques accrus pour les lanceurs d'alerte
S'attaquer aux lanceurs d'alerte n'est il pas un des objectifs caché de cette loi?
Visiblement Macron n'aimerait pas vraiment ces personnes : Une journaliste passe 48h en garde à vue pour trouver ses sources
9  1 
commandantFred
Avatar de commandantFred
Membre averti https://www.developpez.com
Le 20/08/2023 à 3:44
"Forcer le software de navigation". Cette phrase décrit déjà l'ignorance du législateur quant aux mécanismes des terminaux internet et des serveurs. Sauf erreur de ma part, il s'agit de bloquer des url's. Ce type de blocage doit accéder à une liste d'url's bloquées mise à jour par un organisme plus ou moins agréé par l'autorité de filtrage. La question est de savoir quel bout de logiciel va réaliser le filtrage et retourner une page d'explication au lieu de la page bannie.

Le blocage va s'intercaler entre le logiciel navigateur et le gestionnaire de socket qui mène à Internet.
Faut il expliquer pourquoi cette approche est mauvaise ? Les malwares de phishing sont déjà filtrés par du software émanant d'éditeurs de solution antivirus (je pense à McAfee mais d'autres l'ont fait) avec le consentement de l'utilisateur.

Ce type de filtre est facile à désinstaller. C'est le principe fondamental d'un système d'exploitation. On a le droit d'installer et de désinstaller du software. Certes, il y a des politiques de réseau en entreprise qui restreignent ce droit mais elles nécessitent un administrateur réseau. L'intrusion d'un administrateur pour chaque possesseur de terminal internet est irréalisable concrètement.
C'est un peu pour remplacer l'administrateur que la loi essaie de déplacer la responsabilité vers les éditeurs de logiciel de navigation.
Il y a aussi la défaillance possible d'un morceau de code de filtrage.
Si ce code ne fonctionne plus, suite à une mise à jour OS ou s'il présente une faille de sécurité, les dégâts consécutifs seront de la responsabilité de l'éditeur qui devra veiller à corriger le code et assurer les mises à jour.

Les éditeurs de navigateurs vont tellement détester ça qu'ils laisseront à l'utilisateur la possibilité de désactiver le filtrage, soit avec une case à cocher dans les paramètres, soit de façon officieuse , en supprimant un fichier et en laissant fuiter l'astuce dans les forums.

Coté utilisateur, il sera peut-être plus simple d'avoir un second navigateur spécialisé dans l'accès au web "non-officiel".

Dans tous les cas, c'est une intrusion dans le système de la part d'un législateur qui peine à comprendre que la neutralité du net n'est pas qu'un enjeu politique, c'est aussi un impératif technique en l'absence duquel il faudrait revoir l'intégralité de l'approche internet du pays. La Chine a fait de nombreuses recherches là dessus. Qui connait en France les astuces pour contourner les restrictions Chinoises ? Si de telles astuces existent, il est évident que nous ne le saurons que lorsque l'internet sera totalement verrouillé par l'état et que des sanctions lourdes seront infligées aux contrevenants.

Puisse un tel scénario ne jamais se produire dans nos démocraties. Brr !
7  0 
AEMON
Avatar de AEMON
Membre à l'essai https://www.developpez.com
Le 18/08/2023 à 10:39
Pour ma part, j'ai signé sans hésitation la pétition pour une raison simple: cet arrêté est tout simplement irrecevable juridiquement,au vu que si l'arrêté est adopté , cela aura des impacts législatifs hors de la portée française seulement. Si un éditeur comme Mozilla entreprend d'appliquer la liste des sites blacklistés par le gouvernement français, cela aura des répercussions pour tous les internautes utilisant le navigateur firefox, français ou non. Auquel cas, l'éditeur s'expose à des poursuites judiciaires potentielles de la part des autres pays. Une des options faisables pour l'éditeur pour éviter ceci, sera alors de s'appuyer sur une fonctionnalité technique sur la machine cliente de l'internaute pour circonscrire l'interdiction au public concerné. Fonctionnalité qui une fois identifiée par les internautes, sera facilement contournable.
6  0 
agripp
Avatar de agripp
Membre habitué https://www.developpez.com
Le 01/07/2023 à 15:06
D'abord il faut rappeler cette maxime de Chouang Tseu : "légiférer est toujours une erreur et un aveu d'échec". S'il existe une solution technique pour bloquer des sites, il en existe aussi fatalement plusieurs pour la contourner. Il en résulte que cette mesure ne servira qu'à embêter le fournisseurs d'accès et les concepteurs de logiciel... A moyen terme le coût de l'opération devra être répercuté d'une façon ou d'une autre... Les navigateurs gratuits soit deviendront payants, soit deviendront officiellement des "supports de publicité"... Finalement pour empêcher quelques gosses d'accéder à des images pornographique ou quelque naïfs de se faire entuber on "emmerde" tous les internautes !
Je me souviens d'une histoire vraie, dans les années 1990 un assembleur reçoit un coup de fil d'un pays en voie de développement... ". Il faut cent PC en urgence à envoyer par bateau le plus vite possible. Son correspondant paye avec une carte de crédit prestigieuse dont il donne le numéro pour vérification. Vérification faite le n° est authentique, la carte est valide. Néanmoins le banquier fait remarquer que la procédure de paiement normale dans ces circonstances est une "lettre de banque" ou un "crédit bancaire". Peu importe cent bécanes vendues au prix fort, quelle affaire! Le client est pressé, il n'est donc pas question d'attendre le paiement effectif. Celui ci d'ailleurs n'aura jamais lieu quant à l'assembleur victime de cette arnaque il ne récupérera jamais les cent bécanes. Faut-il interdire les cartes de crédit "sans limite" sous prétexte que quelques commerçants sont assez naïfs pour accepter ce mode de paiement pour une exportation ? C'est exactement ce que veut faire le gouvernement français...
A propos, votre carte vitale est périmée rendez-vous très vite sur escroc.fr muni de votre carte de paiement et du code secret permettant d'accéder à votre compte bancaire... Merci d'avance.
5  0 
mith06
Avatar de mith06
Membre expérimenté https://www.developpez.com
Le 03/07/2023 à 8:50
Je remercie l'état Français de sa protection en m'indiquant les sites internet qui sont sures pour moi.

Le prochaine étape est de me protéger en m'indiquant les personnes que je peux fréquenter.
5  0 
Commenter Signaler un problème