Cloudflare commence à bloquer les sites pirates pour les utilisateurs britanniques : une décision importante
-
Cloudflare est devenu le premier intermédiaire Internet, outre les FAI résidentiels locaux, à bloquer l’accès aux sites pirates au Royaume-Uni. Les utilisateurs qui tentent d’accéder à certains sites pirates sont accueillis par l’erreur « Erreur 451 – Indisponible pour raisons juridiques ». En théorie, le blocage par les FAI devrait empêcher les utilisateurs britanniques de voir cette notification, mais la combinaison du mécanisme de blocage de Cloudflare et des choix de certains utilisateurs de VPN conduit à une impasse en matière de piratage.
Les fournisseurs de services Internet BT, Virgin Media, Sky, TalkTalk, EE et Plusnet représentent la majorité du marché Internet résidentiel du Royaume-Uni et, par conséquent, les injonctions de blocage précédemment obtenues auprès de la Haute Cour mentionnent souvent ces sociétés comme répondantes.
Ces injonctions dites « sans faute » ont cessé d’être contradictoires depuis longtemps ; les FAI indiquent à l’avance qu’ils ne contesteront pas une ordonnance de blocage contre divers sites pirates, et cela suffit généralement pour que le tribunal émette une ordonnance à laquelle ils se conforment par la suite.
Depuis plus de 15 ans, ce système permet de bloquer les sites au plus près des utilisateurs, les mesures individuelles de blocage des FAI assurant la majeure partie du travail. Une nouvelle vague de blocage, ciblant environ 200 domaines de sites pirates, est entrée en vigueur hier, avec l’intervention inattendue d’un nouvel acteur majeur.
Cloudflare bloque les sites pirates « pour des raisons légales »
Si le piratage est endémique, le blocage des sites pirates au Royaume-Uni doit l’être également. Lors de la dernière vague de blocage, entrée en vigueur hier, près de 200 domaines pirates, demandés par la Motion Picture Association, ont été ajoutés à l’une des plus longues listes de blocage de sites pirates au monde.
Le grand changement est l’implication inattendue de Cloudflare, qui pour certains utilisateurs tentant d’accéder aux domaines ajoutés hier, affiche l’avis suivant :
Comme indiqué dans l’avis, l’erreur 451 est renvoyée lorsqu’un domaine est bloqué pour des raisons juridiques, dans ce cas des raisons spécifiques au Royaume-Uni.
En réponse à une ordonnance légale, Cloudflare a pris des mesures pour limiter l’accès à ce site Web via les services de sécurité et CDN de Cloudflare au Royaume-Uni.
Contexte : Politique de blocage de Cloudflare
Avant d’examiner « l’ordre juridique » qui a incité Cloudflare à prendre cette mesure, la politique de blocage de Cloudflare pour les réclamations de droits d’auteur concernant son CDN et ses services de sécurité fournit des informations générales utiles.
Cloudflare ne pouvant pas supprimer le contenu qu’il n’héberge pas, d’autres fournisseurs de services sont mieux placés pour résoudre ces problèmes. Entre autres, tout blocage par Cloudflare est d’une efficacité limitée, car un site web sera accessible s’il cesse d’utiliser son réseau. Cloudflare repousse donc régulièrement les tentatives d’ordonnances de blocage.
Cloudflare note qu’elle peut prendre des mesures pour se conformer aux ordonnances valides si, entre autres, « les principes relatifs à la proportionnalité, à la procédure régulière et à la transparence » sont respectés.
On ne sait pas si Cloudflare a réagi ici, mais les informations mises à disposition sont bien en deçà de celles promises dans l’avis d’erreur 451.
Semi-transparent et toujours manquantEn l’absence de référentiel central des ordonnances de blocage et d’obligation légale de communiquer les détails des injonctions au public, la transparence au Royaume-Uni est largement laissée au hasard. Certaines ordonnances sont diffusées en ligne, mais sans garantie.
Pour ceux qui souhaitent en savoir plus sur l’ordonnance concernant Cloudflare, l’entreprise propose un lien qui promet de révéler « l’auteur de la demande et l’autorité qui l’a émise ». Ce lien redirige vers la base de données Lumen , qui publie des informations effectivement communiquées par des entreprises comme Google et Cloudflare, afin d’améliorer la transparence.
Dans ce cas, rien n’indique qui a demandé l’ordonnance de blocage, ni quelle autorité l’a émise. Cependant, nous savons par expérience que la demande a été formulée par les studios de la Motion Picture Association et que, pour la même raison, la Haute Cour de Londres était l’autorité émettrice.
Pour le grand public, ces informations ne représentent qu’une courte liste de domaines. Sans les efforts de Lumen, Google et Cloudflare, la situation serait bien moins claire.
En y regardant de plus près, d’autres problèmes apparaissent. Selon l’expéditeur de la notification initiale (un cabinet d’avocats représentant les studios), une explication de l’ordonnance du tribunal figure aux paragraphes 1, 2 et Annexe 1 de l’ordonnance, mais son emplacement n’est pas plus clair que le nom du tribunal qui l’a rendue.
Ensuite, il y a la date de l’avis – le 22 février 2024, il y a bien plus d’un an – pour un blocage qui, selon nous, a commencé hier.
Blocage dynamique = transparence limitée
La liste des 14 domaines fait probablement référence à une injonction de blocage de la Haute Cour obtenue par la MPA avant février 2024, mais il est plus difficile de le dire exactement quand.
Le problème réside dans les injonctions dynamiques ; alors qu’une liste de domaines apparaîtra dans l’ordre d’origine (qui peut ou non être rendu disponible), lorsque le MPA conclut que d’autres domaines qui apparaissent ultérieurement sont liés au même ordre, ceux-ci peuvent également être bloqués, mais les détails ne sont que rarement rendus publics.
D’après des informations obtenues indépendamment, l’une des causes possibles est une ordonnance originale obtenue en décembre 2022, qui demandait le blocage de domaines appartenant à des marques pirates bien connues, notamment 123movies, fmovies, soap2day, hurawatch, sflix et onionplay. Cela conduit directement à un autre problème inhabituel.
L’avis lié à Cloudflare ne concerne pas directement Cloudflare. Les studios ont envoyé cet avis à Google après que ce dernier a accepté de supprimer volontairement ces domaines de ses index de recherche, à condition de lui fournir une copie des décisions de justice pertinentes. Des avis similaires ont été fournis et les domaines ont été désindexés, et cette pratique se poursuit depuis.
Cela soulève des questions sur la nature de l’implication de Cloudflare dans cette affaire et sur la raison pour laquelle elle est liée à l’ordre envoyé à Google ; les notifications envoyées à Cloudflare sont généralement transmises à Lumen par Cloudflare elle-même. Cela ne semble pas être le cas ici.
Partiellement efficace pour bloquer les VPN
Lorsque des mesures de blocage sont nécessaires, Cloudflare intervient lorsque les requêtes concernent son résolveur DNS public (1.1.1.1). Pour obtenir un effet similaire, Cloudflare utilise une autre technique.
« Dans les pays où les lois prévoient le blocage de l’accès au contenu en ligne, Cloudflare peut géobloquer des sites Web pour limiter l’accès dans la juridiction concernée à ces sites Web via les services de sécurité et de CDN de Cloudflare. »
Cloudflare semble utiliser le blocage géographique au Royaume-Uni, comme certains utilisateurs de VPN le découvriront bientôt. En temps normal, un VPN utilisant un serveur au Royaume-Uni contourne le blocage des FAI de la même manière qu’un serveur situé n’importe où ailleurs dans le monde. Les utilisateurs tentant d’accéder à des domaines actuellement bloqués par Cloudflare via un serveur VPN au Royaume-Uni se verront alors afficher l’erreur 451 de Cloudflare.
Échelle de blocage potentiellement significative
En examinant les nouveaux domaines bloqués hier, un autre élément apparaît : ils apparaissent dans plusieurs ordres de blocage, et pas seulement celui mentionné ci-dessus. Nous ne pouvons pas vérifier environ 200 domaines immédiatement, mais des centaines, voire des milliers, pourraient être concernés. Et cela pourrait même être une excellente nouvelle.
Les domaines bloqués par Sky, BPI et d’autres ne semblent pas affectés, du moins à notre connaissance. Tous concernent des sites ciblés par la MPA, et la plupart, voire tous, déclenchent des alertes de malware très graves, soit immédiatement, soit peu après la visite des sites.
Au moins à court terme, si Cloudflare bloque un domaine au Royaume-Uni, il est fortement conseillé de passer à autre chose.
