Loading...
11 min read
Une récente décision rendue par la Haute Cour régionale de Cologne, en Allemagne, représente un progrès important pour Cloudflare et l'Internet dans la lutte contre les tentatives malavisées d'utiliser le système DNS pour remédier aux violations de droits d'auteur en ligne. Au début du mois de novembre, le tribunal a rendu sa décision dans l'affaire Universal contre Cloudflare, rejetant une demande exigeant que les résolveurs DNS publics, tels que le service 1.1.1.1 de Cloudflare, bloquent des sites web sur le fondement d'allégations de violation du droit d'auteur en ligne. C'est une position que nous défendons depuis longtemps ; en effet, le blocage par les résolveurs publics est une mesure inefficace et disproportionnée, et n'offre pas la transparence indispensable concernant la nature des contenus bloqués et les raisons du blocage.
Qu'est-ce qu'un résolveur DNS ?
Pour comprendre l'importance de la décision dans l'affaire Universal, il est important de comprendre ce qu'est un résolveur DNS public et pourquoi ce service se prête difficilement aux tentatives de modération des contenus sur Internet.
Le système DNS traduit les noms de sites web en adresses IP, afin que les requêtes Internet puissent être acheminées vers le bon endroit. À un niveau élevé, le système DNS est composé de deux parties. D'un côté, on trouve une série de serveurs de noms (racine, TLD et de référence) qui, ensemble, stockent les informations qui établissent une correspondance entre les noms de domaine et les adresses IP. De l'autre, on trouve les résolveurs DNS (également appelés résolveurs récursifs), qui interrogent les serveurs de noms afin de déterminer où se trouve un site web particulier. Les serveurs de noms s'apparentent à un annuaire téléphonique qui répertorie les noms et les numéros de téléphone, tandis que les résolveurs récursifs s'apparentent à l'opérateur téléphonique qui recherche un numéro.
Tandis que les serveurs de noms de référence sont gérés et utilisés directement par les exploitants de sites web, les résolveurs récursifs sont sélectionnés et utilisés par les internautes. Si vous lisez cet article sur votre lieu de travail, peut-être avez-vous accédé à cette page web en utilisant un résolveur DNS choisi par votre employeur. Si vous le lisez sur un appareil personnel à votre domicile, il est possible que vous ayez utilisé le résolveur par défaut de votre fournisseur d'accès. Vous pouvez également, avec un peu de savoir-faire technique, avoir développé votre propre résolveur DNS et le gérer vous-même ou avoir choisi d'utiliser l'un des nombreux résolveurs DNS publics disponibles sur Internet.
Cloudflare a inauguré 1.1.1.1, son résolveur DNS public, en avril 2018 ; son objectif était d'offrir un moyen rapide et privé de naviguer sur Internet. Bien que le résolveur de Cloudflare soit régulièrement https://www.dnsperf.com/ - !dns-resolversévalué comme étant le plus rapide, il s'agit d'une option parmi d'autres. Parmi les autres résolveurs publics reconnus figurent le service 8.8.8.8 de Google, OpenDNS par Cisco et Quad9. Les utilisateurs peuvent choisir un résolveur DNS public pour des raisons de confidentialité, pour plus de sécurité, ou simplement parce qu'ils recherchent l'option la plus performante qui soit. Les utilisateurs particuliers peuvent changer de résolveur DNS à tout moment, quelle que soit la raison de leur choix.
Que signifie le blocage de contenus par le biais d'un résolveur DNS ?
À l'instar d'autres maillons de la chaîne de connexion Internet, les résolveurs DNS ont parfois été utilisés pour tenter d'interdire l'accès à des contenus. La mise en œuvre d'un blocage au niveau du résolveur est comparable à la suppression d'une entrée dans un annuaire téléphonique. En refusant de renvoyer une adresse IP en réponse à des requêtes concernant un site web particulier, un résolveur DNS peut donner l'impression à un internaute utilisant ses services qu'un site web entier a effectivement disparu d'Internet. Contrairement à la suppression d'un contenu au niveau du fournisseur d'hébergement, le contenu reste accessible en ligne ; toutefois, il devient un peu plus difficile à trouver. De même que l'absence d'un numéro de téléphone dans l'annuaire n'empêchait pas une personne de trouver ce numéro par d'autres moyens et même de l'appeler, le blocage d'un résolveur n'empêche pas un internaute d'accéder à un site web par une myriade d'autres moyens. L'utilisateur peut opter pour un autre résolveur, développer son propre résolveur ou simplement saisir l'adresse IP du site web.
Étant donné que le DNS renvoie des adresses IP correspondant à des domaines entiers, le blocage par le biais de résolveurs DNS peut uniquement être mis en œuvre à l'échelle d'un domaine. Il est impossible de bloquer des contenus spécifiques, des pages web individuelles ou même des sous-domaines sans bloquer l'ensemble d'un site web. Par conséquent, une ordonnance de blocage demandant la suppression d'une image protégée par le droit d'auteur par le biais du blocage DNS (en particulier dans le cas d'un site web réunissant de nombreux contributeurs ou contenus générés par l'utilisateur) entraînerait le blocage de la totalité des contenus sur l'ensemble du domaine. Cela signifie que sauf dans la mesure où un site web pose problème dans son ensemble, l'application d'un blocage par le biais du résolveur DNS est susceptible d'interdire l'accès à des contenus n'ayant pas été identifiés comme contrefaisants ou autrement problématiques par un tribunal.
Le mode de fonctionnement du blocage DNS (c'est-à-dire le refus de renvoyer une adresse IP) signifie également que l'internaute ne reçoit aucune explication concernant la raison pour laquelle il n'a pas pu accéder au site web en question. Cette approche n'offre aucune notification, ni aucune transparence. Bien que des propositions aient été formulées concernant des protocoles qui, dans de tels cas de figure, permettraient de renvoyer un code d'erreur, rien n'a encore été mis en œuvre.
Distinguer les résolveurs publics et privés
Les fournisseurs d'accès Internet (FAI) situés dans des juridictions particulières ont parfois mis en œuvre des blocages par le biais de leurs résolveurs DNS afin d'essayer de se conformer à des ordonnances applicables dans cette juridiction, qui leur enjoignaient de rendre certains sites web inaccessibles à leurs utilisateurs. Par exemple, un fournisseur d'accès allemand servant uniquement des utilisateurs allemands pourrait, suite à l'ordonnance d'un tribunal ordonnant un blocage de l'intégralité d'un site web, configurer son résolveur DNS afin qu'il refuse de renvoyer l'adresse IP de ce site.
Des détenteurs de droits ont récemment cherché à étendre ce blocage aux résolveurs DNS publics. Toutefois, les résolveurs DNS publics ne sont pas comparables aux résolveurs DNS gérés par un fournisseur d'accès Internet local. Les résolveurs DNS publics fonctionnent généralement de la même manière dans le monde entier ; par conséquent, si un résolveur public appliquait ce blocage de la même manière qu'un FAI, ce blocage s'appliquerait partout. Un tribunal allemand ordonnant le blocage dicterait donc quelles informations sont accessibles aux utilisateurs du résolveur situés en Inde, aux États-Unis, en Argentine et dans tous les autres pays où est utilisé ce résolveur. Tenter d'appliquer des blocages de manière plus ciblée sur le plan géographique, en fonction de la localisation des utilisateurs de résolveurs individuels, pose de sérieux problèmes techniques auxquels ne sont pas confrontés les FAI locaux ; cette approche comporte également, au regard de la confidentialité, des problématiques qu'il convient de prendre au sérieux.
Cloudflare a créé 1.1.1.1 avec l'objectif de fournir aux internautes un service de résolution DNS rapide, qui ne collecte pas leurs informations personnelles. Historiquement, de nombreux opérateurs de DNS ont revendu des informations concernant leurs utilisateurs, sur la base des sites web qu'ils interrogeaient ; or, 1.1.1.1 est conçu pour empêcher la collecte de telles informations. Les ordonnances de blocage visant les résolveurs publics nécessiteraient la collecte d'informations concernant l'origine des requêtes, afin de limiter ces effets délétères, tout en démontrant la conformité aux ordonnances. Cette situation serait préjudiciable à la fois à la confidentialité et à l'Internet.
Ces fonctionnalités essentielles des résolveurs publics constituent des obstacles fondamentaux à leur utilisation aux fins du blocage de contenus.
Pourquoi le blocage par le biais des résolveurs publics ne constitue pas la solution aux abus en ligne
Réfléchissons aux implications du blocage, suite à une décision de justice, d'un site web que vous essayez de consulter. D'abord, vous supposeriez que les contenus bloqués soient réellement interdits par la loi. Vous ne supposeriez pas que l'intégralité d'un site web puisse être indisponible simplement parce qu'une partie du site web enfreint le droit d'auteur. Vous ne supposeriez pas non plus qu'un site web puisse être bloqué pour un visiteur situé dans un pays en vertu d'une ordonnance émise dans un tout autre pays, à l'autre bout du monde.
Ensuite, vous supposeriez que l'on vous informerait des raisons pour lesquelles le site est indisponible. Plutôt qu'un écran vide ou l'absence de réponse, vous souhaiteriez recevoir un message expliquant que le site web a été bloqué, et que ce message identifie l'autorité légale à l'origine de cette action.
Enfin, vous vous attendriez à ce que le mécanisme de blocage mis en place soit réellement efficace. Nous devrions nous abstenir de modifier des aspects fondamentaux du fonctionnement d'Internet si cette approche n'a même pas l'effet escompté.
Or, le blocage par le biais de résolveurs publics ne satisfait pas à toutes ces exigences. Comme nous l'avons expliqué plus haut, il ne peut pas être appliqué de manière restreinte à des contenus ou des secteurs géographiques particuliers. Contrairement au blocage par les FAI, qui se limite nécessairement à la région géographique dans laquelle le FAI opère, le blocage par l'intermédiaire des résolveurs publics mondiaux peut uniquement être mis en œuvre d'une manière qui s'étend au-delà des frontières, à des juridictions qui n'auraient peut-être jamais cherché à bloquer ce même contenu – sauf si nous recueillons plus d'informations personnelles que nécessaire sur l'utilisateur.
Par ailleurs, cette approche n'est pas non plus transparente ; un utilisateur ne saurait pas qu'il lui est interdit de consulter un contenu en raison d'une décision de justice. Il saurait uniquement qu'il ne peut pas accéder au site web. Il serait donc difficile pour le public de tenir les autorités gouvernementales responsables d'erreurs ou de blocages excessifs.
Enfin, cette approche n'est même pas efficace. Traditionnellement, les exploitants de sites web ou les hébergeurs reçoivent l'ordre de supprimer des contenus illicites ou illégaux, ce qui constitue un moyen efficace d'assurer que les informations concernées ne sont plus disponibles. Un blocage DNS ne fonctionne que tant que l'internaute continue à utiliser le résolveur ; le contenu reste disponible et redevient accessible dès qu'il utilise un autre résolveur ou développe son propre résolveur.
Le tribunal statuant sur l'affaire Universal rejette le blocage DNS
Malgré ces problèmes, certains détenteurs de droits ont insisté sur le fait que les résolveurs publics peuvent être contraints, par le biais d'ordonnances, de bloquer des sites web à la suite d'une violation en ligne. Cloudflare, ainsi que d'autres opérateurs tels que Quad9 et Google, a contesté cette déclaration. Un nombre limité de décisions préliminaires ont été rendues au regard de cette problématique ; cependant, la décision rendue par la Haute Cour régionale dans l'affaire Universal représente la première fois qu'une cour d'appel en Europe se prononce, dans le cadre de la procédure principale, sur la pratique du blocage par le biais des résolveurs publics.
L'affaire Universal, qui a débuté en 2019, est l'une des premières tentatives, par un détenteur de droits, d'obtenir une ordonnance exigeant le blocage par le biais d'un résolveur DNS public. L'affaire concerne un album de musique qui aurait prétendument enfreint le droit d'auteur et aurait été mis à disposition sur un site web qui, au moment où l'affaire a été portée devant les tribunaux, utilisait les services de sécurité intermédiaire et de réseau CDN de Cloudflare. La Haute Cour régionale de Cologne a rendu une décision préliminaire ordonnant à Cloudflare de bloquer le site web par l'intermédiaire de son service de réseau CDN et de son résolveur public. Cloudflare ne dispose d'aucun mécanisme permettant de bloquer les sites web via 1.1.1.1, et n'a jamais bloqué aucun site web par le biais de son résolveur public. Cependant, Cloudflare a pris des dispositions afin de bloquer l'accès au site web en Allemagne par le biais de son réseau CDN et de son service de sécurité intermédiaire. Le site a ensuite été mis hors ligne, et n'est désormais plus accessible sur Internet. Reconnaissant l'importance des principes juridiques sous-jacents en jeu, nous avons néanmoins continué à plaider l'affaire.
La récente décision rendue par la Haute Cour régionale indique clairement que les résolveurs DNS publics n'incarnent pas un outil approprié pour lutter contre les violations du droit d'auteur en ligne ou, plus généralement, modérer des contenus. Le tribunal a expliqué « qu'avec le résolveur DNS, le défendeur fournit un outil accessible à tous gratuitement, d'intérêt public et agréé, qui participe de manière purement passive, automatique et neutre à la connexion des domaines Internet ». Il a également noté que le blocage par le biais d'un résolveur public ne constitue pas une mesure efficace, car les individus peuvent facilement changer de résolveur.
Il est important de noter que le tribunal a estimé que les services DNS sont protégés par le règlement européen sur les services numériques (DSA, Digital Services Act), qui a été adopté l'année dernière. À l'instar de la directive européenne sur le commerce électronique qui le précède, le règlement DSA reconnaît que les différents types de services présentent différentes capacités pour traiter les problèmes relatifs aux contenus, et distingue les services de « simple transport » et de « mise en cache » des services « d'hébergement » au regard de leur rôle dans le traitement des contenus illicites. Une caractéristique du règlement DSA est qu'il stipule expressément que les services DNS et de réseau CDN ne sont pas des services d'hébergement, et sont donc soumis à des obligations différentes de ces derniers. La Haute Cour régionale a reconnu que les résolveurs DNS ont droit aux mêmes protections contre la responsabilité que d'autres services de « simple transport », et a rejeté la demande concernant le blocage DNS formulée par le plaignant dans cette affaire.
Le combat continue
Bien que la décision de la Haute Cour régionale représente un progrès important au regard de la problématique des DNS, le conflit relatif à la meilleure façon de remédier aux violations en ligne se poursuit. Des détenteurs de droits ont intenté des actions en justice contre d'autres fournisseurs de DNS, dans d'autres juridictions, afin d'obtenir des ordonnances de blocage similaires. Nous continuerons à nous opposer à ce résultat, car nous considérons qu'il est préjudiciable pour l'Internet. Nous espérons que le raisonnement de la Haute Cour régionale concernant la problématique des DNS contribuera à convaincre d'autres tribunaux.
Dans le même temps, bien que la décision concernant les DNS dans l'affaire Universal fasse la une, d'autres aspects de l'avis rendu par le tribunal suscitent des inquiétudes. La Haute Cour régionale a confirmé le jugement du tribunal de première instance exigeant que Cloudflare bloque l'accès au site web concerné par l'intermédiaire de notre réseau CDN et de notre service de sécurité intermédiaire. Cette décision n'a guère d'effet concret immédiat, car le site web concerné n'est plus disponible en ligne, et Cloudflare s'était déjà conformée à l'arrêt. Cependant, cette décision peut être interprétée comme entraînant une obligation plus étendue pour les services de sécurité intermédiaire et de réseau CDN de traiter les problèmes liés aux contenus en ligne ; elle est, par conséquent, incompatible avec la nature de nos services et avec le règlement DSA, qui identifie expressément les services de réseau CDN comme faisant partie des services de mise en cache bénéficiant d'une clause de non-responsabilité. Cloudflare a donc l'intention d'interjeter appel concernant cet aspect de la décision.
Nous sommes reconnaissants aux magistrats réfléchis pour les efforts qu'ils font afin de s'informer sur le fonctionnement d'Internet et de s'assurer que leurs décisions sont cohérentes avec les avantages étendus qu'offre au public un Internet fonctionnel, notamment au regard de la sécurité, de la fiabilité et de la confidentialité. Cette décision marque un nouveau progrès dans le combat mené par Cloudflare afin d'assurer que les efforts mis en œuvre pour lutter contre les violations en ligne sont compatibles avec la nature technique des différents services Internet, ainsi qu'avec les importants principes juridiques et relatifs aux droits de l'homme que constituent l'équité procédurale, la transparence et la proportionnalité. Nous continuerons à mener ce combat à la fois par la sensibilisation du public et, le cas échéant, par la voie judiciaire, afin de contribuer à bâtir un Internet meilleur.
Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons n'importe quel site web ou application Internet, repoussons les attaques DDoS, maintenons les pirates à distance et pouvons vous aider dans votre parcours vers le Zero Trust.
Rendez-vous sur 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.
Pour en savoir plus sur notre mission visant à bâtir un meilleur Internet, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.