Cloudflare vs l'Italie : quand le blocage DNS devient un champ de bataille géopolitique
D'un côté, un régulateur italien qui veut bloquer des sites pirates en 30 minutes, sans juge. De l'autre, un CEO américain qui crie au free speech tout en soutenant une administration qui a banni le mot "femme" des sites gouvernementaux.
Ce débat est loin d'être anodin et spoiler : il n'y a pas de gentils dans cette histoire.
Blocage DNS et désaccords
Vous n'avez peut-être pas suivi l'affaire mais l'Italie vient d'infliger une amende record de 1% du CA mondial de Cloudflare pour ne pas avoir agi et bloqué des sites pirates.
Cloudflare a en effet refusé.
Pour comprendre l'enjeu, il faut d'abord parler DNS. Un DNS, c'est un registre d'adresses d'Internet, une sorte de gros index qui fait la liaison entre un nom de domaine et une adresse IP. Un peu comme un annuaire qui fait le lien entre votre nom de famille et votre adresse physique.
Les blocages DNS sont souvent critiqués, car ils soulèvent plusieurs problèmes :
Le premier, c'est la performance. Un DNS se doit d'être le plus efficace possible au risque de ralentir l'ensemble du net. C'est l'une des couches réseau les plus basses et on ne peut pas se permettre de mettre trop de logique applicative dedans. Par exemple, on veut éviter de tester si cette adresse fait partie d'une liste de sites non autorisés, d'autant plus si on veut le faire par pays d'origine du visiteur.
Et justement, cette notion d'origine du visiteur a de l'importance. Si l'Italie décide de bannir un site, ce n'est pas pour autant que cette décision doit s'appliquer en Australie ou au Japon. Donc en théorie, pour bien faire les choses, il faudrait considérer que le pays d'origine du visiteur influe sur la réponse du DNS.
Cloudflare invoque 200 milliards de requêtes journalières qui passent par ses serveurs. Si on commence à avoir tout un tas de règles au niveau DNS, c'est tout le trafic mondial qui serait potentiellement ralenti. En tout cas selon Cloudflare.
Sauf que cette excuse de la performance est mise à mal par un fait simple : Cloudflare sait déjà faire ça. Ils le font sur leur DNS "famille" (1.1.1.3) qui filtre le contenu adulte et les malwares. Donc techniquement, le savoir-faire existe.
Au-delà des critiques sur la performance, on peut reprocher aux blocages DNS de manquer de finesse. Si un utilisateur d'un service partagé comme Youtube se faisait bannir, c'est le domaine entier qui se retrouverait bloqué. On ne peut pas juste bannir une chaîne.
Et enfin, si on commence à avoir des règles de ce type au niveau DNS, c'est la première porte ouverte à une fragmentation du réseau. Ça commence à ressembler au grand firewall chinois.
Ce n'est pas qu'un problème italien
Le sujet des blocages DNS n'est pas une spécificité italienne.
En France, Canal+ a les mêmes demandes face à Google, Cloudflare et Cisco pour essayer de lutter contre le streaming sportif. On retrouve le même conflit en Belgique.
À l'inverse, l'Allemagne a jugé disproportionnée le blocage DNS et a rejeté les demandes faites en ce sens. Enfin, c'est uniquement la cour de Cologne, et rien ne dit que ça ne pourrait pas évoluer dans le futur.
Les alternatives au blocage DNS
Maintenant quelles seraient les alternatives si on voulait vraiment bloquer du contenu ? Est-ce qu'il y en a d'autres que de passer par les serveurs DNS ?
Le registrar : on peut demander au registrar de suspendre un domaine. Un registrar, c'est l'entité qui attribue les noms de domaines et c'est localisé. Les .fr sont attribués par une entité juridique française, les .de par une entité allemande. Un juge peut imposer une décision à un registrar français facilement. Mais c'est plus dur de le faire appliquer sur d'autres registrars. Et je rappelle que les .com, .org etc. sont gérés aux US. En pratique on retrouvera rarement, voire jamais, des sites pirates sur un .fr ou un .it. Ce serait beaucoup trop simple d'aller toquer à leur porte.
Les FAI : en France, on a des censures au niveau des fournisseurs d'accès internet, qui ont chacun des résolveurs DNS. C'est moins impactant que de taper sur un Cloudflare parce qu'un FAI est forcément national par défaut. Il y a moins cette notion d'extraterritorialité. Mais ça se contourne plus facilement aussi, même s'il faut être un utilisateur avancé pour changer son DNS.
Le déréférencement : chaque moteur de recherche sait supprimer des URLs pour un territoire donné. Un juge peut faire une demande pour interdire le référencement d'un site. C'est efficace, même si ça n'empêche pas de taper l'URL du site directement.
Le blocage par IP : c'est radical, ça peut s'effectuer au niveau des FAI ou au niveau pays directement au niveau des points d'échanges internationaux. Mais c'est globalement une mauvaise idée, ça manque totalement de finesse. C'est comme ça que l'Italie a réussi à bloquer Google Drive il y a quelques mois.
Couper les sources de revenus : la solution ultime, c'est de passer directement par Visa ou Mastercard. Ça a été fait dans les affaires Wikileaks, Megaupload et même Pornhub en 2020. Mais c'est en pratique plutôt une prérogative américaine puisque Visa et Mastercard sont des entreprises US, et ça reste très exceptionnel.
Le signalement à l'hébergeur : c'est une solution qui fonctionne bien pour les sites qui ont un hébergeur localisé. Je donnais l'exemple de Youtube plus haut, on peut effectivement signaler un contenu qui enfreint les conditions d'utilisation de la plateforme. C'est possible également de saisir un hébergeur, comme OVH etc... Mais là encore, on pourra être limité par la juridiction dont dépend l'hébergeur en question.
Ce qu'on peut en conclure c'est qu'il n'existe pas de solutions parfaites et c'est souvent un mix qui utilisé en fonction des compromis que l'on peut faire.
Neutralité du réseau ?
Concernant les DNS, le vrai débat dépasse la simple technique.
Est-ce qu'on accepte de "casser" des morceaux d'infrastructure "neutre" pour un gain marginal contre le piratage, ou est-ce qu'on considère que c'est une ligne rouge ?
L'Allemagne a plutôt dit non. L'Italie et la France disent oui.
J'ai du mal à avoir un avis tranché et absolu, mais j'ai l'impression qu'on met le doigt dans un engrenage dangereux.
Aujourd'hui c'est le piratage qui sert de prétexte. Demain, ce sera peut-être des sites d'opposants politiques, comme en Russie ou en Turquie, ou des sites de lanceurs d'alertes, comme Wikileaks dans le passé.
Qui va définir ce qui est acceptable ou pas ? En théorie la réponse est simple, le droit et la justice.
Et c'est justement là où le bât blesse en France ou en Italie. Ce n'est pas le droit qui tranche, mais une autorité administrative. Le Piracy Shield italien exige un blocage en 30 minutes sans contrôle judiciaire. En France, c'est pareil, l'ARCOM peut demander une coupure auprès des FAI, sans jugement.
Cette absence de contrôle et de recours, cette notion de précipitation aussi — on parle de 30 minutes pour décider d'un blocage national — c'est exactement ce genre de dispositif qui peut servir à faire un blackout total comme en Iran récemment.
Mais inutile d'aller en Iran ou en Turquie : on pourrait citer le cas de l'interdiction de TikTok en Nouvelle-Calédonie en 2024 lors des manifestations. C'est une décision administrative qui a ensuite été considérée illégale au regard du droit par le Conseil d'État. Mais il a fallu un an pour corriger le tir.
La réponse de Matthew Prince, CEO de Cloudflare
Changeons d'angle et prenons le temps de lire la réponse de Matthew Prince, CEO et cofondateur de Cloudflare, sur Twitter.
Le début, c'est ce qu'on vient de se dire : un rappel des faits avec une opposition entre la vision italienne (et globalement européenne) versus la vision technique défendue par Cloudflare qui ne veut pas s'occuper de ça.
Maintenant, le tweet ne s'arrête pas là. Et là, ça commence à déraper.
D'abord, Cloudflare mentionne ce qu'ils vont faire dans l'immédiat : ne plus assurer la sécurité des futurs jeux olympiques à Milan (ça se discute, c'était fourni gratuitement, quand tu te prends une amende d'1% de ton CA mondial tu peux te vexer), couper les accès gratuits de tous les utilisateurs en Italie (un peu disproportionné), virer tous les serveurs d'Italie (on sent l'énervement), ne pas installer de bureau sur place (celle-là m'a fait rire, on avait prévu mais finalement non, c'est pas une vraie menace).
Ce qu'il faut surtout noter c'est qu'on parle de mesures de rétorsions. On est dans le cas d'une entreprise US qui menace un état Européen.
Mais c'est le paragraphe suivant qui me titille :
"J'apprécie que JD Vance prenne un rôle de leadership et s'attaque à ce type de régulation qui constitue un problème fondamental d'injustice commerciale et qui menace également les valeurs démocratiques. Et dans ce cas, @ElonMusk a raison : la liberté d'expression (#FreeSpeech) est essentielle et est menacée par une cabale déconnectée de la réalité, composée de décideurs politiques européens très perturbés."
Et là, le débat change de nature. On n'est plus sur une question technique ou juridique. Quand le CEO de Cloudflare invoque JD Vance et Elon Musk pour parler de free speech, on entre dans autre chose.
Le free speech à géométrie variable
Il faut s'attarder sur l'ironie autour du free speech, parce que c'est l'argument massue souvent utilisé par le parti de Trump.
Je rappelle que Musk utilise allègrement la censure sur sa propre plateforme et qu'il a accepté sans aucune réserve de censurer l'opposition à Erdogan en Turquie en 2025 parce que ça servait son propre agenda.
Je pourrais aussi rappeler que l'administration actuelle de Vance mais aussi de Musk, puisqu'il en a fait partie, a censuré plus de 350 mots de toute communication officielle, dont les mots femme, changement climatique ou handicap.
Le free speech aux US, c'est aussi le licenciement de plusieurs personnalités notamment dans les médias pour ne pas être d'accord avec le gouvernement actuel.
Donc free speech, c'est un peu à géométrie variable. C'est une hypocrisie.
D'ailleurs, quand on creuse un peu, Cloudflare lui-même a fait de la censure en 2017 et en 2019 de son propre chef, sans aucune contrainte extérieure, dans les affaires Daily Stormer et 8chan. Donc le principe, ce n'est pas "on ne censure jamais", c'est "on censure quand nous on décide".
En fait, on peut mettre toute la novlangue possible et imaginable sur à peu près tous les sujets. Mais surtout, le free speech ici, c'est un argument de négociation commerciale habillé en principe démocratique.
Et ça pose une question qu'on ne peut plus ignorer : notre dépendance à ces infrastructures US, c'est aussi une dépendance à leurs agendas politiques.
Il n'y a pas de gentils
En bref, dans cette histoire, on peut tout autant remettre en question la légitimité de la méthode, c'est-à-dire le blocage par une autorité administrative sans décision judiciaire.
On peut émettre une réserve sur les dérives possibles et probables de ces outils.
Et pour autant, on peut reconnaître que ce n'est pas non plus très sain d'avoir des dépendances aussi fortes à des entreprises américaines qui peuvent menacer directement des États de ne pas se conformer au droit local, qu'il soit bien fait ou non, ET tout en ayant eux-mêmes leur propre agenda sur ce qui est acceptable ou non.
Il n'y a pas de gentils ici ou de méchants. On a des choses à surveiller sur l'usage généralisé du contrôle numérique par nos propres États. Mais on doit aussi ne pas tomber dans le piège de laisser d'autres pays décider à notre place.
Il ne faut pas se leurrer. Non, la technologie n'est pas neutre comme le prétend Matthew Prince. Et on voit bien que ceux qui contrôlent les tuyaux voudraient bien, eux aussi, décider de ce qui passe dedans. Et ce serait encore pire que de laisser cette décision à une autorité administrative, malgré toutes les critiques que je peux y faire.
Pour ma part j'ai pris les devants en imaginant que Cloudflare pourrait avoir les mêmes conflits avec la France. J'ai donc supprimé tout mes sites gérés sur Cloudflare et j'utilise désormais Bunny.net pour les mêmes services.
