Dans l'avis de l'Arcep, il y a un rappel sur le fait qu'il serait disproportionné d'exiger autre chose que du blocage DNS.

La France demande de bloquer directement dans le navigateur (sans extension).

Voici un article de Mozilla sur le sujet :

La proposition française de bloquer les sites web via le navigateur nuira gravement à l’internet ouvert mondial

Dans une tentative louable, mais périlleuse de lutter contre la fraude en ligne, la France s’apprête à obliger les créateurs de navigateurs à mettre en œuvre une fonctionnalité technique relevant de la dystopie. L’article 6 du projet de loi SREN obligerait les développeurs de navigateur à créer les moyens de bloquer obligatoirement les sites web figurant sur une liste fournie par le gouvernement et intégrée directement dans le navigateur. Une telle mesure renverserait des décennies de normes établies en matière de modération des contenus. Celle-ci fournira également aux gouvernements autoritaires un moyen de minimiser l’efficacité des outils qui peuvent être utilisés pour contourner la censure.

Malgré sa motivation légitime, cette mesure qui vise à bloquer des sites web directement dans le navigateur serait un désastre pour un Internet libre et serait disproportionnée par rapport aux objectifs du projet de loi, à savoir la lutte contre la fraude. Elle instaurerait également un précédent inquiétant et des capacités techniques que d’autres régimes exploiteront à des fins bien plus néfastes. Pour atteindre les objectifs de cette législation, il serait plus judicieux de tirer parti des outils de protection existants contre les logiciels malveillants et l‘hameçonnage (phishing) plutôt que de les remplacer par des listes de blocage de sites web imposées par le gouvernement.

Le reste de cet article offre une vue d’ensemble des systèmes de protection actuels contre l’hameçonnage dans les navigateurs, souligne la différence entre les pratiques de l’industrie et ce que propose le projet de loi, et suggère des solutions de remplacement pour atteindre les objectifs de la législation de manière moins draconienne.

Navigateurs et systèmes de protection contre le hameçonnage

Les navigateurs ont été un élément clé de l’expansion du Web, en servant d’agents utilisateurs qui facilitent nos interactions sur Internet. Ce rôle, dont Mozilla est un acteur à part entière depuis plus de 25 ans via Firefox, repose sur quelques présomptions fondamentales qui permettent aux navigateurs de se concentrer sur les intérêts de leurs utilisateurs et utilisatrices tout en laissant les décisions relatives à la réglementation du contenu plus en amont de la chaîne, entre les intermédiaires du réseau (tels que les fournisseurs d’accès à Internet) ou les éditeurs de services (sites web).

Les deux systèmes de protection contre les logiciels malveillants et l’hameçonnage les plus utilisés dans l’industrie sont Safe Browsing de Google et Smart Screen de Microsoft, Mozilla (ainsi qu’Apple, Brave et bien d’autres) utilisant Safe Browsing de Google. Le service Safe Browsing existe depuis au moins 2005 et protège actuellement près de la moitié de la population mondiale en ligne sur divers appareils et logiciels. Il couvre les logiciels malveillants, les logiciels indésirables et l’ingénierie sociale (hameçonnage et autres sites trompeurs). Il dispose également de politiques générales assez robustes et est également disponible via une API gratuite, ce qui en fait un moyen simple pour les organisations de protéger les utilisateurs.

Firefox utilise l’offre Safe Browsing de Google depuis 2007 et dispose d’une implémentation unique qui protège la vie privée des utilisateurs tout en les empêchant d’être victimes de logiciels malveillants et d’hameçonnage. Ce paramètre peut également être désactivé par les utilisateurs à tout moment, ce qui leur permet de garder le contrôle de leur expérience sur le Web.

On pourrait penser que les pratiques actuelles du secteur de la protection contre les logiciels malveillants et le hameçonnage ne sont pas très différentes de la proposition française. C’est loin d’être le cas, car le principal facteur de différenciation est qu’elles ne bloquent pas les sites web, mais se contentent d’avertir les utilisateurs des risques et de leur permettre d’accéder aux sites web s’ils choisissent de l’accepter. Ce type de langage n’est pas présent dans la proposition actuelle, qui se concentre sur le blocage. Il n’y a pas non plus de référence à des implémentations préservant la vie privée ou à des mécanismes empêchant l’utilisation de cette fonction à d’autres fins. En fait, la possibilité pour un gouvernement d’exiger qu’un certain site web ne s’ouvre pas du tout sur un navigateur/système est un terrain inconnu et même les régimes les plus répressifs dans le monde préfèrent jusqu’à présent bloquer les sites web en amont du réseau (fournisseurs d’accès à Internet, etc.).

Un précédent mondial

Forcer les navigateurs à créer des fonctionnalités permettant de bloquer des sites web au niveau du navigateur est une pente glissante. Bien qu’elle ne soit envisagée aujourd’hui en France que pour les logiciels malveillants et l’hameçonnage, cette mesure créera un précédent et donnera aux navigateurs la capacité technique de réaliser tout ce qu’un gouvernement pourrait vouloir restreindre ou criminaliser dans une juridiction donnée, et ce, pour toujours. Un monde dans lequel les navigateurs peuvent être forcés d’incorporer une liste de sites web interdits au niveau logiciel qui ne s’ouvrent tout simplement pas, que ce soit dans une région ou dans le monde entier, est une perspective inquiétante qui soulève de sérieuses préoccupations en matière de liberté d’expression. Si cette loi est adoptée, le précédent qu’elle créerait rendrait beaucoup plus difficile pour les navigateurs de rejeter les demandes de ce type émanant d’autres gouvernements.

De meilleures solutions existent

Plutôt que d’imposer un blocage basé sur le navigateur, nous pensons que la législation devrait se concentrer sur l’amélioration des mécanismes existants déjà utilisés par les navigateurs – des services tels que Safe Browsing et Smart Screen. La loi devrait plutôt se concentrer sur l’établissement de délais clairs et raisonnables dans lesquels les principaux systèmes de protection contre l’hameçonnage devraient traiter les demandes légitimes d’inclusion de sites web émanant d’agences gouvernementales autorisées. Toutes ces demandes d’inclusion devraient être basées sur un ensemble solide de critères publics limités aux sites d’hameçonnage/escroquerie, faire l’objet d’un examen indépendant par des experts et expertes et contenir des mécanismes d’appel judiciaire au cas où une demande d’inclusion serait rejetée par un éditeur. Un tel cadre juridique créerait un mécanisme de coordination bien plus équilibré qu’une proposition de blocage de sites web, et qui protégerait les utilisateurs non seulement en France mais dans le monde entier. Tirer parti des offres déjà présentes sur des milliards d’appareils et de logiciels pour lutter contre la fraude est une solution bien plus efficace que de tenter de réinventer la roue avec un blocage de sites web basé sur le navigateur.

Nous restons engagés dans des conversations avec les parties prenantes concernées et espérons que la loi finale aboutira à un résultat plus acceptable pour un Internet ouvert.

Source : Blog Mozilla, le 27 juin 2023

Encore plus ancien, capture d'écran d'un site bloqué par Safe Browsing de Google dans Firefox en janvier 2009.

C'est Ubuntu 18.10 le système d'exploitation si vous vous posez la question.

J'ai du mal a voir comment un pays comme la France, peut légalement obliger des logiciels à faire ceci ou cela... sans tomber dans le totalitarisme.

Ce qu'on demande aux navigateurs, c'est comme si on imposait a Word ne pas ouvrir un fichier .doc si sa signature (hash) est présente dans une liste centrale de documents bannis.

C'est confondre l'outil et son usage. Et modifier l'outil pour empêcher certains usages.

Dans ce cas pourquoi ils n'imposent pas que les voitures vendues en France ne dépassent pas 130 km/h.

Exemple intéressant mais ça reste l'exception qui confirme la règle pour le moment ? (à fortiori sur un modèle électrique qui, à ces vitesses, a une autonomie drastiquement réduite)

Pas possible de juste brouiller dans les salles d'examens plutôt que de couper sur tout le territoire? 

Moi j'ai du mal a voir reelement l'impact. Tu pourras toujours telecharger la version non bridée 'FR' de toute façon...

C'est l'impact sur le plus grand nombre qui compte.

Le geek/hackeur/débrouillard/etc pourra toujours contourné. Tout comme on peut changer ses serveurs DNS.