Google.fr bloqué pour apologie du terrorisme suite à une « erreur humaine » d’Orange
Orange mécanique
Le 17 octobre 2016 à 09h32
4 min
Droit
Droit
L’incident risque de devenir l'un des plus beaux contre-exemples des procédures de blocage. Ce matin, Google.fr et fr.wikipedia.org notamment ont été qualifiés de sites faisant l’apologie du terrorisme sur les écrans des abonnés Orange. Et ils ont été bloqués pour ce motif. Contactée, Orange invoque l'erreur humaine.
Durant de longues et douloureuses minutes, au lieu et place de la page d’accueil de Google.fr, utilisée par des millions de personnes chaque jour, des abonnés Orange (et de Sosh) sont arrivés sur la page du ministère de l’Intérieur réservée aux sites bloqués pour apologie du terrorisme (http://90.85.16.52/, pour plus de détails, notre actualité).
Et le site du ministère n'a évidemment pas tenu la charge
« Les résolveurs DNS d’Orange, utilisés par la majorité des abonnés, ont redirigé www.google.fr vers l’adresse IP de la page de censure gérée par un sous-traitant du ministère » nous commente Stéphane Bortzmeyer, architecte systèmes et réseaux, spécialisé dans les questions de DNS. « Le site n’a pas tenu la charge, donnant alors l’impression que Google était en panne. En réalité, il n’est pas ‘down’, Google.be fonctionnant parfaitement. »
Voilà pourquoi les gens utilisant d’autres résolveurs que ceux fournis par Orange n’avaient aucun problème d’accès. En façade, Google.fr a ainsi été dénoncé d’abord comme « site terroriste » puis site en panne. Un lourd déficit d’image (voir le succès du hashtag #GoogleDown) même si l’incident n’a duré que quelques dizaines de minutes. « Je n’en connais pas encore les raisons, au pifomètre, cela a duré une demi-heure ».
@nledez idem derrière une livebox #orange et en plus bonus parfois au bout de 2 min... pic.twitter.com/URU3sdBShQ
— Yann (@yannux) 17 octobre 2016
Google.fr n’est pas le seul site à avoir souffert de ce bug. Selon Stéphane Borztmeyer (là et là), http://fr.wikipedia.org et OVH.com ont également été détournés vers la fameuse Main Rouge (remplacée depuis par un point d'exclamation) de Bernard Cazeneuve.
Premières pistes d'explications
Quelles sont à tout le moins les pistes d’explications ? « La liste des noms de domaine à censurer est transmise aux principaux fournisseurs d’accès. Cela peut être une erreur dans cette liste, un problème de vérification. Cependant, dans une telle hypothèse, d’autres FAI auraient sans doute dû être impactés. Autre suggestion, une erreur un peu plus loin chez Orange. Tout est possible à ce stade. »
À la vue de cet exemple, Stéphane Bortzmeyer l’assure : « l’ajout de toutes fonctions dans Internet à des fins de censure fragilise le réseau, en rajoutant d’autres acteurs et composantes qui peuvent dysfonctionner ». Celui-ci craint désormais un dommage collatéral : « un nombre incalculable de personnes vont abandonner les résolveurs de leur FAI pour utiliser ceux fournis par de grosses boites américaines comme CISCO, ce qui n’est pas un progrès globalement ».
Nous avions contacté l’OCLCTIC (qui gère la partie juridique du blocage administratif des sites terroristes) et Orange pour comprendre l’origine exacte. Le FAI vient de nous répondre.
Une erreur humaine, selon Orange
« Il s'agit d'une erreur humaine lors d'une opération technique sur un serveur » commente l’opérateur sans plus d'explications, avant de préférer s'attarder sur les effets seulement potentiels (sic) de cette curieuse erreur : « Nos clients ont pu rencontrer des difficultés à se connecter sur le site Google.fr et Wikipedia.fr et se voir reroutés vers un message du ministère de l'Intérieur. L'incident a duré environ une heure. L'accès au site est en voie de rétablissement. Le problème est résolu, mais le trafic sera de nouveau nominal à 11h25. »
Le FAI ajoute : « Il est possible que certains clients doivent vider leur cache ou rebooter leur box, mais tout est résolu », avant de s’excuser « pour la gêne occasionnée ».
Google.fr bloqué pour apologie du terrorisme suite à une « erreur humaine » d’Orange
-
Et le site du ministère n'a évidemment pas tenu la charge
-
Premières pistes d'explications
-
Une erreur humaine, selon Orange
Commentaires (235)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/10/2016 à 09h57
C’est dingue les conneries que font les stagiaires ! " />
Vivent les DNS alternatifs !! " />
Le 17/10/2016 à 09h57
C’est normal qu’il n’y ait plus de trafic quand l’Orange passe au rouge. " />
Le 17/10/2016 à 09h58
Comprend pourquoi je ramais ce matin au boulot avec google." />
Le 17/10/2016 à 09h59
Le pire, c’est que ça doit pas être loin de la vérité …. (pour le stagiaire)….
Le 17/10/2016 à 10h01
Wikipedia et Google encore bloqué au boulot T_T
Le 17/10/2016 à 10h03
Le 17/10/2016 à 10h03
Le 17/10/2016 à 10h04
Sauf que pour les services de la LB et du décodeur, Orange doit sans doute avoir fortement besoin d’utiliser ses DNS “interne orange” avec des enregistrements régionalisés. Assez classique dans une architecture grande échelle.
Je me pose d’ailleurs la question des histoires de cache et autre CDN présent sur le réseau Orange. Parce que si tu utilises les DNS Google et que du coup tu vas chercher toutes tes données aux USA au lieux de les prendre en France, je suis pas certain que tu ais gagné au change.
Le 17/10/2016 à 10h04
Le problème c’est qu’en plus dans ces foutues livebox orange on ne peut même plus mettre un autre DNS que celui d’orange
Le 17/10/2016 à 10h05
" />
Le 17/10/2016 à 10h06
Le 17/10/2016 à 10h07
Le nombre de personnes autour de moi pour qui internet=google ><
Le 17/10/2016 à 10h07
Ouch. Du coup, obligé de faire ça machine par machine. Et dans le * pour les smartphones, consoles et je ne sais quoi qui sont ont besoin d’un accès Internet sur lesquels ont ne peut pas toucher à la config DNS.
Il y a Internet et Internet par Orange " />
Le 17/10/2016 à 10h10
Le 17/10/2016 à 10h11
J’utilisais les résolveurs de FDN et j’avais le problème.
Le 17/10/2016 à 10h11
C’est pas vraiment une raison :
Et puis plus que ça, ne pas vouloir donner la possibilité de le changer est juste inadmissible pour ma part, il y a beaucoup de raisons à vouloir le changer, et l’exxuse du “la pluspart des users ne s’en servent pas” me rende triste chaques jours " />
Le 17/10/2016 à 10h54
Le site du ministère de l’intérieur ne répond plus? C’est l’Irak, l’Afghanistan, la Libye ou la Syrie qui l’ont bombardé avec des avions français? " />
Le 17/10/2016 à 10h54
OK. Abonnement gratuit Orange sur présentation d’une Fiche S.
Bonne idée !
Le 17/10/2016 à 11h08
« Il s’agit d’une erreur humaine lors d’une opération technique sur un serveur » commente l’opérateur. « Nos clients ont pu rencontrer des difficultés à se connecter sur le site Google.fr et Wikipedia.fr et se voir reroutés vers un message du ministère de l’Intérieur. L’incident a duré environ une heure. L’accès au site est en voie de rétablissement. Le problème est résolu, mais le trafic sera de nouveau nominal à 11h25. »
ca veut surtout dire qu’ils sont en train de bien nous la mettre profonde et d’orienter Toutes nos recherches ….
E n plus de falsifier les DNS …
Donc 8.8.8.8 et surtout VPN Russe.
MAis plus que tout on appelle cela de la dictature , quand c’est en Chine on appelle de cela comment ?
“Les français sont des veaux”
Le 17/10/2016 à 11h12
Le 17/10/2016 à 11h14
Une petite liste de serveurs DNS public au cas où : Liste à utiliser en cas de panne ">
Le 17/10/2016 à 11h15
Le 17/10/2016 à 11h21
lol, tu crois que la box suis QUE les DNS saisies ?
ah ah.
Quand vous aurez compris qu’une BOx est un corps étrangers à votre réseau vous aurez progressé … un peu.
Le 17/10/2016 à 11h22
D’aprés vous pourquoi vous ne pouvez pas vous accrocher directement aux DNS root ?
Le 17/10/2016 à 11h23
Pour ceux qui en auraient assez de l’incroyable inefficacité d’un service DNS qui, de plus, est intrusif ; pas besoin de partir chez cisco… :
https://www.opennicproject.org/
Le 17/10/2016 à 11h26
Merci pour l’information. Cmd.exe m’indique bien que le cache a été vidé mais toujours pas de Google et de fr.wikipedia.org " />" />
Après on n’a pas une box comme les particulier mais un grand machin qui s’imbrique dans la baie de distribution.
Le 17/10/2016 à 11h27
Je ne parle même pas de ça, mais qu’on puisse au moins changer le dns par défaut.
Et c’est bien beau de vouloir remplacer la box par un modem, mais actuellement je suis pas sur d’avoir les compétences pour prendre un modem compatible openWRT et de le configurer correctement pour le rendre compatible avec le reseau orange.
Et je parle même pas du prix, étant pas encore riche, le modem le moins cher que j’ai pu trouver est quand même à 100 balles, ça me ferait chier d’acheter un materiel à ce prix si je n’arive pas à el faire fonctionner correctement " />
Le 17/10/2016 à 11h30
Perso je n’ai plus le blocage sur google.com mais impossible d’accéder à youtube.com sans modifier les DNS justement.
Pas de redirection vers le site du ministère de l’intérieur ^^
Le 17/10/2016 à 11h31
et qui dit que ça pas été fait exprès juste pour montrer la stupidité de la lois et du blocage par DNS ?
Le 17/10/2016 à 11h31
“Erreur humaine”, et la marmotte…
Le 17/10/2016 à 11h35
Heu.. parce qu’ils ne sont pas fait pour ça?
Le 17/10/2016 à 11h37
Le 18/10/2016 à 14h10
Oui très facile, protocole dédié qui utilise le port 53 (soit en dest ou source suivant le sens dans lequel tu te places) souvent en UDP. Après tu as la possibilité de chiffrer le trafic DNS, très peu répandu aujourd’hui, et tu as DNSSEC qui permet de prouver l’authenticité, l’intégrité et la preuve de non existence d’un enregistrement à l’aide d’un système de signature (pour faire rapide).
Rien n’empêche le FAI propriétaire du serveur récursif de spoofer une réponse effectivement, c’est pour ça qu’il vaut mieux avoir son propre serveur (après tu as l’attaque de cache poisoning) que de faire confiance à un tiers type google, des open resolver que tu trouves en pagaille sur le net.
Le FAI étant sous le coup de la loi française, mentir sur autre chose que ce qui est décidé par l’Etat (blacklistage réglementaire) est très dangereux pour eux.
Le 18/10/2016 à 15h06
Pour résumé, quelle est ta recette : quels DNS utilises tu ?
Le 18/10/2016 à 15h08
Autre truc , les FAI ne doivent surement pas prioriser le traffic DNS (53 upd/tcp) sur les routeurs BGP (inter fai etc) …
DONC :
est-ce que se passer du dns fai pénalise en terme de perf ?
(avec les caches je dirai non .. mais bon …)
Le 18/10/2016 à 15h12
Le mien, j’ai testé BIND/unbound ça marche bien. Ensuite tu peux utiliser un routeur comme le omnia turris (un peu cher) qui a un serveur DNS.
Parfois tu dois passer par le DNS de ton FAI pour accéder à certains services donc tu switches.
Le 18/10/2016 à 15h18
Les caches contiennent environ 90% des réponses, donc clairement pas pénalisé. Après clairement que si utilises un récursif où faut que tu te manges un lien transatlantique forcément tu vas le sentir (200ms de moyenne).
Suivant l’opérateur certains flux sont séparés dans des VLAN et donc “priorisés” avec des seuils, ce qui passe au dessus est droppé ni plus ni moins.
Le DNS étant la base de l’internet, pas de service DNS peu de monde navigue, je pense pas qu’ils s’amusent à leur mettre une priorité de merde pour faire passer du netflix.
Le 18/10/2016 à 15h21
Pour l’aspect légal, je suis bien d’accord.
Mais justement, si l’état demande de bloquer un domaine, il est tout à fait loisible au FAI de bloquer les requêtes
DNS sur ce nom même si elles sont adressées à 8.8.8.8
Donc certaines personnes se font des illusions sur leur capacité à contourner des blocages: La vraie raison n’est pas leur compétence certes au-dessus de la moyenne, mais la volonté des FAIs de se contenter du minimum pour pouvoir dire «on a essayé»
Le 18/10/2016 à 15h27
Oui c’est possible théoriquement pour un FAI mais :
Si aujourd’hui les FAI ont choisi le DNS c’est parce que ça coûte rien, le process est très simple et c’est centralisé (pas comme les X routeurs que tu as au quatre coins de ton réseau).
Le 18/10/2016 à 16h02
Le 18/10/2016 à 18h23
Il me semble que j’ai été affecté par ce problème hier.
Mais pas sûr que ça soit ça, j’avais pas la “main rouge”, juste un écran blanc.
Mais j’utilise les DNS d’OPENDNS sur un serveur DNS local maison, peut-être que ceci explique cela ?
(genre Orange ont un DNS menteur + un autre moyen de bloquer même si ça passe pas par leur propres DNS)
Le 18/10/2016 à 18h36
Le 18/10/2016 à 18h56
Non si tu n’utilises pas les serveurs récursifs d’Orange ils n’ont pas de moyen autre de te bloquer. L’écran blanc était certainement dû au fait que les serveurs lamainrouge était mort sous le flood des clients redirigés chez eux
Le 18/10/2016 à 19h04
OpenNIC pas OpenDNS pardon.
Donc à priori on est immunisé contre ce type de censure là (DNS) si on utilise autre chose que les DNS d’orange par défaut ?
Ne peuvent-il pas aussi utiliser d’autre moyen que leur bêtes serveurs DNS ? à coup de DPI par exemple ?
Le 18/10/2016 à 20h50
Ca coute beaucoup trop cher de faire du DPI vu le nombre de requête à traiter, 35 millions de clients pour Orange ça en fait un paquet d’IPS pour filtrer tout ça… Au pire tu VPN et ils ne peuvent rien y faire puisque ce n’est plus taggé comme DNS.
Le but de l’opérateur est d’appliquer la loi, bloquer le site par un moyen. Ils le font par DNS car pas cher, ni plus ni moins. Ils sont pas là pour faire chier dans les pires stratégies l’abonné.
Le problème des autres serveurs récursifs (openDNS, google etc…) c’est que vos données partent vous ne savez où, sont certainement monnayées. Je vous conseille sincèrement d’utiliser vos propres DNS (un petit BIND/unbound/powerDNS) ça tourne même sur un raspi ou c’est embarqué directement dans certains routeurs.
Le 18/10/2016 à 21h41
Moi pas comprendre,
T’auras toujours du eavesdropping c’est sans fin.
Ou alors bypasser complètement les services de DNS -> avec TOR ou des projets fondés sur la Blockchain (autorité P2P décentralisée).
Le 19/10/2016 à 07h20
Dans les box (notamment sur celle d’Orange) c’est un simple dnsmasq qui ne fait pas de résolution (juste du caching/redirection vers les vrais récursifs Orange).
Comme dans ta box il y met les VIP DNS Orange, par défaut sur tes équipements tu dois être en prendre les paramètres par défaut de la passerelle.
Si tu les changes tu n’auras aucun souci (type 8.8.8.8) au niveau de l’opérateur, c’est ni plus ni moins qu’un simple routage qui envoie ton paquet DNS vers les serveurs que tu as choisis (il n’y a aucun contrôle fait par l’opérateur ou juste des stats).
Pour le eavesdropping oui et non, aujourd’hui c’est certainement le cas il doit y avoir des stats sur le nombre de clients qui utilisent des DNS autre que celui du FAI, la possibilité peut être aussi de voir le contenu des paquets (projet big data) mais ça coûte très cher ! Pour le DNS, tu as des extensions pour chiffrer ton trafic, une fois chiffré ton opérateur ne pourra rien faire (enfin pas dans l’immédiat)
Le 19/10/2016 à 10h54
j’ai déjà la cavalerie à la maison , je roule avecun parefeu qui coutait 2500 €uros il y a 2 ans … donc pas de souci.
Quels sont tes redirecteurs ? (j’ai un BIND en interne)
Le 17/10/2016 à 09h39
Comme quoi ils avaient raison, on peut tomber “en toute bonne foi” sur des sites faisant l’apologie du pédoterrorisme
Le 17/10/2016 à 09h39
tu m’étonnes!!! tous les abonnés Orange (fixe ET mobile) qui essaient d’accéder à Google ou wikipedia (souvent en venant de google) ça fait un sacré paquet de personne! " />
Le 17/10/2016 à 09h40
« un nombre incalculable de personnes vont abandonner les résolveurs de leur FAI pour utiliser ceux fournis par de grosses boites américaines comme CISCO, ce qui n’est pas un progrès globalement »
Clairement oui.
Le 17/10/2016 à 09h40
Le 17/10/2016 à 09h41
Joli fail…
Comme dit par quelqu’un qui s’y connaît :
À la vue de cet exemple, Stéphane Bortzmeyer l’assure : « l’ajout de toutes fonctions dans Internet à des fins de censure fragilise le réseau, en rajoutant d’autres acteurs et composantes qui peuvent dysfonctionner ».
ET comme c’était prédit:
Celui-ci craint désormais un dommage collatéral : « un nombre incalculable de personnes vont abandonner les résolveurs de leur FAI pour utiliser ceux fournis par de grosses boites américaines comme CISCO, ce qui n’est pas un progrès globalement ».
Pour les DNS, c’est déjà fait chez moi. Ça me permet d’avoir TPB tranquille…
" />" />" />" />" />
Le 17/10/2016 à 09h42
Trafic Orange vers google.fr " /> " />
Ce fail de l’agrume nous indique ceci dit que l’infra des censeurs n’est pas pour l’instant dimensionné pour du massif, c’est un détail intéressant
Le 17/10/2016 à 09h42
Donc globalement tous les sites peuvent être bloqués sans l’accord d’un juge… Techniquement, Google a perdu des “visiteurs” durant 30minutes (un chiffre négligeable) mais si cela arrive sur tous les DNS de FAI Français (DNS utilisé souvent par défaut par le grand public), qu’arrive-t-il ? Les sites visés peuvent-ils portés plainte car c’est leur chiffre d’affaire qui le subit ?
On commence enfin à voir les dérives qu’on nous signale depuis plusieurs années … Ca ressemble à un mec qui s’est dit : “Tiens on va faire le test, tu veux prendre quels sites ?” “Euh bah google et puis wikipedia tiens” “Ok vas-y c’est rajouté, tu testes ?” “Ouais attends que la réplication DNS fonctionne, mon poste est pas en première ligne” “Et là ?” “Ouais c’est bon, tu peux rollback”.
Le 17/10/2016 à 09h42
En quoi ?
Le 17/10/2016 à 09h42
Tu ne t’es pas installé un Unbound ?
Quand on a 2-3 connaissances techniques, c’est pas trop dur à faire tourner
Le 17/10/2016 à 09h42
Ça va en faire des fichés S…
Le 17/10/2016 à 09h43
" />
Le 17/10/2016 à 09h43
Merci de l’info, je testerai ça alors, je n’avais pas pris le temps tout à l’heure. " />
Le 17/10/2016 à 09h44
C’est juste un test grandeur nature pour la prochaine demande de censure " />
Je suis chez Orange mais j’ai vu le problème uniquement sur Twitter, merci Qwant " />
Le problème est résolu, mais le trafic sera de nouveau nominal à 11h25
Ca veut dire quoi, un trafic nominal ?
Le 17/10/2016 à 09h44
Bien content d’être passé depuis un bail sur des DNS OpenNIC tiens…
Mais je le savais que Google préparait un gros coup, ce sont des terroristes ! " />
Le 17/10/2016 à 09h44
Je suis abonné Orange et avec les DNS Google je n’ai pas vu le problème. Faut dire que le filtrage par DNS, c’est franchement débile.
Et oui les DNS Google c’est le mal mais au moins ils ne mentent pas, eux. Avec nos lois actuelles impossible de faire confiance à des DNS français.
Le 17/10/2016 à 09h44
Je commençais à penser qu’il y’avait un incident dans le data centre d’orange ou je bosse. L’un de mes collègues avait débranché le mauvais câble.
AU final, ça montre la stupidité de cette loi/
Le 17/10/2016 à 09h45
Le 17/10/2016 à 09h47
Bon faites comme moi ici : montez votre propre DNS soit sur votre poste, soit dans un petit raspberry pi qui reste sur le réseau de la maison et n’utilisez plus le DNS du FAI, on encore, paramétrez à la main les paramètres réseaux en choisissant des DNS propres (OpenDNS ? FDN…).
Mince, je risque la censure pour apologie du terrorisme ! vite, modérez-moi ! ;-)
Le 17/10/2016 à 09h47
nominale en réseau veut dire : en situation normal
Par opposition à “dégradé”
Le 17/10/2016 à 09h48
J’ai plus accès à Wiki ce matin, et je viens de vérifier, Google est bloqué " />
Bon pour Google depuis que j’utilise Qwant à 99%…
Le 17/10/2016 à 09h48
Ah, voilà pourquoi ça coinçait ce matin au bureau ! (ligne pro Orange)
Le 17/10/2016 à 09h48
@Marc: fr.wikipedia.org et wikipedia.fr ne sont pas du tout les mêmes noms de domaines et ne pointent pas aux mêmes endroits.
edit: le .org est inaccessible et le .fr est ok
Le 17/10/2016 à 09h49
Le 17/10/2016 à 09h50
valeur nominal : en l’absence de l’influence d’une variable donnée.
Le 17/10/2016 à 09h51
Toujours bloqué sur box Orange pro.
Chapeau les mecs " />
Le 17/10/2016 à 09h52
Au lieu de faire confiance à ton FAI (qui répond au droit francais) tu vas faire confiance à un tiers qui répond aux droits d’un autre pays en terme de :
Aussi, dans ce cas le DNS va tendre vers un unique prestataire et il y aura donc des soucis de SPoF. Ce prestataire sera aussi plus la cible des méchants de l’Internet
Le 17/10/2016 à 09h55
C’est d’ailleurs une bonne occasion de forcer orange a nous laisser changer le dns de la box non ?
Perso je trouve cela inadmissibie de ne pas nous laisser le choix de changer le dns, j’ai une dizaine d’appreil chez moi et c’est rellement une plaie de ne pas pouvoir le faire directrement depuis la box " />" />
Le 17/10/2016 à 09h55
Rien ne t’assures que le résolveur ne ment pas (pour des raisons commerciales ou politiques), sans parler qu’un serveur peut logguer toutes tes requêtes DNS et les filer au pouvoir politique en place.
Voir l’exemple d’OpenDNS
A défaut d’être en mesure de savoir installer et administrer son propre résolveur, il faut passer par des serveurs en qui ont peu avoir confiance. J’aurai tendance à conseiller ceux de FDN
Le 17/10/2016 à 09h56
Une erreur humaine, sans doute, mais ce n’est pas un hasard si les deux domaines bloqués sont des domaines associés à des sites d’info et de recherche. Il y a bien derrière une intention de filtrage, et une attention toute particulière pour ces sites.
L’erreur humaine comme justification, c’est un peu court.
Le 17/10/2016 à 09h56
T’es censé bosser, pas glander sur Wikipedia " />
" />
Le 17/10/2016 à 09h56
8.8.8.8 / 8.8.4.4
Le 17/10/2016 à 09h57
Ca réveillera ceux qui utilisent encore les DNS FAI
Bernard appréciera
Ca sent la nouvelle loi pour réguler les serveurs DNS, ces tueurs d’enfants
Le 17/10/2016 à 11h57
Le 17/10/2016 à 11h59
+1
Le 17/10/2016 à 12h00
Le 17/10/2016 à 12h05
Le 17/10/2016 à 12h05
Le 17/10/2016 à 12h10
Toujours pas de wiki.fr à 14H05.
=> appel à la hotline pro 3901 :
“Vous êtes actuellement très nombreux à nous appeler” + “Au revoir et à bientôt chez Orange”." />
" />
Le 17/10/2016 à 12h23
Parce que les root sont des serveurs faisant autorité gros débile, ils n’ont aucunes fonctionnalités pour faire de la “récursion”… Les mecs qui parlent sans savoir sont vraiment marrant
Le 17/10/2016 à 12h24
C’est l’installation d’une boîte noire qui a foiré c’est ça ? C’est pour récupérer toutes les requêtes DNS des abonnés Orange vu qu’ils ne peuvent pas changer les DNS au niveau du routeur. Et comme il doit y avoir 1 % des abonnés qui savent comment y remédier…
" />
Le 17/10/2016 à 12h25
Ben non.. le DNS ne que je vais monter dans ma cave aura autant de “privilèges” que celui de mon FAI
(fichier root.hints dans unbound)
Les root DNS ne sont pas des resolveurs, il ne font pas non plus authorité.
Il ne sont là que pour rediriger vers le DNS du TLD demandé qui ensuite redirigera vers le DNS du domaine demandé qui lui fera résolveur.
L’avantage d’utiliser les DNS du FAI ou d’un service tiers, cest de déléguer la maintenance.
L’inconvéniant, cest de faire confiance à ce tiers.
Le 17/10/2016 à 12h34
D.N.S d’Orange par défaut j’ai pas vu le blocage " />
Le 17/10/2016 à 12h35
Bien sûr que si les root font autorité sur le “.”, tu y récupèreras les NS des TLD soit fr. / com. / net. et ainsi de suite…
C’est un peu triste de voir autant de commentaires techniques alors que les gens n’y connaissent rien, et ça se permet de beugler à tout va alors que ça comprend même pas le fonctionnement basique du protocole
Le 17/10/2016 à 12h47
De l’avantage de se lever à 11h30 ! " />
Le 17/10/2016 à 12h48
Je n’ai jamais parlé de “.” dans mon commentaire, je faisais le focus sur le domaine.
Et donc je maintiens que les DNS roots ne font pas authorité sur , par exemple, machin.fr
Le 17/10/2016 à 12h50
Le 17/10/2016 à 12h52
touché " />
Le 18/10/2016 à 08h39
Oui c’est ce que je t’explique depuis tout à l’heure, il faut forcément un serveur récursif dans la chaine. Mais le serveur root est ouvert à tout le monde, tu peux le requête il te répondra sur ce qu’il sait pas plus !
SI tu lui demandes de te résoudre www.orange.fr il te répondra uniquement qu’il connait les NS de fr. Et ça s’arrêtera là, ensuite c’est ton serveur récursif qui s’occupe de faire le reste
Le 18/10/2016 à 08h42
tu ne réponds pas là : :-)
Ton DNS recurcifs etc … ok , pas de souci … sauf que ton DNS recurcifs ou prends-il ses infos sur ovh.net. (par exemple) ?
(car il doit être redirecteur) … moi je te dit que tu est coincé … tu passeras forcément par un TLD (de niveau un ) et là : moooouuukkk , blocage des OIV
Wikipedia République Française
Le 18/10/2016 à 08h45
… et qui sont les NS de fr ?????
> server 192.33.4.12
Serveur par dÚfaut : [192.33.4.12]
Address: 192.33.4.12
> fr.
Serveur : [192.33.4.12]
Address: 192.33.4.12
Nom : fr
Served by:
193.176.144.22
2a00:d78:0:102:193:176:144:22
fr
194.0.9.1
2001:678:c::1
fr
194.0.36.1
2001:678:4c::1
fr
194.146.106.46
2001:67c:1010:11::53
fr
192.5.4.2
2001:500:2e::2
fr
>
Le 18/10/2016 à 08h48
Tu n’as pas compris, tu confonds serveur faisant autorité et serveur récursif…
Faut voir le serveur qui fait autorité comme l’annuaire téléphonique et le serveur récursif comme toi/quelqu’un de te famille.
Quand tu veux le numéro de monsieur Dupont pierre, tu ouvres ton botin et tu cherches monsieur Dupont Pierre dans la ville correspondante et tu y trouves son numéro de téléphone.
Si c’est toi qui cherche le numéro de Pierre tu ne risques aucun blocage puisque c’est écrit noir sur blanc, par contre si tu demandes à quelqu’un de chercher pour toi la personne peut très bien te donner un autre numéro. Et bien pour le DNS c’est pareil. Les FAI utilisent les serveurs récursif, celui en charge de la résoudre la question (requête DNS) pour mentir. En aucun cas les serveurs faisant autorité n’ont leur mot à dire dans cette résolution donc si tu utilises ton propre serveur récursif tu ne risques aucun blocage
Le 18/10/2016 à 08h50
Les NS de fr. sont :
fr. 25337 IN NS f.ext.nic.fr.
fr. 25337 IN NS g.ext.nic.fr.
fr. 25337 IN NS e.ext.nic.fr.
fr. 25337 IN NS d.nic.fr.
fr. 25337 IN NS d.ext.nic.fr.
après c’est ton serveur récursif qui choisit lequel il va aller interroger, ils sont tous identiques ! Donc peu importe lequel il requête t’auras la même réponse !
Le 18/10/2016 à 08h58
ca j’ai compris, pas de souci.
Ce qui me gène c’est que quoi qu’il arrive tu tombes sur ces serveur TLD (niveau1) et donc le blocage DNS est fait à ce niveau et bien on ne peut rien y faire ?
that’s it ?
pour moi c’est l’afnic … mais l’afnic c’est un société avec un chiffre d’affaire de 13 millions d’euro en 2012 ..
“L’AFNIC est composée de membres : représentants des pouvoirs publics, Bureaux d’enregistrement (qui commercialisent les noms de domaine), personnes morales (associations d’utilisateurs, etc.), personnes physiques (particuliers) et associations ou organisations nationales ou internationales.”
Le 18/10/2016 à 09h01
Non non le blocage n’est pas fait au niveau du TLD, le blocage est fait chez ton FAI qui créé un faux serveur faisant autorité sur sa plateforme sur lequel il redirige toutes les requêtes de type XXX.terrorisme.fr / jeregardeduporno.com etc.. Ta requête DNS ne sort même pas de sa plateforme, elle est directement envoyé sur ce faux serveur faisant autorité qui ment sur la réponse.
C’est poru ça que si tu utilises un autre DNS que celui des FAI tu n’auras pas de blocage (ou très peu dépend du pays/loi/statut de l’entité qui héberge le serveur récursif)
Le 18/10/2016 à 09h08
Donc … on est d accord blocage niveau TLD …. (j’ai bien compris que le FAI son DNS je m’en fous, je peux aisément le bypasser) … mais les TLD : c’est un autre histoire !
Et ce qui me gène c’est qu’il suffit d’agir à ce niveau pour bloquer une reqête DNS !
Ce que tu soulignes d’ailleurs : “ou très peu dépend du pays/loi/statut de l’entité qui héberge le serveur récursif”
Le 18/10/2016 à 09h09
Sur l’afnic qui détient et gère les TLD :
“
Missions
Les missions de l’AFNIC sont définies à l’article 2 de ses statuts4.
Pour favoriser le développement de l’Internet en France, l’objet de l’Association est d’assurer les missions suivantes :
toute mission qui lui aura été confiée par les pouvoirs publics dans le cadre de la gestion de l’Internet.
“
Le 18/10/2016 à 09h12
C’est ici :
République FrançaiseC’est bien contrôlé par l’état, sous couvert d’etre une assoc. :
Mise en place d’un dispositif de notification aux services de l’Etat
des atteintes ou tentatives d’atteintes à la sécurité du service
L’office d’enregistrement définit avec l’Agence nationale de sécurité des systèmes d’information, dans le cadre d’un protocole de sécurité un dispositif de notification des atteintes ou tentatives d’atteintes à la sécurité de son service.
Modalités d’audits de la sécurité
et de la résilience des infrastructures
Les modalités d’audit de la sécurité et de la résilience des infrastructures de l’office d’enregistrement sont définies entre l’office d’enregistrement et l’Agence nationale de sécurité des systèmes d’information dans le cadre d’un protocole de sécurité.
Le 18/10/2016 à 09h15
C’est hallucinant comment internet a été verrouillé en si peu d’année !
Le 18/10/2016 à 09h16
je me demande si il n’existe pas un moteur de recherche/outil pour avoir une cartographie du web via les adressage IP public , et pas avec les FQDN
Le 18/10/2016 à 09h16
Oui et non parce que le TLD n’est requêté que si dans ta requête tu utilises ce TLD, tu n’iras jamais voir les NS de l’AFNIC pour un domaine en .net / .com etc..
Il faudrait demander à tous les TLD de faire les blocages de sa branche (théoriquement faisable), et chaque TLD est établit dans un pays avec des lois différentes donc pas possible. Aujourd’hui la France ne peut pas forcer l’entité qui s’occupe du .com à bloquer le domaine jesuisunterro.com, tu ne peux pas non plus demander aux Chinois de bloquer terrorisme.cn ils vont te rire au nez.
Du coup le moyen le plus simple, qui touche le plus de monde (mais qui est facilement contournable) est de bloquer au niveau des serveurs récursifs parce que tout le monde passe par là de base (avant toutes modifications de la part du client) avec l’accès internet du FAI français. Et là tu peux bloquer n’importe quel domaine grâce au faux serveur faisant autorité avec redirection des requêtes qui arrivent sur le serveur récursif, ça ne sort pas de la plateforme du FAI donc aucune chance d’aller attraper le bon enregistrement DNS, du coup BAM on te ment et on t’envoie sur la jolie page qu’on a vu hier en fonction du site que tu visites (terrorisme, pedoporno, blocage arjet et j’en passe)
Le 18/10/2016 à 09h24
je le voyais pas comme cela ! (shame on me)
en effet avec les transferts de zones tu peux pas bloquer au niveau TLd : yep.
sinon tu pourris les autres … TLD , mondiaux ! (tu me corriges si c une conneries)
donc si tu t’accroches sur un TLD style x.ext.nic.fr (ou même d’un autre pays en fait !) , tu n’est pas embêté ?
Le 18/10/2016 à 09h25
Quand l’hébergeur du nom de domaine est français, il est sous le couvert de la loi francaise donc si tu as un site de type jesuisunterro.fr tu as de forte chance pour que celui-ci soit bloqué au niveau de l’AFNIC car il gère le .fr, par contre pour les autres (comme expliqué avant) tu ne peux rien y faire donc tu passes par le FAI.
C’est pour ça que tu vois T411 changer constamment de TLD (il y a eu .fr, .io etc..), aujourd’hui ils sont en .ch (Suisse). L’AFNIC ne peut rien faire, le blocage sera donc fait par le FAI après décision de la justice francaise.
Ce qui faut voir en terme de serveur faisant autorité c’est que l’infrastructure DNS est distribuée et hiérarchisée ce qui fait que c’est très robuste mais aussi un vrai poulpe géant quand tu veux réaliser des blacklistages.
Si demain les serveurs AFNIC tombent, tu n’auras que les noms de domaines en .fr injoignables tout le reste (com/net/cn) continuera de fonctionner.
Il faut voir la structure du DNS comme un arbre inversé où le “.” soit les serveurs root est la base, ensuite on délègue à d’autres serveurs faisant autorité les TLD, AFNIC pour le .fr, DENIC pour le .de etc.. et ainsi de suite, l’AFNIC délègue des sous domaines à Orange, SFR, Free voire même à toi si tu veux avoir ton nom de domaine ledufakademy.fr. et ainsi de suite
Le 18/10/2016 à 09h27
Non, ton serveur récursif chez toi interrogera bien un serveur root (qui est accessible par n’importe qui) quand son cache aura expiré pour savoir à qui demander qui gère le domaine net, puis il demandera, à un serveur qui gère net, qui gère ovh.net et enfin, il demandera de résoudre ovh.net à l’un des serveurs DNS d’ovh qui gère leur domaine.
Le 17/10/2016 à 10h12
Pour la box je fais simple : elle ne me sert que de modem. Pour le reste j’ai un routeur derrière sur lequel je gère mon réseau. Comme ça : tranquille.
Le 17/10/2016 à 10h13
On a un idée du nombre de requêtes redirigées ?
Le 17/10/2016 à 10h15
Et sinon, les DNS de l’asso FDN fonctionnent toujours, sans censure…https://www.fdn.fr/actions/dns/
Le 17/10/2016 à 10h15
Le 17/10/2016 à 10h16
« Il s’agit d’une erreur humaine lors d’une opération technique sur un serveur » commente l’opérateur.
il va y avoir une place qui va se libérer chez orange.
comment fait-on pour postuler à ce poste ?
Le 17/10/2016 à 10h16
Le 17/10/2016 à 10h17
intitulé du poste : modérateur de l’internet by Orange " />
Le 17/10/2016 à 10h18
Le 17/10/2016 à 10h18
“Heureusement”, que ce n’est pas le site d’un anonyme bloqué à tord…
Comment ça ? Ce serait déjà passé inaperçu ?
Le 17/10/2016 à 10h20
Cool d’avoir des news !!
Je me demandais justement pourquoi je n’arrivais pas à accéder à Google depuis le boulot.
Le 17/10/2016 à 10h20
Nope.
Changez de FAI " />
Le 17/10/2016 à 10h21
d’ailleurs, est-ce que la Freebox mini 4k et la Bbox Miami utilisent les serveurs DNS du FAI ou de Google ?
Le 17/10/2016 à 10h21
Le 17/10/2016 à 10h22
Oui, coller un autre routeur… enfin, ça engendre pas mal de frais si c’est juste pour passer outre le manque d’option du routeur FAI " />
Le 17/10/2016 à 10h23
Le 17/10/2016 à 10h24
Excellente attaque ddos " />
Le 17/10/2016 à 14h08
Non, mais c’est revenu depuis 1h.
Merci à tous.
Le 17/10/2016 à 14h08
Le 17/10/2016 à 14h08
J’espère qu’il est polyglotte…" />
Le 17/10/2016 à 14h09
certaines box s’en foutent.
le traffic dns peut être rerouté dans son intégralité vers les serveurs du FAI.
Le 17/10/2016 à 14h13
Pour les feignants, il y a une méthode qui fonctionne bien. Depuis sa dernière mise à jour,le navigateur Opéra sur PC propose un VPN gratuit dans son mode de navigation privé.
Du coup ça permet non seulement de zapper les filtrages DNS, mais aussi le filtrage IP et le filtrage géographique (Copyright vidéo)
Le 17/10/2016 à 14h21
Le 17/10/2016 à 14h35
Le 17/10/2016 à 15h02
Le 17/10/2016 à 15h13
Le 17/10/2016 à 15h31
Et sinon, c’est combien le préjudice pour Google et OVH ?
Le 17/10/2016 à 15h43
Le 17/10/2016 à 16h49
Tu peux aussi tester les DNS de DNS.watch, ils sont aussi “propres”, DNSSec et neutres.
https://dns.watch/index
" />
Le 17/10/2016 à 16h52
17/10/2016 : Le jour où l’internet Français s’arrêta.
" />
Le 17/10/2016 à 16h56
Le 17/10/2016 à 17h06
Have you tried turning it off and on again ?
Le 18/10/2016 à 09h32
Ce n’est même pas une question de transfert de zones, c’est juste que le DNS est régi par un organisme mondial appelé l’ICANN qui donne des droits et “privilèges” à d’autres organisme pour gérer une partie des noms de domaines dans le monde.
Nous on segmenté ça avec les TLD, chaque TLD est géré par un organisme différent (bon des fois un organisme en gère plusieurs), qui eux même donne des droits à d’autres entités (entreprises / particuliers) pour gérer des noms de domaines.
Le 18/10/2016 à 09h33
… le miens est chez ovh, et c’est “anycast.me” (donc ovh) qui gère mes enregistrements DNS . (MX, NS etc)
Le 18/10/2016 à 09h36
Si tu diffuses de la merde avec un nom de domaine en .fr tu seras rapidement blacklisté directement par l’AFNIC sous décision de justice. Le blacklistage AFNIC est puissant car peu importe avec qui tu les interrogeras (n’importe quel recursif google, opendns, le tien) ton domaine ne sera pas accessible puisque c’est l’AFNIC la référence du .fr, en gros l’éditeur de l’annuaire téléphonique français (il raye ta ligne ou donne une adresse qui t’envoie au commissariat).
Si par contre tu as ton leduk.cn (nom de domaine en Chine), tu seras blacklisté niveau FAI donc là tu pourras quand même accéder à ton site via d’autres récursifs que les FAI français.
Le 18/10/2016 à 09h38
Donc si je monte mon bind (local) avec les root server comme redirecteur ca passe ? pas sure … là.
Le 18/10/2016 à 09h41
Le .me c’est le montenegro, OVH doit aller là bas car en terme de loi ça doit être souple je pense (tout en restant dans l’UE geographiquement parlant, les accords tout ça).
Donc le me est géré par un organisme comme l’AFNIC, qui a vendu le sous domaine anycast à OVH qu’on voit bien quand on fait un whois.
Du coup si tu diffuses du contenu illicite avec ce nom de domaine, tu seras blacklisté au niveau FAI et non TLD.
Le 18/10/2016 à 09h41
Oui, ça passe. Sûr et certain : comme indiqué plus haut, les serveurs root me répondent quand je les interroge depuis mon abonnement Orange.
Le 18/10/2016 à 09h44
C’est simplement pour avoir “me” (= moi en anglais) en premier niveau. C’est un nom de domaine pour narcissiques. Rien à voir avec les lois plus souples.
Le 18/10/2016 à 09h45
Ton BIND au moment où tu l’installeras aura dans sa configuration la liste des serveurs root, ce sont les premiers serveurs que ton BIND (serveur récursif) ira voir lorsque tu demanderas la résolution d’une requête quelle qu’elle soit (sauf si tu as du cache).
Processus de récursion basique, je contacte le root, qui me donne le NS du TLD,
Je contacte le TLD qui me donne le NS du sous domaine
Je contacte le sous domaine qui me donne soit l’enregistrement demandé si j’ai demandé un FQDN de cette zone là, auquel cas il me donnera le NS du sous sous domaine
Pour www.orange.fr. tu iras voir 3 serveurs faisant autorité (le root, le .fr et celui d’Orange), pour bobmoutarde.free.fr. tu iras en voir 4 parce que c’est mon domaine (root / fr / free et bobmoutarde)
Le 18/10/2016 à 09h46
ouaih moi aussi , si je me place sur un root server , et si je lui demande ledufakamdy.fr il réponds d’allez sur un autre NS (x.ext.nic.fr) MAIS ne me jettent pas .
j’étais persuadé qu’il me jette !
Le 18/10/2016 à 09h47
yep, pas de souci je le vois comme ça moi aussi.
je pensais pas qu’on pouvait mettre les root server dans ses redirecteurs, je suis surpris.
Le 18/10/2016 à 09h51
Bien sûr, ils sont ouvert à tout le monde. Juste que ce n’est pas lui qui fera la résolution complète de ta requête. Il te dira juste je ne connais pas www.orange.fr. mais je connais .fr. voilà son adresse.
Si tu demande www.orange.fr. aux NS de l’AFNIC ça sera pareil, je ne connais pas www.orange.fr. mais je connais orange.fr. voilà son adresse.
Tous les serveurs faisant autorité sont joignables unitairement mais ne se permettent pas de répondre sur un “secteur qui n’est pas le leur”, ils donnent en réponse ce qu’ils savent ni plus ni moins. C’est pour ça qu’on utilise un serveur récursif qui se charge de faire l’ensemble des échanges avec tous les serveurs faisant autorités que tu vas devoir aller voir pour résoudre ta requête et avoir ta petite réponse.
Le 18/10/2016 à 12h46
https://howdns.works/ plutôt bien fait, pour comprendre globalement le truc (c’est en anglais)
Le 18/10/2016 à 12h53
… ouaih, bon, faut pas déconner non plus , je connais quand même le DNS !
Et le troubleshooting d’un DNS …
J’en monte pas tout les jours, et surtout une fois en place et en prod. je ne suis pas dessus toute l’année.
oh ho , lol. " />
Le 18/10/2016 à 12h56
Ca c’est vu " />
Le 18/10/2016 à 13h15
De même " />
Le 18/10/2016 à 13h53
Question en passant:
Les trames DNS sont facilement identifiables ?
Si oui, qu’est-ce qui empêche le FAI de mentir «de temps en temps» ?
Le 17/10/2016 à 09h37
j’espere que le gign va pas debarquer
Le 17/10/2016 à 09h37
J’ai eu le cas ce matin en FTTH Orange chez 2 clients : site Google qui ne vient pas, depuis 9h30 environ, et ça duré au moins 45 minutes, car vers 10h15 toujours rien, au-delà je n’ai pas pu tester à nouveau.
Pas de message à part “Impossible d’afficher la page” et tout fonctionnait depuis mon portable SFR ou depuis un serveur dédié OVH.
Là je viens de tester à nouveau à distance, c’est ok, ouf " />
Edit : ajout : avec d’autres DNS, ça ne semblait pas fonctionner non plus tout à l’heure.
Le 17/10/2016 à 09h37
le site du ministère n’a évidemment pas tenu la charge
" /> haha
Le 17/10/2016 à 09h38
j’imagine la tête du site du ministère de l’intérieur qui s’est fait DDOS par les utilisateurs Orange " />
Le 17/10/2016 à 09h39
google, ovh et wikipedia " />
J’aimerai bien connaitre le nombre de requête, juste pour rire.
Le 17/10/2016 à 09h39
Le prestataire qui gère le site de censure n’est donc pas en mesure de supporter le traffic de google.fr.
C’te honte! " />
Le 17/10/2016 à 10h24
Le 17/10/2016 à 10h24
Il y a un coté véridique… un absusse?
Le 17/10/2016 à 10h28
Vivement l’amende de plusieurs milliards de dollars payée par Orange, l’état, les contribuables et décidée par un tribunal privé grâce au CETA/TAFTA " />
Le 17/10/2016 à 10h30
Dns du fai, mais que tu peux changer dans les paramètres de la box " />
Le 17/10/2016 à 10h31
Le 17/10/2016 à 10h34
12H30 : google.fr fonctionne, ouais !
fr.wiki non.
" />
Le 17/10/2016 à 10h35
Ça doit être tellement jouissif de voir sa requête web aboutir sur les sites du gouvernement.
Le 17/10/2016 à 10h38
Heureusement qu’un terroriste ne sait pas changer un DNS.
Le 17/10/2016 à 10h39
“C’est Roger chef, il a voulu brancher le détecteur de mensonge sur le modem et ça a tout fait péter le machin.”
Le 17/10/2016 à 10h43
Google.fr bloqué pour apologie du terrorisme
On s’attaque enfin à la responsabilité des intermédiaires, il était temps " />
Le 17/10/2016 à 10h44
Le 17/10/2016 à 10h45
Plusieurs millions de terroristes potentiels privés d’un site qui en fait l’apologie, les RGs vont avoir du boulot pour faire les fiches S " />
Le 17/10/2016 à 10h48
Le 17/10/2016 à 10h50
Le 17/10/2016 à 10h51
La liste des serveurs est disponible ici :https://servers.opennicproject.org/
Le 17/10/2016 à 10h52
Le tracking.
Le 17/10/2016 à 11h38
Le 17/10/2016 à 11h39
non, faux débat : tu prends un pare-feu matériel à 100-130 euros et tu le places derrière ta box , ton Lan après … et tu vis beaucoup mieux !
Le 17/10/2016 à 11h41
Le 17/10/2016 à 11h41
… éh éh.
tu as des DNS de différent niveau celui que tu vas monter dans ta cave n’aura pas accés au dns root de level 1 … c’est ainsi.
seul les fai y ont accès … (si je ne me plante pas)
Le 17/10/2016 à 11h41
Heureusement que c’était pas Facebook qui été bloqué sinon on aurait eu une vague de suicide sans précédent. lol
Le 17/10/2016 à 11h42
Le 17/10/2016 à 11h43
Ca aurait ptet pas été un mal. Vive la sélection naturelle " />
Le 17/10/2016 à 11h43
Le 17/10/2016 à 11h44
Le 17/10/2016 à 11h46
Le 17/10/2016 à 11h47
Bah, si tout ce qu’ils font comme blocage, c’est du DNS, ils vont pas aller bien loin.
Le 17/10/2016 à 11h48
ça ne passe pas outre, mais configurer mes raspberry pi + mes deux ordis portables + mon ordi fixe + 2 smartphones + une tablette, sans compter ceux que je prendrais plus tard ça deviens très long à force.
Alors que chez free je le faisait direct sur la box, un paramètre à changer et c’est fait pour tous les appareils actuels et à venir…
Et prendre un pare-feu materiel peux etre la solution, mais dépenser 120 balles pour une fonctionnalité présent chez tous les autres fai…
Le 17/10/2016 à 11h49
On ne peut définitivement pas faire confiance aux humains, ils font trop d’erreur
Le 17/10/2016 à 11h52
Le 17/10/2016 à 11h54
Si ça intéresse des gens, voici un routeur sous OpenWRT à 23€:
AmazonIl fait du LAN (100Mb), du Wifi N, et OpenWRT est préinstallé (une version customisée par le fabriquant). Je m’en suis servi pour un pote; ça marche nickel.
Le 17/10/2016 à 11h55
Merci " />
Le 17/10/2016 à 12h55
“Les root DNS ne sont pas des resolveurs, il ne font pas non plus authorité.” Et bien si ils font autorité sur le “.” ! Ta phrase est fausse c’est tout simple.
Par contre je suis d’accord sur le fait que le root ne fait pas autorité sur machin.fr. qui lui aura pour serveur faisant autorité un serveur du genre ns1.machin.fr. (mais dans ce nom de domaine tu as minimum 3 serveurs faisant autorité à contacter si rien en cache bien évidemment pour faire ta résolution).
Le 17/10/2016 à 13h14
Mon FAI est Orange et je n’ai eu aucun problème.
Ah oui, je n’utilise pas les DNS menteur d’Orange.
J’utilise le serveur DNS qui est installé sur mon PC.
J’ai donc accès à tous les sites même ceux bloqué par l’état.
Le 17/10/2016 à 13h20
Tu sais il n’y a pas que ceux d’Orange qui mentent, Free / SFR / Bouygues aussi vu qu’ils sont sous le coup de la loi..
Le 17/10/2016 à 13h24
Ouais, si on enlève le contexte et que l’on pioche la phrase comme ca c’est sûr.
Par contre, je pense que tu te plante en disant qu’il y a minimum 3 serveurs faisant authorité. Je crois que c’est deux.
Je ne me permettrais pas pour autant que rajouter “gros débile” ni “beugle” à ton propos :)
Le 17/10/2016 à 13h28
Bonjour c’est quoi le Meilleur DNS que vous avez configurer ?
Le 17/10/2016 à 13h29
Le 17/10/2016 à 13h30
C’était pas pour toi le gros débile, mais ledukmachinchouette " />
Il y en a bien trois (dans l’hypothèse où ton machin correspond à un orange/free/lefigaro), le “.”, le “.fr” et le “.machin” ou deux si machin.fr. est un enregistrement du domaine “.fr”
Le 17/10/2016 à 13h32
Tout à fait d’accord, juste qu’ici il faut tout préciser sinon les gens vont encore crier au complot, à mort Orange et fanboyisme de Free. Ce n’est pas contre toi, mais pour les autres " />
Le 17/10/2016 à 13h32
Le 17/10/2016 à 13h36
FYI je vais revenir sur le sujet en espérant un nouveau lot d’explications (+ détaillées que “#erreurumaine”)
Le 17/10/2016 à 13h40
Je ne m’en suis même pas rendu compte….. fier que mon boycott soit efficace. Je n’utilise aucun de leurs produits.
Le 17/10/2016 à 13h41
Le 17/10/2016 à 13h51
127.0.0.1
Le 17/10/2016 à 13h53
authority en anglais, il est bilingue
Le 17/10/2016 à 14h06
Une langue par neurone ? " />
Le 17/10/2016 à 14h06
as tu redémarré ton navigateur ?
Le 17/10/2016 à 17h10
The IT Crowd ? " />
Le 17/10/2016 à 17h47
Ils sont hébergés en Allemagne chez ACCELERATED-IT, DE.
https://whois.domaintools.com/84.200.69.80 " />
Le 17/10/2016 à 17h50
“Villiez dibroucher li cable Airji45 ensouite vi allez ribouter li livebouxe.”
" />
Le 17/10/2016 à 18h00
" />
Le 17/10/2016 à 18h09
C’est noté, on vous tondra dès que Marine sera élue présidente.
Le 17/10/2016 à 18h58
Cela masque plus ou moins le vrai débat : la censure existe bel et bien, et de nouveaux sites ont été visiblement ajoutés !
un petit coup de respect-my-net ?
Le 17/10/2016 à 19h55
Le 17/10/2016 à 20h08
Eh les gens, imaginez un peu la même chose avec FesseBouc … le délire des lycéennes en furie contre l’agrume !
Je suis prêt à tenter l’expérience, juste pour voir
" />
Le 18/10/2016 à 07h03
…. donc on ne peut pas s’en servir ?
Le 18/10/2016 à 07h13
a bon ?
Un serveur DNS s’adresse à un serveur racine dans deux cas :
Donc je ne vois pas pourquoi on peu pas faire du récursif … dessus, c’est bizarre : est-ce bloqué volontairement ?
Moi je pensais que suite au attaque su les root server il y a pas si longtemps de cela qu’ils avaient bloqué les accès … mais visiblement non.
Le 18/10/2016 à 07h33
Les serveurs root sont joignables par n’importe quel serveur récursif, le tien, celui d’orange, d’une petite PME du moment qu’il a les adresses de ces serveurs (que tu trouves aisément sur internet ou directement dans le package de l’applicatif DNS).
Quand tu fais ta requête www.orange.fr. ton serveur récursif si il n’a rien en cache ira demander aux serveurs roots qui fait autorité sur le fr., ils te donneront l’adresse des serveurs de l’AFNIC à qui tu demanderas qui fait autorité sur le orange.fr. où on te donnera l’adresse des NS (name server) d’Orange qui te desserviront les différents records (A, AAAA etc…) pour www.orange.fr.
Donc les root sont bien des serveurs faisant autorité joignables par n’importe qui, ils ne connaissent bien entendu que les NS des TLD (premier élément le plus à gauche du FQDN sauf zone “interne/privée”)
Voilou
Le 18/10/2016 à 07h49
ok, donc pas de cache chez eux(root server) sur les TLD .
Voilà pourquoi …
Mais donc pour avoir un DNS safe ET non filtré : obligé de passé par les DNS des FAI français ?
Donc …. coincé ?
Car je vois bien qu’on peut donc , en effet les (root servers) interroger MAIS qu’ils ne repondont jamais pour un www.toto.fr ….. on passera forcément par le NS d’un FAI ?
Le 18/10/2016 à 08h04
Non du tout, si je te donne l’IP de mon serveur récursif tu peux venir l’utiliser sans aucun souci en te dédouanant des DNS de ton FAI. Sauf si celui-ci via sa box décide de rediriger l’ensemble de ton trafic DNS (peu importe sa destination) sur ses serveurs auquel cas tu devras utilisé un VPN par exemple.
Un serveur faisant autorité n’a pas de cache puisque c’est lui qui a les informations concernant un ou plusieurs domaines (typiquement les root ont le fr / com / net etc…).
Le cache est toujours au niveau des récursifs (OS, navigateur, box) car 80 à 90% des requêtes DNS sont quasiment toujours les mêmes, donc pour éviter au serveur récursif de faire une résolution complète on utilise le système de cache pour gagner du temps (pas besoin d’aller voir X serveurs faisant autorité). Il suffit d’une fois pour que la réponse soit mise en cache avec un TTL (pour éviter justement que lorsqu’on change par exemple une IP pour un www.orange.fr on se retrouve à pointer vers un serveur qui n’existe plus). A son échéance (le TTL) le premier client qui viendra demander au serveur récursif la résolution du FQDN concerné se verra obligé de faire le processus de “récursion” pour récupérer la réponse qu’il mettra en cache pendant une durée determinée par le TTL (choisi par l’admin de la zone).
Ce sont les grandes lignes en gros..
Le souci d’Orange hier, outre le fait qu’ils ont blacklisté google/ovh/wiki, est que tu n’as pas la main sur tous les caches de la Terre. Donc de fait, même si tu rollback (ça prend au grand max 20/30min) ton blacklistage, que tu flush/vide les caches de serveurs récursif du FAI il te restera toujours les caches de l’OS / navigateur / applicatif / box du client dans lequel tu auras la mauvaise réponse (jusqu’à échéance du TTL qui était de 17200sec hier quasi 5h)
Je ne sais pas si j’ai répondu à ta question " />
Le 18/10/2016 à 08h14
Le 18/10/2016 à 08h36
Ah je savais bien que :
“Les serveurs racine sont non-récursifs, c’est-à-dire qu’ils ne fournissent que des réponses qui font autorité, ne transmettent aucune requête à un autre serveur et ne font pas usage d’un cache. Ils ne sont donc pas utilisables directement par un resolver d’un client final.”
Donc c’est niet pour utiliser les Root-dns Directement.
éh éh !
Le 18/10/2016 à 08h37
Tu passeras par le NS d’un FAI si tu requêtes un domaine sur lequel il fait autorité, si tu vas sur www.orange.fr depuis n’importe quel équipement du monde tu passeras forcément par le NS Orange si la réponse n’est pas en cache.
Par contre si tu vas sur www.lequipe.fr tu ne passeras jamais par ton FAI si tu utilises un autre serveur récursif que les siens.
En fait il faut bien voir deux choses, dans le cas du blocage par DNS on utilise le serveur récursif que tout le monde utilise pour que quand on voit passer une requête DNS sur un certain nom de domaine “XXX.terrorisme.fr” on redirige cette requête vers un faux NS qui répondra une adresse IP qui te fait pointer vers le site du ministère.
Si tu as ton propre serveur récursif ou que tu utilises certains qui sont ouvert sur internet tu ne seras potentiellement (dépend de la loi, du pays, et du statut de l’entité qui possède ces serveurs) pas affecté par ce blocage.
Après utiliser google DNS ou autre c’est aussi faire une croix sur sa vie privée par exemple, il faut bien se rendre compte que le trafic DNS permet de connaitre la totalité de l’usage d’internet du client donc ça s’exploite et se monnaye très bien en terme de données.
Le 19/10/2016 à 11h44
Tu n’as pas besoin de “redirecteurs”, si ton bind est configuré en mode récursif et qu’il a la liste des serveurs root (penser à la mettre à jour) ça fera le taf tout seul comme celui de ton FAI.
Le 19/10/2016 à 12h01
Tu VPN , avec quoi ? … mon petit doigt me dit que les chiffrages actuels sont quasi tous cassables par certains états.
La techno quantique est bien en production chez certains (google, ms, militaire, ibm , gemalto …) alors … bon :
http://www.silicon.fr/ordinateur-quantique-chiffrement-obsolete-146667.html
http://www.silicon.fr/gemalto-introduit-physique-quantique-appliances-dencodage-…
http://www.silicon.fr/ordinateur-quantique-google-2017-156567.html
Alors les SSL etc … mdr , par ex. sur mon parefeu je déchiffre à la volée les flux SSL grâce aux certificats intercepté à la volé … un matos obsolète en plus , alors avec les moyens d’un fai : simple.
Le 19/10/2016 à 12h02
ok merci , je vais vérifier ça.
Le 19/10/2016 à 12h05
Perso , j’observe beaucoup de trafic DNS qui part de ma DMZ vers le web : hazard , c’est le serveur windows 2008 R2 de mon fils …
Donc je soupçonne un tunnel DNS actif … mais bon. En gros le ghost in the shell …
C’est ainsi.
Le 19/10/2016 à 12h28
niveau VPN je n’ai pas encore trouvé mon bonheur, j’en essaye plusieurs mais souvent payant pour avoir une BP non bridé et un trafic illimité. Ca commence à vraiment exploser ce marché, ça ne tardera pas à voir débarquer un truc qui fonctionne bien pour peanuts.
Après faut regarder exactement les FQDN de ce trafic DNS, ça sera du teredo.microsoft.ipv6 quelque chose comme ça, mais si ton fils à installer du caca tu auras les malwares/spyware qui font transiter leurs données via le DNS grâce aux enregistrements TXT par exemple (notamment le cas des antivirus et d’apple).
Je te conseille une petite capture puis d’isoler les FQDN pour voir un peu les FQDN requêtés. Tu trouveras peut être quelques surprises pour épurer la bête.
Le 19/10/2016 à 13h57
VPN payant, non, à fuir : autant surfer en HTTP devant la NSA etc.
il y a une recette intraçable, cà me coute 3\( ... et si j veux amplifier le brouillage x X 3\) … et là good luck.
J’ai remarqué quand se faisant tout , trés , trés …. trés petit on se noie dans la traffic au point de devenir invisible … pour mieux ecouter !" />
Le 23/10/2016 à 21h32
L’idée d’empêcher l’accès à une liste de “sites bloqués pour apologie du terrorisme” en reroutant leur accès sur les DNS des opérateurs me paraît fort fragile.
L’adresse du DNS à utiliser pour toute requête web est tout simplement inscrite dans le CLIENT, c’est à dire dans le poste de chaque utilisateur
- sur Windows dans le panneau de configuration / Internet et Réseau / Réseau et Partage / Changer les propriétés de l’adaptateur / Réseau Local (ou sans fil) / Propriétés / TCP IPV4 / propriétés / onglet avancé / DNS.
On peut écrire là-dedans l’adresse qu’on veut. Par défaut, lorsqu’on utilise un wizard de configuration automatique fourni par un FAI, on y trouve donc les adresses du (ou des deux) DNS de son opérateur. Mais si on veut y mettre l’adresse DNS d’un opérateur japonais ou chilien, cela prend trois minutes. Et ces opérateurs-là ne seront pas soumis à la loi française.
A titre d’exercice, on facilement trouver les adresses DNS de Google : 8.8.8.8 et 8.8.4.4. Il est très très peu probable que Google soit soumis à la loi française.
Google
Alors est-ce que notre opérateur va intercepter TOUTES les requêtes DNS, y compris celles qui ne lui sont pas adressées, et les rerouter ?
Et comment ça se passe si le client utilise un VPN vers un serveur étranger (c’est payant, c’est légal et toutes les grandes entreprises en utilisent un pour protéger les communications de leur personnel en déplacement). Alors l’opérateur français ne verra même pas circuler la requête DNS (sauf la première, celle qui permet d’établir le VPN).
Bon, c’est nos impôts qui partent en fumée quand même.