L’incident risque de devenir l'un des plus beaux contre-exemples des procédures de blocage. Ce matin, Google.fr et fr.wikipedia.org notamment ont été qualifiés de sites faisant l’apologie du terrorisme sur les écrans des abonnés Orange. Et ils ont été bloqués pour ce motif. Contactée, Orange invoque l'erreur humaine.
Durant de longues et douloureuses minutes, au lieu et place de la page d’accueil de Google.fr, utilisée par des millions de personnes chaque jour, des abonnés Orange (et de Sosh) sont arrivés sur la page du ministère de l’Intérieur réservée aux sites bloqués pour apologie du terrorisme (http://90.85.16.52/, pour plus de détails, notre actualité).
Et le site du ministère n'a évidemment pas tenu la charge
« Les résolveurs DNS d’Orange, utilisés par la majorité des abonnés, ont redirigé www.google.fr vers l’adresse IP de la page de censure gérée par un sous-traitant du ministère » nous commente Stéphane Bortzmeyer, architecte systèmes et réseaux, spécialisé dans les questions de DNS. « Le site n’a pas tenu la charge, donnant alors l’impression que Google était en panne. En réalité, il n’est pas ‘down’, Google.be fonctionnant parfaitement. »
Voilà pourquoi les gens utilisant d’autres résolveurs que ceux fournis par Orange n’avaient aucun problème d’accès. En façade, Google.fr a ainsi été dénoncé d’abord comme « site terroriste » puis site en panne. Un lourd déficit d’image (voir le succès du hashtag #GoogleDown) même si l’incident n’a duré que quelques dizaines de minutes. « Je n’en connais pas encore les raisons, au pifomètre, cela a duré une demi-heure ».
@nledez idem derrière une livebox #orange et en plus bonus parfois au bout de 2min... pic.twitter.com/URU3sdBShQ
— Yann (@yannux) 17 octobre 2016
Google.fr n’est pas le seul site à avoir souffert de ce bug. Selon Stéphane Borztmeyer (là et là), http://fr.wikipedia.org et OVH.com ont également été détournés vers la fameuse Main Rouge (remplacée depuis par un point d'exclamation) de Bernard Cazeneuve.
Premières pistes d'explications
Quelles sont à tout le moins les pistes d’explications ? « La liste des noms de domaine à censurer est transmise aux principaux fournisseurs d’accès. Cela peut être une erreur dans cette liste, un problème de vérification. Cependant, dans une telle hypothèse, d’autres FAI auraient sans doute dû être impactés. Autre suggestion, une erreur un peu plus loin chez Orange. Tout est possible à ce stade. »
À la vue de cet exemple, Stéphane Bortzmeyer l’assure : « l’ajout de toutes fonctions dans Internet à des fins de censure fragilise le réseau, en rajoutant d’autres acteurs et composantes qui peuvent dysfonctionner ». Celui-ci craint désormais un dommage collatéral : « un nombre incalculable de personnes vont abandonner les résolveurs de leur FAI pour utiliser ceux fournis par de grosses boites américaines comme CISCO, ce qui n’est pas un progrès globalement ».
Nous avions contacté l’OCLCTIC (qui gère la partie juridique du blocage administratif des sites terroristes) et Orange pour comprendre l’origine exacte. Le FAI vient de nous répondre.
Une erreur humaine, selon Orange
« Il s'agit d'une erreur humaine lors d'une opération technique sur un serveur » commente l’opérateur sans plus d'explications, avant de préférer s'attarder sur les effets seulement potentiels (sic) de cette curieuse erreur : « Nos clients ont pu rencontrer des difficultés à se connecter sur le site Google.fr et Wikipedia.fr et se voir reroutés vers un message du ministère de l'Intérieur. L'incident a duré environ une heure. L'accès au site est en voie de rétablissement. Le problème est résolu, mais le trafic sera de nouveau nominal à 11h25. »
Le FAI ajoute : « Il est possible que certains clients doivent vider leur cache ou rebooter leur box, mais tout est résolu », avant de s’excuser « pour la gêne occasionnée ».
Commentaires (237)
j’espere que le gign va pas debarquer
J’ai eu le cas ce matin en FTTH Orange chez 2 clients : site Google qui ne vient pas, depuis 9h30 environ, et ça duré au moins 45 minutes, car vers 10h15 toujours rien, au-delà je n’ai pas pu tester à nouveau.
" />
Pas de message à part “Impossible d’afficher la page” et tout fonctionnait depuis mon portable SFR ou depuis un serveur dédié OVH.
Là je viens de tester à nouveau à distance, c’est ok, ouf
Edit : ajout : avec d’autres DNS, ça ne semblait pas fonctionner non plus tout à l’heure.
le site du ministère n’a évidemment pas tenu la charge
" /> haha
j’imagine la tête du site du ministère de l’intérieur qui s’est fait DDOS par les utilisateurs Orange
" />
google, ovh et wikipedia 
" />
J’aimerai bien connaitre le nombre de requête, juste pour rire.
Le prestataire qui gère le site de censure n’est donc pas en mesure de supporter le traffic de google.fr.
" />
C’te honte!
Comme quoi ils avaient raison, on peut tomber “en toute bonne foi” sur des sites faisant l’apologie du pédoterrorisme
tu m’étonnes!!! tous les abonnés Orange (fixe ET mobile) qui essaient d’accéder à Google ou wikipedia (souvent en venant de google) ça fait un sacré paquet de personne! 
" />
« un nombre incalculable de personnes vont abandonner les résolveurs de leur FAI pour utiliser ceux fournis par de grosses boites américaines comme CISCO, ce qui n’est pas un progrès globalement »
Clairement oui.
Joli fail…
" />
" />
" />
" />
" />
Comme dit par quelqu’un qui s’y connaît :
À la vue de cet exemple, Stéphane Bortzmeyer l’assure : « l’ajout de toutes fonctions dans Internet à des fins de censure fragilise le réseau, en rajoutant d’autres acteurs et composantes qui peuvent dysfonctionner ».
ET comme c’était prédit:
Celui-ci craint désormais un dommage collatéral : « un nombre incalculable de personnes vont abandonner les résolveurs de leur FAI pour utiliser ceux fournis par de grosses boites américaines comme CISCO, ce qui n’est pas un progrès globalement ».
Pour les DNS, c’est déjà fait chez moi. Ça me permet d’avoir TPB tranquille…
Trafic Orange vers google.fr
" /> 
" />
Ce fail de l’agrume nous indique ceci dit que l’infra des censeurs n’est pas pour l’instant dimensionné pour du massif, c’est un détail intéressant
Donc globalement tous les sites peuvent être bloqués sans l’accord d’un juge… Techniquement, Google a perdu des “visiteurs” durant 30minutes (un chiffre négligeable) mais si cela arrive sur tous les DNS de FAI Français (DNS utilisé souvent par défaut par le grand public), qu’arrive-t-il ? Les sites visés peuvent-ils portés plainte car c’est leur chiffre d’affaire qui le subit ?
On commence enfin à voir les dérives qu’on nous signale depuis plusieurs années … Ca ressemble à un mec qui s’est dit : “Tiens on va faire le test, tu veux prendre quels sites ?” “Euh bah google et puis wikipedia tiens” “Ok vas-y c’est rajouté, tu testes ?” “Ouais attends que la réplication DNS fonctionne, mon poste est pas en première ligne” “Et là ?” “Ouais c’est bon, tu peux rollback”.
En quoi ?
Tu ne t’es pas installé un Unbound ?
Quand on a 2-3 connaissances techniques, c’est pas trop dur à faire tourner
Ça va en faire des fichés S…
Merci de l’info, je testerai ça alors, je n’avais pas pris le temps tout à l’heure.
" />
C’est juste un test grandeur nature pour la prochaine demande de censure
" />
" />
Je suis chez Orange mais j’ai vu le problème uniquement sur Twitter, merci Qwant
Le problème est résolu, mais le trafic sera de nouveau nominal à 11h25
Ca veut dire quoi, un trafic nominal ?
Bien content d’être passé depuis un bail sur des DNS OpenNIC tiens…
" />
Mais je le savais que Google préparait un gros coup, ce sont des terroristes !
Je suis abonné Orange et avec les DNS Google je n’ai pas vu le problème. Faut dire que le filtrage par DNS, c’est franchement débile.
Et oui les DNS Google c’est le mal mais au moins ils ne mentent pas, eux. Avec nos lois actuelles impossible de faire confiance à des DNS français.
Je commençais à penser qu’il y’avait un incident dans le data centre d’orange ou je bosse. L’un de mes collègues avait débranché le mauvais câble.
AU final, ça montre la stupidité de cette loi/
Bon faites comme moi ici : montez votre propre DNS soit sur votre poste, soit dans un petit raspberry pi qui reste sur le réseau de la maison et n’utilisez plus le DNS du FAI, on encore, paramétrez à la main les paramètres réseaux en choisissant des DNS propres (OpenDNS ? FDN…).
Mince, je risque la censure pour apologie du terrorisme ! vite, modérez-moi ! ;-)
nominale en réseau veut dire : en situation normal
Par opposition à “dégradé”
J’ai plus accès à Wiki ce matin, et je viens de vérifier, Google est bloqué
" />
Bon pour Google depuis que j’utilise Qwant à 99%…
Ah, voilà pourquoi ça coinçait ce matin au bureau ! (ligne pro Orange)
@Marc: fr.wikipedia.org et wikipedia.fr ne sont pas du tout les mêmes noms de domaines et ne pointent pas aux mêmes endroits.
edit: le .org est inaccessible et le .fr est ok
valeur nominal : en l’absence de l’influence d’une variable donnée.
Toujours bloqué sur box Orange pro.
" />
Chapeau les mecs
Au lieu de faire confiance à ton FAI (qui répond au droit francais) tu vas faire confiance à un tiers qui répond aux droits d’un autre pays en terme de :
Aussi, dans ce cas le DNS va tendre vers un unique prestataire et il y aura donc des soucis de SPoF. Ce prestataire sera aussi plus la cible des méchants de l’Internet
C’est d’ailleurs une bonne occasion de forcer orange a nous laisser changer le dns de la box non ?
" />
" />
Perso je trouve cela inadmissibie de ne pas nous laisser le choix de changer le dns, j’ai une dizaine d’appreil chez moi et c’est rellement une plaie de ne pas pouvoir le faire directrement depuis la box
Rien ne t’assures que le résolveur ne ment pas (pour des raisons commerciales ou politiques), sans parler qu’un serveur peut logguer toutes tes requêtes DNS et les filer au pouvoir politique en place.
Voir l’exemple d’OpenDNS
A défaut d’être en mesure de savoir installer et administrer son propre résolveur, il faut passer par des serveurs en qui ont peu avoir confiance. J’aurai tendance à conseiller ceux de FDN
Une erreur humaine, sans doute, mais ce n’est pas un hasard si les deux domaines bloqués sont des domaines associés à des sites d’info et de recherche. Il y a bien derrière une intention de filtrage, et une attention toute particulière pour ces sites.
L’erreur humaine comme justification, c’est un peu court.
T’es censé bosser, pas glander sur Wikipedia
" />
" />
8.8.8.8 / 8.8.4.4
Ca réveillera ceux qui utilisent encore les DNS FAI
Bernard appréciera
Ca sent la nouvelle loi pour réguler les serveurs DNS, ces tueurs d’enfants
C’est dingue les conneries que font les stagiaires !
" />
" />
Vivent les DNS alternatifs !!
C’est normal qu’il n’y ait plus de trafic quand l’Orange passe au rouge.
" />
Comprend pourquoi je ramais ce matin au boulot avec google.
" />
Le pire, c’est que ça doit pas être loin de la vérité …. (pour le stagiaire)….
Wikipedia et Google encore bloqué au boulot T_T
Sauf que pour les services de la LB et du décodeur, Orange doit sans doute avoir fortement besoin d’utiliser ses DNS “interne orange” avec des enregistrements régionalisés. Assez classique dans une architecture grande échelle.
Je me pose d’ailleurs la question des histoires de cache et autre CDN présent sur le réseau Orange. Parce que si tu utilises les DNS Google et que du coup tu vas chercher toutes tes données aux USA au lieux de les prendre en France, je suis pas certain que tu ais gagné au change.
Le problème c’est qu’en plus dans ces foutues livebox orange on ne peut même plus mettre un autre DNS que celui d’orange
Le nombre de personnes autour de moi pour qui internet=google ><
Ouch. Du coup, obligé de faire ça machine par machine. Et dans le *** pour les smartphones, consoles et je ne sais quoi qui sont ont besoin d’un accès Internet sur lesquels ont ne peut pas toucher à la config DNS.
" />
Il y a Internet et Internet par Orange
J’utilisais les résolveurs de FDN et j’avais le problème.
C’est pas vraiment une raison :
Et puis plus que ça, ne pas vouloir donner la possibilité de le changer est juste inadmissible pour ma part, il y a beaucoup de raisons à vouloir le changer, et l’exxuse du “la pluspart des users ne s’en servent pas” me rende triste chaques jours
Pour la box je fais simple : elle ne me sert que de modem. Pour le reste j’ai un routeur derrière sur lequel je gère mon réseau. Comme ça : tranquille.
On a un idée du nombre de requêtes redirigées ?
Et sinon, les DNS de l’asso FDN fonctionnent toujours, sans censure…https://www.fdn.fr/actions/dns/
« Il s’agit d’une erreur humaine lors d’une opération technique sur un serveur » commente l’opérateur.
il va y avoir une place qui va se libérer chez orange.
comment fait-on pour postuler à ce poste ?
intitulé du poste : modérateur de l’internet by Orange
" />
“Heureusement”, que ce n’est pas le site d’un anonyme bloqué à tord…
Comment ça ? Ce serait déjà passé inaperçu ?
Cool d’avoir des news !!
Je me demandais justement pourquoi je n’arrivais pas à accéder à Google depuis le boulot.
Nope.
" />
Changez de FAI
d’ailleurs, est-ce que la Freebox mini 4k et la Bbox Miami utilisent les serveurs DNS du FAI ou de Google ?
Oui, coller un autre routeur… enfin, ça engendre pas mal de frais si c’est juste pour passer outre le manque d’option du routeur FAI
" />
Excellente attaque ddos
" />
Il y a un coté véridique… un absusse?
Vivement l’amende de plusieurs milliards de dollars payée par Orange, l’état, les contribuables et décidée par un tribunal privé grâce au CETA/TAFTA
" />
Dns du fai, mais que tu peux changer dans les paramètres de la box 
" />
12H30 : google.fr fonctionne, ouais !
" />
fr.wiki non.
Ça doit être tellement jouissif de voir sa requête web aboutir sur les sites du gouvernement.
Heureusement qu’un terroriste ne sait pas changer un DNS.
“C’est Roger chef, il a voulu brancher le détecteur de mensonge sur le modem et ça a tout fait péter le machin.”
Google.fr bloqué pour apologie du terrorisme
On s’attaque enfin à la responsabilité des intermédiaires, il était temps
Plusieurs millions de terroristes potentiels privés d’un site qui en fait l’apologie, les RGs vont avoir du boulot pour faire les fiches S
" />
La liste des serveurs est disponible ici :https://servers.opennicproject.org/
Le tracking.
Le site du ministère de l’intérieur ne répond plus? C’est l’Irak, l’Afghanistan, la Libye ou la Syrie qui l’ont bombardé avec des avions français?
" />
OK. Abonnement gratuit Orange sur présentation d’une Fiche S.
Bonne idée !
« Il s’agit d’une erreur humaine lors d’une opération technique sur un serveur » commente l’opérateur. « Nos clients ont pu rencontrer des difficultés à se connecter sur le site Google.fr et Wikipedia.fr et se voir reroutés vers un message du ministère de l’Intérieur. L’incident a duré environ une heure. L’accès au site est en voie de rétablissement. Le problème est résolu, mais le trafic sera de nouveau nominal à 11h25. »
ca veut surtout dire qu’ils sont en train de bien nous la mettre profonde et d’orienter Toutes nos recherches ….
E n plus de falsifier les DNS …
Donc 8.8.8.8 et surtout VPN Russe.
MAis plus que tout on appelle cela de la dictature , quand c’est en Chine on appelle de cela comment ?
“Les français sont des veaux”
Une petite liste de serveurs DNS public au cas où : Liste à utiliser en cas de panne 
](https://cdn2.nextinpact.com/smileys/transpi.gif)
lol, tu crois que la box suis QUE les DNS saisies ?
ah ah.
Quand vous aurez compris qu’une BOx est un corps étrangers à votre réseau vous aurez progressé … un peu.
D’aprés vous pourquoi vous ne pouvez pas vous accrocher directement aux DNS root ?
Pour ceux qui en auraient assez de l’incroyable inefficacité d’un service DNS qui, de plus, est intrusif ; pas besoin de partir chez cisco… :
https://www.opennicproject.org/
Merci pour l’information. Cmd.exe m’indique bien que le cache a été vidé mais toujours pas de Google et de fr.wikipedia.org
" />
" />
Après on n’a pas une box comme les particulier mais un grand machin qui s’imbrique dans la baie de distribution.
Je ne parle même pas de ça, mais qu’on puisse au moins changer le dns par défaut.
" />
Et c’est bien beau de vouloir remplacer la box par un modem, mais actuellement je suis pas sur d’avoir les compétences pour prendre un modem compatible openWRT et de le configurer correctement pour le rendre compatible avec le reseau orange.
Et je parle même pas du prix, étant pas encore riche, le modem le moins cher que j’ai pu trouver est quand même à 100 balles, ça me ferait chier d’acheter un materiel à ce prix si je n’arive pas à el faire fonctionner correctement
Perso je n’ai plus le blocage sur google.com mais impossible d’accéder à youtube.com sans modifier les DNS justement.
Pas de redirection vers le site du ministère de l’intérieur ^^
et qui dit que ça pas été fait exprès juste pour montrer la stupidité de la lois et du blocage par DNS ?
“Erreur humaine”, et la marmotte…
Heu.. parce qu’ils ne sont pas fait pour ça?
non, faux débat : tu prends un pare-feu matériel à 100-130 euros et tu le places derrière ta box , ton Lan après … et tu vis beaucoup mieux !
… éh éh.
tu as des DNS de différent niveau celui que tu vas monter dans ta cave n’aura pas accés au dns root de level 1 … c’est ainsi.
seul les fai y ont accès … (si je ne me plante pas)
Heureusement que c’était pas Facebook qui été bloqué sinon on aurait eu une vague de suicide sans précédent. lol
Ca aurait ptet pas été un mal. Vive la sélection naturelle
" />
Bah, si tout ce qu’ils font comme blocage, c’est du DNS, ils vont pas aller bien loin.
ça ne passe pas outre, mais configurer mes raspberry pi + mes deux ordis portables + mon ordi fixe + 2 smartphones + une tablette, sans compter ceux que je prendrais plus tard ça deviens très long à force.
Alors que chez free je le faisait direct sur la box, un paramètre à changer et c’est fait pour tous les appareils actuels et à venir…
Et prendre un pare-feu materiel peux etre la solution, mais dépenser 120 balles pour une fonctionnalité présent chez tous les autres fai…
On ne peut définitivement pas faire confiance aux humains, ils font trop d’erreur
Si ça intéresse des gens, voici un routeur sous OpenWRT à 23€:
https://www.amazon.fr/gp/product/B015CYDVG8
Il fait du LAN (100Mb), du Wifi N, et OpenWRT est préinstallé (une version customisée par le fabriquant). Je m’en suis servi pour un pote; ça marche nickel.
Merci
" />
+1
Toujours pas de wiki.fr à 14H05.
" />
" />
=> appel à la hotline pro 3901 :
“Vous êtes actuellement très nombreux à nous appeler” + “Au revoir et à bientôt chez Orange”.
Parce que les root sont des serveurs faisant autorité gros débile, ils n’ont aucunes fonctionnalités pour faire de la “récursion”… Les mecs qui parlent sans savoir sont vraiment marrant
C’est l’installation d’une boîte noire qui a foiré c’est ça ? C’est pour récupérer toutes les requêtes DNS des abonnés Orange vu qu’ils ne peuvent pas changer les DNS au niveau du routeur. Et comme il doit y avoir 1 % des abonnés qui savent comment y remédier…
" />
Ben non.. le DNS ne que je vais monter dans ma cave aura autant de “privilèges” que celui de mon FAI
(fichier root.hints dans unbound)
Les root DNS ne sont pas des resolveurs, il ne font pas non plus authorité.
Il ne sont là que pour rediriger vers le DNS du TLD demandé qui ensuite redirigera vers le DNS du domaine demandé qui lui fera résolveur.
L’avantage d’utiliser les DNS du FAI ou d’un service tiers, cest de déléguer la maintenance.
L’inconvéniant, cest de faire confiance à ce tiers.
D.N.S d’Orange par défaut j’ai pas vu le blocage 
" />
Bien sûr que si les root font autorité sur le “.”, tu y récupèreras les NS des TLD soit fr. / com. / net. et ainsi de suite…
C’est un peu triste de voir autant de commentaires techniques alors que les gens n’y connaissent rien, et ça se permet de beugler à tout va alors que ça comprend même pas le fonctionnement basique du protocole
De l’avantage de se lever à 11h30 !
" />
Je n’ai jamais parlé de “.” dans mon commentaire, je faisais le focus sur le domaine.
Et donc je maintiens que les DNS roots ne font pas authorité sur , par exemple, machin.fr
touché 
" />
“Les root DNS ne sont pas des resolveurs, il ne font pas non plus authorité.” Et bien si ils font autorité sur le “.” ! Ta phrase est fausse c’est tout simple.
Par contre je suis d’accord sur le fait que le root ne fait pas autorité sur machin.fr. qui lui aura pour serveur faisant autorité un serveur du genre ns1.machin.fr. (mais dans ce nom de domaine tu as minimum 3 serveurs faisant autorité à contacter si rien en cache bien évidemment pour faire ta résolution).
Mon FAI est Orange et je n’ai eu aucun problème.
Ah oui, je n’utilise pas les DNS menteur d’Orange.
J’utilise le serveur DNS qui est installé sur mon PC.
J’ai donc accès à tous les sites même ceux bloqué par l’état.
Tu sais il n’y a pas que ceux d’Orange qui mentent, Free / SFR / Bouygues aussi vu qu’ils sont sous le coup de la loi..
Ouais, si on enlève le contexte et que l’on pioche la phrase comme ca c’est sûr.
Par contre, je pense que tu te plante en disant qu’il y a minimum 3 serveurs faisant authorité. Je crois que c’est deux.
Je ne me permettrais pas pour autant que rajouter “gros débile” ni “beugle” à ton propos :)
Bonjour c’est quoi le Meilleur DNS que vous avez configurer ?
C’était pas pour toi le gros débile, mais ledukmachinchouette
" />
Il y en a bien trois (dans l’hypothèse où ton machin correspond à un orange/free/lefigaro), le “.”, le “.fr” et le “.machin” ou deux si machin.fr. est un enregistrement du domaine “.fr”
Tout à fait d’accord, juste qu’ici il faut tout préciser sinon les gens vont encore crier au complot, à mort Orange et fanboyisme de Free. Ce n’est pas contre toi, mais pour les autres
" />
FYI je vais revenir sur le sujet en espérant un nouveau lot d’explications (+ détaillées que “#erreurumaine”)
Je ne m’en suis même pas rendu compte….. fier que mon boycott soit efficace. Je n’utilise aucun de leurs produits.
127.0.0.1
authority en anglais, il est bilingue
Une langue par neurone ?
" />
as tu redémarré ton navigateur ?
Non, mais c’est revenu depuis 1h.
Merci à tous.
J’espère qu’il est polyglotte…
" />
certaines box s’en foutent.
le traffic dns peut être rerouté dans son intégralité vers les serveurs du FAI.
Pour les feignants, il y a une méthode qui fonctionne bien. Depuis sa dernière mise à jour,le navigateur Opéra sur PC propose un VPN gratuit dans son mode de navigation privé.
Du coup ça permet non seulement de zapper les filtrages DNS, mais aussi le filtrage IP et le filtrage géographique (Copyright vidéo)
Et sinon, c’est combien le préjudice pour Google et OVH ?
Tu peux aussi tester les DNS de DNS.watch, ils sont aussi “propres”, DNSSec et neutres.
" />
https://dns.watch/index
17/10/2016 : Le jour où l’internet Français s’arrêta.
" />
Have you tried turning it off and on again ?
The IT Crowd ? 
" />
Ils sont hébergés en Allemagne chez ACCELERATED-IT, DE.
" />
https://whois.domaintools.com/84.200.69.80
“Villiez dibroucher li cable Airji45 ensouite vi allez ribouter li livebouxe.”
" />
C’est noté, on vous tondra dès que Marine sera élue présidente.
Cela masque plus ou moins le vrai débat : la censure existe bel et bien, et de nouveaux sites ont été visiblement ajoutés !
un petit coup de respect-my-net ?
Eh les gens, imaginez un peu la même chose avec FesseBouc … le délire des lycéennes en furie contre l’agrume !
" />
Je suis prêt à tenter l’expérience, juste pour voir
…. donc on ne peut pas s’en servir ?
a bon ?
Un serveur DNS s’adresse à un serveur racine dans deux cas :
Donc je ne vois pas pourquoi on peu pas faire du récursif … dessus, c’est bizarre : est-ce bloqué volontairement ?
Moi je pensais que suite au attaque su les root server il y a pas si longtemps de cela qu’ils avaient bloqué les accès … mais visiblement non.
Les serveurs root sont joignables par n’importe quel serveur récursif, le tien, celui d’orange, d’une petite PME du moment qu’il a les adresses de ces serveurs (que tu trouves aisément sur internet ou directement dans le package de l’applicatif DNS).
Quand tu fais ta requête www.orange.fr. ton serveur récursif si il n’a rien en cache ira demander aux serveurs roots qui fait autorité sur le fr., ils te donneront l’adresse des serveurs de l’AFNIC à qui tu demanderas qui fait autorité sur le orange.fr. où on te donnera l’adresse des NS (name server) d’Orange qui te desserviront les différents records (A, AAAA etc…) pour www.orange.fr.
Donc les root sont bien des serveurs faisant autorité joignables par n’importe qui, ils ne connaissent bien entendu que les NS des TLD (premier élément le plus à gauche du FQDN sauf zone “interne/privée”)
Voilou
ok, donc pas de cache chez eux(root server) sur les TLD .
Voilà pourquoi …
Mais donc pour avoir un DNS safe ET non filtré : obligé de passé par les DNS des FAI français ?
Donc …. coincé ?
Car je vois bien qu’on peut donc , en effet les (root servers) interroger MAIS qu’ils ne repondont jamais pour un www.toto.fr ….. on passera forcément par le NS d’un FAI ?
Non du tout, si je te donne l’IP de mon serveur récursif tu peux venir l’utiliser sans aucun souci en te dédouanant des DNS de ton FAI. Sauf si celui-ci via sa box décide de rediriger l’ensemble de ton trafic DNS (peu importe sa destination) sur ses serveurs auquel cas tu devras utilisé un VPN par exemple.
" />
Un serveur faisant autorité n’a pas de cache puisque c’est lui qui a les informations concernant un ou plusieurs domaines (typiquement les root ont le fr / com / net etc…).
Le cache est toujours au niveau des récursifs (OS, navigateur, box) car 80 à 90% des requêtes DNS sont quasiment toujours les mêmes, donc pour éviter au serveur récursif de faire une résolution complète on utilise le système de cache pour gagner du temps (pas besoin d’aller voir X serveurs faisant autorité). Il suffit d’une fois pour que la réponse soit mise en cache avec un TTL (pour éviter justement que lorsqu’on change par exemple une IP pour un www.orange.fr on se retrouve à pointer vers un serveur qui n’existe plus). A son échéance (le TTL) le premier client qui viendra demander au serveur récursif la résolution du FQDN concerné se verra obligé de faire le processus de “récursion” pour récupérer la réponse qu’il mettra en cache pendant une durée determinée par le TTL (choisi par l’admin de la zone).
Ce sont les grandes lignes en gros..
Le souci d’Orange hier, outre le fait qu’ils ont blacklisté google/ovh/wiki, est que tu n’as pas la main sur tous les caches de la Terre. Donc de fait, même si tu rollback (ça prend au grand max 20/30min) ton blacklistage, que tu flush/vide les caches de serveurs récursif du FAI il te restera toujours les caches de l’OS / navigateur / applicatif / box du client dans lequel tu auras la mauvaise réponse (jusqu’à échéance du TTL qui était de 17200sec hier quasi 5h)
Je ne sais pas si j’ai répondu à ta question
Ah je savais bien que :
“Les serveurs racine sont non-récursifs, c’est-à-dire qu’ils ne fournissent que des réponses qui font autorité, ne transmettent aucune requête à un autre serveur et ne font pas usage d’un cache. Ils ne sont donc pas utilisables directement par un resolver d’un client final.”
Donc c’est niet pour utiliser les Root-dns Directement.
éh éh !
Tu passeras par le NS d’un FAI si tu requêtes un domaine sur lequel il fait autorité, si tu vas sur www.orange.fr depuis n’importe quel équipement du monde tu passeras forcément par le NS Orange si la réponse n’est pas en cache.
Par contre si tu vas sur www.lequipe.fr tu ne passeras jamais par ton FAI si tu utilises un autre serveur récursif que les siens.
En fait il faut bien voir deux choses, dans le cas du blocage par DNS on utilise le serveur récursif que tout le monde utilise pour que quand on voit passer une requête DNS sur un certain nom de domaine “XXX.terrorisme.fr” on redirige cette requête vers un faux NS qui répondra une adresse IP qui te fait pointer vers le site du ministère.
Si tu as ton propre serveur récursif ou que tu utilises certains qui sont ouvert sur internet tu ne seras potentiellement (dépend de la loi, du pays, et du statut de l’entité qui possède ces serveurs) pas affecté par ce blocage.
Après utiliser google DNS ou autre c’est aussi faire une croix sur sa vie privée par exemple, il faut bien se rendre compte que le trafic DNS permet de connaitre la totalité de l’usage d’internet du client donc ça s’exploite et se monnaye très bien en terme de données.
Oui c’est ce que je t’explique depuis tout à l’heure, il faut forcément un serveur récursif dans la chaine. Mais le serveur root est ouvert à tout le monde, tu peux le requête il te répondra sur ce qu’il sait pas plus !
SI tu lui demandes de te résoudre www.orange.fr il te répondra uniquement qu’il connait les NS de fr. Et ça s’arrêtera là, ensuite c’est ton serveur récursif qui s’occupe de faire le reste
tu ne réponds pas là : :-)
Ton DNS recurcifs etc … ok , pas de souci … sauf que ton DNS recurcifs ou prends-il ses infos sur ovh.net. (par exemple) ?
(car il doit être redirecteur) … moi je te dit que tu est coincé … tu passeras forcément par un TLD (de niveau un ) et là : moooouuukkk , blocage des OIV
https://fr.wikipedia.org/wiki/Op%C3%A9rateur_d%27importance_vitale
https://www.ssi.gouv.fr/entreprise/protection-des-oiv/
… et qui sont les NS de fr ?????
> server 192.33.4.12
Serveur par dÚfaut : [192.33.4.12]
Address: 192.33.4.12
> fr.
Serveur : [192.33.4.12]
Address: 192.33.4.12
Nom : fr
Served by:
193.176.144.22
2a00:d78:0:102:193:176:144:22
fr
194.0.9.1
2001:678:c::1
fr
194.0.36.1
2001:678:4c::1
fr
194.146.106.46
2001:67c:1010:11::53
fr
192.5.4.2
2001:500:2e::2
fr
>
Tu n’as pas compris, tu confonds serveur faisant autorité et serveur récursif…
Faut voir le serveur qui fait autorité comme l’annuaire téléphonique et le serveur récursif comme toi/quelqu’un de te famille.
Quand tu veux le numéro de monsieur Dupont pierre, tu ouvres ton botin et tu cherches monsieur Dupont Pierre dans la ville correspondante et tu y trouves son numéro de téléphone.
Si c’est toi qui cherche le numéro de Pierre tu ne risques aucun blocage puisque c’est écrit noir sur blanc, par contre si tu demandes à quelqu’un de chercher pour toi la personne peut très bien te donner un autre numéro. Et bien pour le DNS c’est pareil. Les FAI utilisent les serveurs récursif, celui en charge de la résoudre la question (requête DNS) pour mentir. En aucun cas les serveurs faisant autorité n’ont leur mot à dire dans cette résolution donc si tu utilises ton propre serveur récursif tu ne risques aucun blocage
Les NS de fr. sont :
fr. 25337 IN NS f.ext.nic.fr.
fr. 25337 IN NS g.ext.nic.fr.
fr. 25337 IN NS e.ext.nic.fr.
fr. 25337 IN NS d.nic.fr.
fr. 25337 IN NS d.ext.nic.fr.
après c’est ton serveur récursif qui choisit lequel il va aller interroger, ils sont tous identiques ! Donc peu importe lequel il requête t’auras la même réponse !
ca j’ai compris, pas de souci.
Ce qui me gène c’est que quoi qu’il arrive tu tombes sur ces serveur TLD (niveau1) et donc le blocage DNS est fait à ce niveau et bien on ne peut rien y faire ?
that’s it ?
pour moi c’est l’afnic … mais l’afnic c’est un société avec un chiffre d’affaire de 13 millions d’euro en 2012 ..
“L’AFNIC est composée de membres : représentants des pouvoirs publics, Bureaux d’enregistrement (qui commercialisent les noms de domaine), personnes morales (associations d’utilisateurs, etc.), personnes physiques (particuliers) et associations ou organisations nationales ou internationales.”
Non non le blocage n’est pas fait au niveau du TLD, le blocage est fait chez ton FAI qui créé un faux serveur faisant autorité sur sa plateforme sur lequel il redirige toutes les requêtes de type XXX.terrorisme.fr / jeregardeduporno.com etc.. Ta requête DNS ne sort même pas de sa plateforme, elle est directement envoyé sur ce faux serveur faisant autorité qui ment sur la réponse.
C’est poru ça que si tu utilises un autre DNS que celui des FAI tu n’auras pas de blocage (ou très peu dépend du pays/loi/statut de l’entité qui héberge le serveur récursif)
Donc … on est d accord blocage niveau TLD …. (j’ai bien compris que le FAI son DNS je m’en fous, je peux aisément le bypasser) … mais les TLD : c’est un autre histoire !
Et ce qui me gène c’est qu’il suffit d’agir à ce niveau pour bloquer une reqête DNS !
Ce que tu soulignes d’ailleurs : “ou très peu dépend du pays/loi/statut de l’entité qui héberge le serveur récursif”
Sur l’afnic qui détient et gère les TLD :
“
Missions
Les missions de l’AFNIC sont définies à l’article 2 de ses statuts4.
Pour favoriser le développement de l’Internet en France, l’objet de l’Association est d’assurer les missions suivantes :
toute mission qui lui aura été confiée par les pouvoirs publics dans le cadre de la gestion de l’Internet.
“
C’est ici :
https://www.legifrance.gouv.fr/eli/arrete/2012/6/25/PMEI1226185A/jo/texte
C’est bien contrôlé par l’état, sous couvert d’etre une assoc. :
Mise en place d’un dispositif de notification aux services de l’Etat
des atteintes ou tentatives d’atteintes à la sécurité du service
L’office d’enregistrement définit avec l’Agence nationale de sécurité des systèmes d’information, dans le cadre d’un protocole de sécurité un dispositif de notification des atteintes ou tentatives d’atteintes à la sécurité de son service.
Modalités d’audits de la sécurité
et de la résilience des infrastructures
Les modalités d’audit de la sécurité et de la résilience des infrastructures de l’office d’enregistrement sont définies entre l’office d’enregistrement et l’Agence nationale de sécurité des systèmes d’information dans le cadre d’un protocole de sécurité.
C’est hallucinant comment internet a été verrouillé en si peu d’année !
je me demande si il n’existe pas un moteur de recherche/outil pour avoir une cartographie du web via les adressage IP public , et pas avec les FQDN
Oui et non parce que le TLD n’est requêté que si dans ta requête tu utilises ce TLD, tu n’iras jamais voir les NS de l’AFNIC pour un domaine en .net / .com etc..
Il faudrait demander à tous les TLD de faire les blocages de sa branche (théoriquement faisable), et chaque TLD est établit dans un pays avec des lois différentes donc pas possible. Aujourd’hui la France ne peut pas forcer l’entité qui s’occupe du .com à bloquer le domaine jesuisunterro.com, tu ne peux pas non plus demander aux Chinois de bloquer terrorisme.cn ils vont te rire au nez.
Du coup le moyen le plus simple, qui touche le plus de monde (mais qui est facilement contournable) est de bloquer au niveau des serveurs récursifs parce que tout le monde passe par là de base (avant toutes modifications de la part du client) avec l’accès internet du FAI français. Et là tu peux bloquer n’importe quel domaine grâce au faux serveur faisant autorité avec redirection des requêtes qui arrivent sur le serveur récursif, ça ne sort pas de la plateforme du FAI donc aucune chance d’aller attraper le bon enregistrement DNS, du coup BAM on te ment et on t’envoie sur la jolie page qu’on a vu hier en fonction du site que tu visites (terrorisme, pedoporno, blocage arjet et j’en passe)
je le voyais pas comme cela ! (shame on me)
en effet avec les transferts de zones tu peux pas bloquer au niveau TLd : yep.
sinon tu pourris les autres … TLD , mondiaux ! (tu me corriges si c une conneries)
donc si tu t’accroches sur un TLD style x.ext.nic.fr (ou même d’un autre pays en fait !) , tu n’est pas embêté ?
Quand l’hébergeur du nom de domaine est français, il est sous le couvert de la loi francaise donc si tu as un site de type jesuisunterro.fr tu as de forte chance pour que celui-ci soit bloqué au niveau de l’AFNIC car il gère le .fr, par contre pour les autres (comme expliqué avant) tu ne peux rien y faire donc tu passes par le FAI.
C’est pour ça que tu vois T411 changer constamment de TLD (il y a eu .fr, .io etc..), aujourd’hui ils sont en .ch (Suisse). L’AFNIC ne peut rien faire, le blocage sera donc fait par le FAI après décision de la justice francaise.
Ce qui faut voir en terme de serveur faisant autorité c’est que l’infrastructure DNS est distribuée et hiérarchisée ce qui fait que c’est très robuste mais aussi un vrai poulpe géant quand tu veux réaliser des blacklistages.
Si demain les serveurs AFNIC tombent, tu n’auras que les noms de domaines en .fr injoignables tout le reste (com/net/cn) continuera de fonctionner.
Il faut voir la structure du DNS comme un arbre inversé où le “.” soit les serveurs root est la base, ensuite on délègue à d’autres serveurs faisant autorité les TLD, AFNIC pour le .fr, DENIC pour le .de etc.. et ainsi de suite, l’AFNIC délègue des sous domaines à Orange, SFR, Free voire même à toi si tu veux avoir ton nom de domaine ledufakademy.fr. et ainsi de suite
Non, ton serveur récursif chez toi interrogera bien un serveur root (qui est accessible par n’importe qui) quand son cache aura expiré pour savoir à qui demander qui gère le domaine net, puis il demandera, à un serveur qui gère net, qui gère ovh.net et enfin, il demandera de résoudre ovh.net à l’un des serveurs DNS d’ovh qui gère leur domaine.
Ce n’est même pas une question de transfert de zones, c’est juste que le DNS est régi par un organisme mondial appelé l’ICANN qui donne des droits et “privilèges” à d’autres organisme pour gérer une partie des noms de domaines dans le monde.
Nous on segmenté ça avec les TLD, chaque TLD est géré par un organisme différent (bon des fois un organisme en gère plusieurs), qui eux même donne des droits à d’autres entités (entreprises / particuliers) pour gérer des noms de domaines.
… le miens est chez ovh, et c’est “anycast.me” (donc ovh) qui gère mes enregistrements DNS . (MX, NS etc)
Si tu diffuses de la merde avec un nom de domaine en .fr tu seras rapidement blacklisté directement par l’AFNIC sous décision de justice. Le blacklistage AFNIC est puissant car peu importe avec qui tu les interrogeras (n’importe quel recursif google, opendns, le tien) ton domaine ne sera pas accessible puisque c’est l’AFNIC la référence du .fr, en gros l’éditeur de l’annuaire téléphonique français (il raye ta ligne ou donne une adresse qui t’envoie au commissariat).
Si par contre tu as ton leduk.cn (nom de domaine en Chine), tu seras blacklisté niveau FAI donc là tu pourras quand même accéder à ton site via d’autres récursifs que les FAI français.
Donc si je monte mon bind (local) avec les root server comme redirecteur ca passe ? pas sure … là.
Le .me c’est le montenegro, OVH doit aller là bas car en terme de loi ça doit être souple je pense (tout en restant dans l’UE geographiquement parlant, les accords tout ça).
Donc le me est géré par un organisme comme l’AFNIC, qui a vendu le sous domaine anycast à OVH qu’on voit bien quand on fait un whois.
Du coup si tu diffuses du contenu illicite avec ce nom de domaine, tu seras blacklisté au niveau FAI et non TLD.
Oui, ça passe. Sûr et certain : comme indiqué plus haut, les serveurs root me répondent quand je les interroge depuis mon abonnement Orange.
C’est simplement pour avoir “me” (= moi en anglais) en premier niveau. C’est un nom de domaine pour narcissiques. Rien à voir avec les lois plus souples.
Ton BIND au moment où tu l’installeras aura dans sa configuration la liste des serveurs root, ce sont les premiers serveurs que ton BIND (serveur récursif) ira voir lorsque tu demanderas la résolution d’une requête quelle qu’elle soit (sauf si tu as du cache).
Processus de récursion basique, je contacte le root, qui me donne le NS du TLD,
Je contacte le TLD qui me donne le NS du sous domaine
Je contacte le sous domaine qui me donne soit l’enregistrement demandé si j’ai demandé un FQDN de cette zone là, auquel cas il me donnera le NS du sous sous domaine
Pour www.orange.fr. tu iras voir 3 serveurs faisant autorité (le root, le .fr et celui d’Orange), pour bobmoutarde.free.fr. tu iras en voir 4 parce que c’est mon domaine (root / fr / free et bobmoutarde)
ouaih moi aussi , si je me place sur un root server , et si je lui demande ledufakamdy.fr il réponds d’allez sur un autre NS (x.ext.nic.fr) MAIS ne me jettent pas .
j’étais persuadé qu’il me jette !
yep, pas de souci je le vois comme ça moi aussi.
je pensais pas qu’on pouvait mettre les root server dans ses redirecteurs, je suis surpris.
Bien sûr, ils sont ouvert à tout le monde. Juste que ce n’est pas lui qui fera la résolution complète de ta requête. Il te dira juste je ne connais pas www.orange.fr. mais je connais .fr. voilà son adresse.
Si tu demande www.orange.fr. aux NS de l’AFNIC ça sera pareil, je ne connais pas www.orange.fr. mais je connais orange.fr. voilà son adresse.
Tous les serveurs faisant autorité sont joignables unitairement mais ne se permettent pas de répondre sur un “secteur qui n’est pas le leur”, ils donnent en réponse ce qu’ils savent ni plus ni moins. C’est pour ça qu’on utilise un serveur récursif qui se charge de faire l’ensemble des échanges avec tous les serveurs faisant autorités que tu vas devoir aller voir pour résoudre ta requête et avoir ta petite réponse.
https://howdns.works/ plutôt bien fait, pour comprendre globalement le truc (c’est en anglais)
… ouaih, bon, faut pas déconner non plus , je connais quand même le DNS !
" />
Et le troubleshooting d’un DNS …
J’en monte pas tout les jours, et surtout une fois en place et en prod. je ne suis pas dessus toute l’année.
oh ho , lol.
Ca c’est vu
" />
De même
" />
Question en passant:
Les trames DNS sont facilement identifiables ?
Si oui, qu’est-ce qui empêche le FAI de mentir «de temps en temps» ?
Oui très facile, protocole dédié qui utilise le port 53 (soit en dest ou source suivant le sens dans lequel tu te places) souvent en UDP. Après tu as la possibilité de chiffrer le trafic DNS, très peu répandu aujourd’hui, et tu as DNSSEC qui permet de prouver l’authenticité, l’intégrité et la preuve de non existence d’un enregistrement à l’aide d’un système de signature (pour faire rapide).
Rien n’empêche le FAI propriétaire du serveur récursif de spoofer une réponse effectivement, c’est pour ça qu’il vaut mieux avoir son propre serveur (après tu as l’attaque de cache poisoning) que de faire confiance à un tiers type google, des open resolver que tu trouves en pagaille sur le net.
Le FAI étant sous le coup de la loi française, mentir sur autre chose que ce qui est décidé par l’Etat (blacklistage réglementaire) est très dangereux pour eux.
Pour résumé, quelle est ta recette : quels DNS utilises tu ?
Autre truc , les FAI ne doivent surement pas prioriser le traffic DNS (53 upd/tcp) sur les routeurs BGP (inter fai etc) …
DONC :
est-ce que se passer du dns fai pénalise en terme de perf ?
(avec les caches je dirai non .. mais bon …)
Le mien, j’ai testé BIND/unbound ça marche bien. Ensuite tu peux utiliser un routeur comme le omnia turris (un peu cher) qui a un serveur DNS.
Parfois tu dois passer par le DNS de ton FAI pour accéder à certains services donc tu switches.
Les caches contiennent environ 90% des réponses, donc clairement pas pénalisé. Après clairement que si utilises un récursif où faut que tu te manges un lien transatlantique forcément tu vas le sentir (200ms de moyenne).
Suivant l’opérateur certains flux sont séparés dans des VLAN et donc “priorisés” avec des seuils, ce qui passe au dessus est droppé ni plus ni moins.
Le DNS étant la base de l’internet, pas de service DNS peu de monde navigue, je pense pas qu’ils s’amusent à leur mettre une priorité de merde pour faire passer du netflix.
Pour l’aspect légal, je suis bien d’accord.
Mais justement, si l’état demande de bloquer un domaine, il est tout à fait loisible au FAI de bloquer les requêtes
DNS sur ce nom même si elles sont adressées à 8.8.8.8
Donc certaines personnes se font des illusions sur leur capacité à contourner des blocages: La vraie raison n’est pas leur compétence certes au-dessus de la moyenne, mais la volonté des FAIs de se contenter du minimum pour pouvoir dire «on a essayé»
Oui c’est possible théoriquement pour un FAI mais :
Si aujourd’hui les FAI ont choisi le DNS c’est parce que ça coûte rien, le process est très simple et c’est centralisé (pas comme les X routeurs que tu as au quatre coins de ton réseau).
Il me semble que j’ai été affecté par ce problème hier.
Mais pas sûr que ça soit ça, j’avais pas la “main rouge”, juste un écran blanc.
Mais j’utilise les DNS d’OPENDNS sur un serveur DNS local maison, peut-être que ceci explique cela ?
(genre Orange ont un DNS menteur + un autre moyen de bloquer même si ça passe pas par leur propres DNS)
Non si tu n’utilises pas les serveurs récursifs d’Orange ils n’ont pas de moyen autre de te bloquer. L’écran blanc était certainement dû au fait que les serveurs lamainrouge était mort sous le flood des clients redirigés chez eux
OpenNIC pas OpenDNS pardon.
Donc à priori on est immunisé contre ce type de censure là (DNS) si on utilise autre chose que les DNS d’orange par défaut ?
Ne peuvent-il pas aussi utiliser d’autre moyen que leur bêtes serveurs DNS ? à coup de DPI par exemple ?
Ca coute beaucoup trop cher de faire du DPI vu le nombre de requête à traiter, 35 millions de clients pour Orange ça en fait un paquet d’IPS pour filtrer tout ça… Au pire tu VPN et ils ne peuvent rien y faire puisque ce n’est plus taggé comme DNS.
Le but de l’opérateur est d’appliquer la loi, bloquer le site par un moyen. Ils le font par DNS car pas cher, ni plus ni moins. Ils sont pas là pour faire chier dans les pires stratégies l’abonné.
Le problème des autres serveurs récursifs (openDNS, google etc…) c’est que vos données partent vous ne savez où, sont certainement monnayées. Je vous conseille sincèrement d’utiliser vos propres DNS (un petit BIND/unbound/powerDNS) ça tourne même sur un raspi ou c’est embarqué directement dans certains routeurs.
Moi pas comprendre,
T’auras toujours du eavesdropping c’est sans fin.
Ou alors bypasser complètement les services de DNS -> avec TOR ou des projets fondés sur la Blockchain (autorité P2P décentralisée).
Dans les box (notamment sur celle d’Orange) c’est un simple dnsmasq qui ne fait pas de résolution (juste du caching/redirection vers les vrais récursifs Orange).
Comme dans ta box il y met les VIP DNS Orange, par défaut sur tes équipements tu dois être en prendre les paramètres par défaut de la passerelle.
Si tu les changes tu n’auras aucun souci (type 8.8.8.8) au niveau de l’opérateur, c’est ni plus ni moins qu’un simple routage qui envoie ton paquet DNS vers les serveurs que tu as choisis (il n’y a aucun contrôle fait par l’opérateur ou juste des stats).
Pour le eavesdropping oui et non, aujourd’hui c’est certainement le cas il doit y avoir des stats sur le nombre de clients qui utilisent des DNS autre que celui du FAI, la possibilité peut être aussi de voir le contenu des paquets (projet big data) mais ça coûte très cher ! Pour le DNS, tu as des extensions pour chiffrer ton trafic, une fois chiffré ton opérateur ne pourra rien faire (enfin pas dans l’immédiat)
j’ai déjà la cavalerie à la maison , je roule avecun parefeu qui coutait 2500 €uros il y a 2 ans … donc pas de souci.
Quels sont tes redirecteurs ? (j’ai un BIND en interne)
Tu n’as pas besoin de “redirecteurs”, si ton bind est configuré en mode récursif et qu’il a la liste des serveurs root (penser à la mettre à jour) ça fera le taf tout seul comme celui de ton FAI.
Tu VPN , avec quoi ? … mon petit doigt me dit que les chiffrages actuels sont quasi tous cassables par certains états.
La techno quantique est bien en production chez certains (google, ms, militaire, ibm , gemalto …) alors … bon :
http://www.silicon.fr/ordinateur-quantique-chiffrement-obsolete-146667.html
http://www.silicon.fr/gemalto-introduit-physique-quantique-appliances-dencodage-…
http://www.silicon.fr/ordinateur-quantique-google-2017-156567.html
Alors les SSL etc … mdr , par ex. sur mon parefeu je déchiffre à la volée les flux SSL grâce aux certificats intercepté à la volé … un matos obsolète en plus , alors avec les moyens d’un fai : simple.
ok merci , je vais vérifier ça.
Perso , j’observe beaucoup de trafic DNS qui part de ma DMZ vers le web : hazard , c’est le serveur windows 2008 R2 de mon fils …
Donc je soupçonne un tunnel DNS actif … mais bon. En gros le ghost in the shell …
C’est ainsi.
niveau VPN je n’ai pas encore trouvé mon bonheur, j’en essaye plusieurs mais souvent payant pour avoir une BP non bridé et un trafic illimité. Ca commence à vraiment exploser ce marché, ça ne tardera pas à voir débarquer un truc qui fonctionne bien pour peanuts.
Après faut regarder exactement les FQDN de ce trafic DNS, ça sera du teredo.microsoft.ipv6 quelque chose comme ça, mais si ton fils à installer du caca tu auras les malwares/spyware qui font transiter leurs données via le DNS grâce aux enregistrements TXT par exemple (notamment le cas des antivirus et d’apple).
Je te conseille une petite capture puis d’isoler les FQDN pour voir un peu les FQDN requêtés. Tu trouveras peut être quelques surprises pour épurer la bête.
VPN payant, non, à fuir : autant surfer en HTTP devant la NSA etc.
" />
il y a une recette intraçable, cà me coute 3\( ... et si j veux amplifier le brouillage x X 3\) … et là good luck.
J’ai remarqué quand se faisant tout , trés , trés …. trés petit on se noie dans la traffic au point de devenir invisible … pour mieux ecouter !
L’idée d’empêcher l’accès à une liste de “sites bloqués pour apologie du terrorisme” en reroutant leur accès sur les DNS des opérateurs me paraît fort fragile.
L’adresse du DNS à utiliser pour toute requête web est tout simplement inscrite dans le CLIENT, c’est à dire dans le poste de chaque utilisateur
- sur Windows dans le panneau de configuration / Internet et Réseau / Réseau et Partage / Changer les propriétés de l’adaptateur / Réseau Local (ou sans fil) / Propriétés / TCP IPV4 / propriétés / onglet avancé / DNS.
On peut écrire là-dedans l’adresse qu’on veut. Par défaut, lorsqu’on utilise un wizard de configuration automatique fourni par un FAI, on y trouve donc les adresses du (ou des deux) DNS de son opérateur. Mais si on veut y mettre l’adresse DNS d’un opérateur japonais ou chilien, cela prend trois minutes. Et ces opérateurs-là ne seront pas soumis à la loi française.
A titre d’exercice, on facilement trouver les adresses DNS de Google : 8.8.8.8 et 8.8.4.4. Il est très très peu probable que Google soit soumis à la loi française.
https://developers.google.com/speed/public-dns/docs/using
Alors est-ce que notre opérateur va intercepter TOUTES les requêtes DNS, y compris celles qui ne lui sont pas adressées, et les rerouter ?
Et comment ça se passe si le client utilise un VPN vers un serveur étranger (c’est payant, c’est légal et toutes les grandes entreprises en utilisent un pour protéger les communications de leur personnel en déplacement). Alors l’opérateur français ne verra même pas circuler la requête DNS (sauf la première, celle qui permet d’établir le VPN).
Bon, c’est nos impôts qui partent en fumée quand même.