Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Streaming sportif : la justice ordonne le blocage par les DNS de Google, Cloudflare et Cisco

Mensonge imposé

Streaming sportif : la justice ordonne le blocage par les DNS de Google, Cloudflare et Cisco

Jusque-là laissés tranquilles par les ayants droit, les fournisseurs de DNS font maintenant partie de leurs cibles juridiques concernant le streaming. Canal+ vient de nouveau de gagner face à Google, Cisco et Cloudflare : dans trois nouvelles décisions, le Tribunal judiciaire de Paris oblige les trois géants du numérique à bloquer l'accès à certains sites, confirmant sa position prise en mai dernier sur le sujet.

Le 26 novembre à 13h11

Trois nouvelles décisions du Tribunal judiciaire de Paris, prises en septembre et octobre derniers, obligent Google, Cloudflare et Cisco à mettre en place un blocage de sites internet qui diffusent des flux streaming de retransmission des grands prix de Formule 1 organisés par la Fédération Internationale de l'Automobile, de la Ligue des champions et de la Premier League. Le site Torrent Freak a repéré que Cloudflare a mis en ligne les textes de ces trois décisions [PDF, PDF, PDF] sur la base de données spécialisée Lumen.

Une liste de 69 sites supplémentaires

En mai dernier, nos confrères de l'Informé avaient révélé que la justice française avait, pour la première fois, obligé les fournisseurs de DNS qui ne sont pas fournisseurs d'accès à Internet Google, Cloudflare et Cisco, de bloquer plus d'une centaine de sites de streaming diffusant sans autorisation le Top 14 de rugby, la Champions League et la Premier League de football. Canal+ s'est appuyé sur l’article 333 - 10 du Code du Sport qui permet de demander à la justice de prendre « toutes mesures proportionnées propres à prévenir ou à faire cesser » des « atteintes graves et répétées au droit d'exploitation audiovisuelle ».

Après la publication de cette décision, Cisco, propriétaire d'OpenDNS, a décidé de ne plus rendre disponible ce service en France. L'entreprise a fait de même au Portugal suite à un cas similaire.

Mais le groupe Canal+ ne s'est pas contenté de cette première liste. Il a exposé devant le Tribunal judiciaire de Paris que « de nombreux sites internet accessibles depuis la France diffusent de manière quasi-systématique, gratuitement, en streaming et en direct entre autres les matchs de multiples compétitions, notamment de "Formule 1" ». Et ce, malgré le blocage de ces sites imposé par la justice aux principaux FAI.

Il a donc réitéré sa demande dans les trois actions en justice en listant 15, 18 et 36 sites internet qui hébergent ces retransmissions.

Une portée internationale non proportionnelle selon Google, Cisco et Cloudflare

De leurs côtés, devant le tribunal, Google, Cisco et Cloudflare ont affirmé que ces mesures étaient « inutilement complexes et coûteuses ». Les trois sociétés arguent qu'il existe d'autres mesures pour bloquer « tout accès aux sites litigieux » et « qu'un nombre négligeable d'internautes des compétitions sportives auraient recours à leurs services ».

Surtout, les trois géants du numérique ont soulevé que « ces mesures ne peuvent techniquement être restreintes au territoire français et ont nécessairement une portée internationale ». Cet argument appuie sur un défaut de proportionnalité de la mesure de blocage au niveau de ces services de résolveurs DNS.

Un délai de trois jours

Les entreprises pointent d'ailleurs le fait que les sites litigieux sont distribués via le CDN de Cloudflare. Google a donc demandé que la demande de blocage se fasse à ce niveau avant que ne soit ordonné le blocage au niveau des résolveurs DNS.

Le tribunal n'a cependant pas été convaincu par leurs arguments. Il a ordonné aux trois entreprises de mettre en place une mesure de blocage des sites listés dans les trois demandes de Canal+. Cisco ayant déjà arrêté son service OpenDNS au moment de ces décisions, l'entreprise n'a rien eu à faire d'autre. Mais Cloudflare et Google ont dû se mettre en conformité dans un délai de trois jours. Elles ont mis en place une manipulation de l'espace des noms de domaine, aboutissant à ce que certains appellent des « DNS menteurs ».

Commentaires (82)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Et donc ils l'ont fait au niveau mondial ou ils ont réussis à le coupler à de la géolocalisation ?!
votre avatar
Au niveau mondial, puisque
Surtout, les trois géants du numérique ont soulevé que « ces mesures ne peuvent techniquement être restreintes au territoire français et ont nécessairement une portée internationale ».
Mais on peut noter que si c'est la première fois qu'on tape sur les resolveurs DNS, c'est pour des problèmes de pognon, pas pour lutter contre la pedopornographie ou le terrorisme ...
votre avatar
Ça, c'est ce qu'ils ont dit au tribunal. Mais ils ont peut-être trouvé une solution depuis pour ne pas INpacter le monde entier.

Quand je teste par nslookup.io, donc en interrogeant hors de France, les DNS google retournent bien une adresse Cloudflare. Je doute donc de ce qu'ils ont dit.

Édit : j'ai aussi testé 1.dlhd.sx. Mais en fait, mes interrogations de ces mêmes noms sur les DNS de Free me donnent les mêmes réponses pour ces 2 noms. Donc, je ne sais que penser de mon test.
votre avatar
Faut aussi voire quand ça a été fait, et le cache DNS ensuite, la propagation est rarement instantanée, dans le positif comme dans le négatif.

Ca rappellera des souvenirs à orange et à Atos ...
votre avatar
Pour ces 2 sites, le jugement date du 12 septembre. Je pense que Canal + s'est dépêché de faire signifier le jugement et de fournir le fichier CSV prévu. À partir de ce moment, ils avaient 3 jours pour obtempérer.
votre avatar
Pour finir mes tests, si j'interroge directement le DNS Google (8.8.8.8), j'ai bien un retour d'erreur pour ces 2 sites :
Host 1.dlhd.sx not found: 5 (REFUSED)
votre avatar
Faut pas confondre hein!

On lutte contre la pédopornographie en cherchant à foutre des backdoors de partout et en collant une balle dans la nuque du concept de vie privée. Pas en touchant aux DNS.

Et puis bon... le pognon... c'est important quand même... Les chtites nenfants okay, mais les pépètes d'abord! :mrgreen:
votre avatar
Non, pas au niveau mondial. Tests en https://framagit.org/-/snippets/7408
votre avatar
Du coup je suis curieux, comment ont procédé Google et co pour filtrer uniquement pour la France si
ces mesures ne peuvent techniquement être restreintes au territoire français et ont nécessairement une portée internationale
votre avatar
Ils ont dû chercher une solution sur Google et tomber sur cette page (première trouvée par Google quand je lui demande : comment configurer un serveur dns bind pour répondre différemment suivant la géolocalisation).

En fait, c'est un problème courant autant pour les CDN qui vont diriger le trafic vers le CDN le plus proche que dans les cas où l'on veut orienter les clients vers les serveurs proches de chez eux comme dans l'exemple de la page. Même chez Microsoft, ils expliquent comment faire sur leurs serveurs.

Bref, Google a servi un gros pipeau au tribunal mais a obtempéré quand le Tribunal leur a ordonné de mettre en place une solution. :D
votre avatar
La fiabilité de GeoIP... il va y avoir du dégât collatéral !
votre avatar
Pour la granularité pays, je pense que ça doit aller.

De toute façon, Google a déjà ses propres solutions pour déterminer le pays en fonction de l'IP pour adapter son moteur de recherche aux demandes de blocage des différents pays.

L'idée de ma réponse (qui était un peu ironique) était de montrer que les serveurs DNS savaient répondre différemment en fonction des pays contrairement à ce qu'affirmait Google ou ses représentants au tribunal.
votre avatar
Le problème n'est pas la granularité mais la fiabilité des bases de données et leur mise à jour. Pendant des années, GeoIP croyait que j'étais en Russie, et certains sites de e-commerce me bloquaient pour cette raison (souvent, ceux qui ont un prestashop de base mais ont conscience que c'est une passoire ajoutent un blocage GeoIP pour se "protéger" des hackers russes et nord-coréens...).
votre avatar
Pour moi c'est coupé par cloudflare au niveau http(s).
Error HTTP 451
2024-11-29 06:53:43 UTC
Unavailable For Legal Reasons
Depuis la Suisse 😔
votre avatar
Loading #EffetStreisand ....

:francais:
votre avatar
Encore un coup d'épée dans l'eau, pendant ce temps là la justice manque de moyen, si bien que les procédures judiciaires s'étalent sur des années sur des sujets autrement plus importants que la diffusion illegale de rencontres sportives.

Mais on est tous égaux devant la justice hein 😎

( oui j'suis en forme aujourd'hui, j'vais aller me refaire un café et faire un break avec la lecture des actus ! )
votre avatar
Pas vraiment un coup d'épée dans l'eau car censurer les DNS des FAIs et des principaux fournisseurs tape assez sérieusement mine de rien.
Il ne reste que les petits fournisseurs type FDN (avec l'inconvénient des petits fournisseurs notamment service/performance) ou héberger soi-même, donc accessible à une frange marginale de la population.
votre avatar
Cela reste marginal aussi, mais les resolvers DNS managés sont aussi proposés par les services de seedbox à ma connaissance.
votre avatar
Reste encore Quad9 ;)
votre avatar
Et de nombreux autres (sans compter les projets perso) comme dns4all.eu ou dns.sb.
votre avatar
Demain t'as x dixaines de tutos sur Google qui expliqueront à qui veut le savoir comment mettre les DNS qui vont bien, et je parle pas des trouzaines de VPN sur le marché,

Il ne faut pas qu'on prennes les gens pour plus cons qu'ils ne sont, d'autant que je reste persuadé que ceux qui ont recour aux streams illégaux ne payeront pas pour autant une offre légale quand bien même ils sont confrontés à un blocage, ils prendront donc le temps de chercher une solution de repli, comme dit plus haut il y'en a pléthore.

Et j'ai pas parlé de très nombreuses offres IPTV aux prix imbattables ...

Tant que l'offre sportive sera aussi morcelée et à des prix aussi délirant, il y aura ce problème.
votre avatar
Tant qu'il y aura du piratage facile, l'offre sportive sera morcelée et à des prix délirants.
Tu peux prendre le problème à l'envers ...
Bien sûr que si qu'une partie des gens qui piratent s'abonneraient, si tu fais la démarche pour pirater c'est que cela t'intéresse quand même. Sur 2.5 Millions, même si tu as 5-10% ca fait plus de 100K abonnées en plus. Allé, même si c'est 1 %, c'est 25k abonnées ! Et plus tu en as plus le prix peut baisser.
votre avatar
Ou les gros nerds qui ont leur propres DNS qui vont taper sur les DNS primaires pour éviter ça :oops:

ou se faire chier avec les DNS primaires directement dans la conf réseau du PC/Mac
votre avatar
Correction : serveurs faisant autorité (« primaire », c'est autre chose).
votre avatar
Y a t'il un clin d'oeil à M. Rees dans les magistrats de l'image d'illustration ?
Je trouve qu'un lui ressemble, sachant que Marc avait signalé l'affaire dans "L'Informé"...
votre avatar
Je suis désolé mais... Marc est BIEN plus beau ! :8
votre avatar
le fanboy :eeek2: ça fraule le stalker là même :eeek2:
votre avatar
J'avoue je suis un fanboy... de Flock et de Marc...:bisous:
votre avatar
Un DNS Provider safe et ne répondant pas au sifflet de la justice Française à conseiller ?
votre avatar
Quad9
A voir combien de temps ils arriveront à esquiver les balles, cela dit...
votre avatar
Malheureusement Quad9 répond à au sifflet de la justice Italienne.
votre avatar
J'ai utilisé Quad9 pendant un un temps, mais j'avais dû faire machine arrière parce que pleins de sites ne se chargeaient plus 🫤
votre avatar
Hmmm, bizarre. Je ne dis pas qu'il faut utiliser Quad9 mais, techniquement, c'est très sérieux et je suis donc étonné par ce témoignage unique. Des exemples précis des sites qui auraient des problèmes ?
votre avatar
idem, périodiquement des sites qui son inconnus, qui marchaient avant et qui remarchent après.
votre avatar
Tant que personne n'a cité ne serait-ce qu'un seul des domaines en question, il est difficile de prendre en sérieux ce signalement.
votre avatar
Ça commence à dater de plusieurs années, je ne me rappelle plus du tout quels étaient les sites en question. Mais comme the_Grim_Reaper, je me rappelle qu'en repassant aux DNS de Cloudflare ou Google, ces sites marchaient correctement, donc le problème ne pouvait venir que de Quad9.
Mais au vu de l'actualité ci-dessus, je vais peut-être ré-essayer. Je ne regarde pas de streaming sportif, mais je n'aime pas l'idée que mes DNS me mentent ...
votre avatar
Il y a qq années j'avais eu le même problème que les autres décrivent avec quad9 spécifiquement et après investigation je m'étais rendu compte qu'il y avait parfois des temps de réponse effroyablement lents (j'avais même créé un moniteur pour l'occasion sur grafana avec cloudflare, google et 2-3 autres trucs obscurs) d'où ensuite un timeout etc. Et je revivais en repassant sur un autre fournisseur de DNS. Toutefois je ne sais pas si le problème est encore d'actualité car j'héberge mon propre service.
votre avatar
Il y a un recensement à cette page.
votre avatar
votre avatar
Il y en a plein comme dns4all.eu ou dns.sb.
votre avatar
Et même la fondation Wikimédia a son résolveur public https://meta.wikimedia.org/wiki/Wikimedia_DNS (mais beaucoup de gens sont esclaves du marketing, ils ne connaissent que les gros trucs étatsuniens).
votre avatar
Je pense que beaucoup (dont moi) joue surtout sur la simplicité. Pour utiliser un DNS, il faut son IP. 1.1.1.1, 4.4.4.4, 8.8.8.8, 9.9.9.9 sont facile à retenir. 3 d'entre eux sont malheureusement des "gros trucs étatsuniens"...
votre avatar
les DNS racines

fr.wikipedia.org Wikipedia
votre avatar
Non, car un résolveur ne parle pas qu'aux serveurs racine, mais aussi à d'autres serveurs faisant autorité (pour Next, à ceux de .ink puis à ceux de next.ink).
votre avatar
unbound fonctionne bien avec les dns racine, et avec toute l'arborescence bien sûr, mais on n'est pas obligé de mettre un résolveur externe non ?
votre avatar
Non, on n'est pas obligé mais c'est sans doute préférable pour des raisons de vie privée (sinon, le FAI voit toutes vos requêtes) et de performance (la mémoire du gros résolveur externe).
votre avatar
ya pas de doq/dot sur la zone "." ?
votre avatar
Si, b.root-servers.net a DoT.
votre avatar
Est-ce que tu aurais une explication un poil plus précise ?
Ton explication n'est pas très claire pour moi.

Il ne prends pas uniquement les informations des résolveurs "faisant autorité" sinon, y'aurait pas des soucis de reroutage suite a injection dns, genre y'a 2 ou 3 ans vers la chine et/ou la Russie.

Un résolveur DNS va chercher l'information sur un autre si :
- l'info n'est plus assez fraiche pour lui
- il ne l'a pas déjà
Et le premier qui lui répond à sa demande gagne, que l'info soit bonne ou pas.
votre avatar
« résolveurs "faisant autorité"  » est une contradiction, comme « eau sèche ». Et, non, les résolveurs ne vont pas chercher l'information chez les autres résolveurs et ce n'est certainement pas le premier qui gagne. https://www.bortzmeyer.org/resolveur-dns.html
votre avatar
Profitons tant qu'il n'est pas encore illégal d'installer son propre petit serveur DNS en local.
votre avatar
Tant que c'est pas illégal de modifier le fichier /etc/hosts on est tranquile.
votre avatar
Imagine se passer des listes de hosts sous le manteau par clé USB...
votre avatar
Euh, c'est le cas ... Certains sites ne se font pas référencer sous google et DNS.
Ca peut aussi être une façon de sécuriser: ton serveur web répond à des noms, mais pas en direct à l'IP. Tu as un "client" à virer, tu vires son nom, il n'a plus accès.

C'est pratique pour faire l'accès admin aussi: tu crée un nom qui a accès à l'admin, qui n'est pas diffusé.
votre avatar
Un VPN avec une sortie ailleurs qu'en France, même si c'est overkill pour la question des DNS menteurs, reste une solution facile et rapide pour Mme Michu et voir son live de la formule 1.

C'est même largement plus rentable que les abonnements pour voir les spectacles sus-nommés.

vérifie ProtonVPN et son IP en Suisse
votre avatar
De mon côté, le site http://livetv.lol est bien bloqué par les DNS de Google. Il ne l'est par le DNS proposé par FDN, néanmoins, il ne fonctionne pas malgré tout en raison de Cloudflare qui empeche l'accès.
votre avatar
Tu pointes un détail intéressant : avec la forte position de Cloudflare comme CDN, un blocage par eux s'avère plus efficace. Les esquiver est un poil plus difficile que juste changer son DNS ou prendre un proxy ou VPN.
votre avatar
En même temps , les CDN sont gérés par les sites eux-même donc il "suffit" qu'ils ne passent plus par Cloudflare, non ...? C'est pas ce qu'il manque les CDN sur le marché.

Ca montre aussi , encore & toujours, que centraliser ça rends vulnérable , que ce soit techniquement ou légalement.

Cloudflare par contre est clean : Ils marquent bien

Error HTTP 451 2024-11-26 17:59:45 UTC
Unavailable For Legal Reasons

Avec une URL dessous . Clair, net, précis. J'aime bien.

(j'ai été voir par curiosité, je connaissait pas livetv.lol)
votre avatar
Oui, effectivement, l'opérateur du site peut toujours changer de CDN. Le cas où ce n'est plus possible, c'est quand le domaine a été saisi il me semble.
votre avatar
En soit, c'est plutôt logique comme décision, je me suis toujours demandé pourquoi ce n'était pas le cas avant. Et on parle de site de Streaming sportif, pas de quoi s'offusquer, je ne vois pas ou est la problématique dans le blocage de qqch d'illégal.
votre avatar
Ca pousse à trouver des solutions résilientes, perso je trouve ça positif :-)
votre avatar
Y'a pas une petit projet rpi pour faire son dns?
votre avatar
Tu as PiHole dispo avec Yunohost (et même sans, c'est plutôt facile à installer). C'est un outil de serveur DNS maison, mais qui gère aussi des blocklist pour les pubs et trackers par exemple.
votre avatar
Merci à tous.

J'ai essayé de mettre un pihole chez moi. Le truc c'est qu'il bloquait compétent mon trafic quand je connectais mes appareils dessus. En plus il bloquait pas bien les pubs. Du coup, j'ai abandonné.
J'imagine que c'est un soucis de paramétrage mais j'étais sur la config de base avec un abonnement à la liste principale. Bref, j'ai pas compris d'où ça venait.
votre avatar
t'a les images docker de PiHole, ou si tu préfère, t'a aussi adguard home
votre avatar
Ça dépend du système d'exploitation mais, sur Debian ou dérivé, apt install unbound suffit.
votre avatar
Étape suivante, interdire les vpn... et puis faire un Grand Firewall de France avec des petites mains chargées de mettre les noms de domaine sur liste blanche ou non.
votre avatar
Le firewall c'est OpenOffice, là il te faut un super proxy :mrgreen:
votre avatar
si on connaît les adresses des sites, pas besoin de DNS, si ?
votre avatar
Si tu connais l'association nom de domaine - adresse IP, oui (mis dans le /etc/host et voilou). Sinon, sans resolver ça risque d'être plus coton je pense.
votre avatar
Ou pour windows (et le format est le même)...

C:\Windows\System32\drivers\etc\hosts
votre avatar
Pourquoi faut-il que tu ramènes les trucs désagréables :p
votre avatar
PAAAAAAARCEQUUUUUUUUE !!!!!!

(référence à une pub que les plus jeunes ne connaissent très certainement pas ^^)
votre avatar
Nop ... suffit de remplacer machintruc.com par l'IP
L'adresse IP de google.com est 142.250.187.227, tu colles ça dans une barre d'adresse (ou autre, pour le streaming suffit de résoudre l'IP de ton service via un VPN si bloqué en France) et ça arrive direct sur le site de recherche bien connu
votre avatar
Faux.
En particulier quand le site est chez Cloudflare.
Pour livetv.lol, on obtient une page qui dit :
Error 1003 Ray ID: 8e9a842bbd33d141 • 2024-11-28 12:56:08 UTC
Direct IP access not allowed
What happened?
You've requested an IP address that is part of the Cloudflare network. A valid Host header must be supplied to reach the desired website.
Ça ne fonctionne que dans certains cas.
votre avatar
Pour Cloudflare, je me demandais, si on passe par leur vpn gratuit (warp) est ce qu'ils filtrent aussi le dns des français.
votre avatar
Donc ce que j'ai dit reste vrai à l’exception de tout ce qui est hébergé par Cloudflare ... un simple VPN et n'importe quel DNS feront l'affaire donc ... :bocul: :D

Cloudflare bloque donc l'accès direct par IP ... à retenir, même derrière un VPN, la loose.

Par contre si service iptv, éditer le .m3u en mettant l'IP à la place du nom domaine, ça roule.
votre avatar
Non. Toujours pas vrai. dès qu'il y a plusieurs sites derrière une adresse IP, on a le même problème.
Tu n'as probablement pas compris le message d'erreur.
votre avatar
Si si j'ai compris ... maintenant. Il m'a manqué la variable plusieurs sites sur la même IP ... donc vrai quand un seul site/service sur l'IP. (oui je sais, j'ai la tête dure)
votre avatar
toujours pas. Il n'est pas rare qu'un site ne réponde qu'au nom de domaine pour lequel il est configuré. Qu'importe qu'il y ait qu'un seul site sur l'IP...
votre avatar
Bon, certains ont la tête plus dure que la mienne :D
votre avatar
Non, ce n'est généralement pas vrai en fait. Une IP (v4) répond souvent à plusieurs sites/serveurs. Entre les reverse proxy en frontal et le load balancing, c'est même en général plutôt faux comme règle de penser une IP = un site.

C'est même un gros problème quand un récepteur d'email décide de bloquer par IP alors que l'IP est celle de Microsoft : oui quelqu'un a pu envoyer des emails frauduleux depuis cette adresse, mais ça couvre un nombre indéterminés de domaines dont l'énorme majorité légitimes...

L'adresse IP (v4) chez free correspond à plusieurs abonnés par exemple.

[Edit] Zut, sur le petit écran, je n'ai pas vu ton dernier message. Désolé pour cet acharnement :)

Streaming sportif : la justice ordonne le blocage par les DNS de Google, Cloudflare et Cisco

  • Une liste de 69 sites supplémentaires

  • Une portée internationale non proportionnelle selon Google, Cisco et Cloudflare

  • Un délai de trois jours

Fermer