Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Le résolveur européen DNS4EU est disponible, avec ou sans « protections »

Un de plus

Le résolveur européen DNS4EU est disponible, avec ou sans « protections »

Le résolveur européen DNS4EU est enfin disponible pour tous, avec ou sans divers niveaux de « protection ». Le service est déjà passé entre les mains expertes de Stéphane Bortzmeyer qui livre une première analyse complète.

Le 09 juin à 12h52

Fin décembre 2020, la Commission européenne présentait une série de mesures dans le domaine de la cybersécurité. Elle souhaitait « contribuer à la sécurisation de la connexion Internet en soutenant le développement d'un service public européen de résolveur du DNS ». Cette initiative est baptisée DNS4EU afin de proposer un « service européen alternatif d'accès à Internet », comme l’expliquait l’ICANN.

Début 2022, l'Agence européenne pour la santé et le numérique (HaDEA) lançait un appel à projet de 14 millions d'euros en vue du déploiement de DNS4EU. Dans les lignes directrices du résolveur, il devait « être facile à configurer par des non-experts » et proposer des « services de filtrage de contrôle parental strictement opt-in et entièrement transparents ». Autres promesses : données de résolution et métadonnées devaient être traitées dans l'UE, sans monétisation des données personnelles. Ce projet est désormais disponible.

Nous l’avons longuement détaillé dans notre dossier sur le fonctionnement (pour de vrai) d’Internet : le DNS occupe une place très importante, car il permet de transformer une URL en une adresse IP, et ainsi joindre le serveur avec les données attendues.

« Pas d'intérêt pratique […] mais c'est toujours bien »

DNS4EU se lance désormais dans le grand bain, comme annoncé sur X. Stéphane Bortzmeyer, spécialiste des réseaux et du DNS, a publié une première analyse (déjà bien complète pour le commun des mortels) :

« Il ne présente pas d'intérêt pratique (il y a déjà beaucoup de résolveurs, y compris publics, y compris européens) mais c'est toujours bien d'élargir le parc. La diversité est une bonne chose ».

« Comme tous les résolveurs sérieux, il a, en plus des traditionnels UDP et TCP, les transports DoT et DoH (mais pas DoQ [DNS over QUIC (Quick UDP Internet Connections), ndlr] mais, bon, ce dernier est nettement moins fréquent aujourd'hui). Comme tous les résolveurs sérieux, il a une adresse IPv4 et une IPv6 ».

Un résolveur, cinq options (avec ou sans filtres)

Dans la pratique, le résolveur propose cinq options en fonction de vos besoins (la première adresse est une IPv4, la seconde une ipV6) :

  • Résolveur sans filtre : 86.54.11.100 ou 2a13:1001::86:54:11:100
  • Résolveur avec « protection » : 86.54.11.1 ou 2a13:1001::86:54:11:1
  • Résolveur avec « protection » et « protection des enfants » : 86.54.11.12 ou 2a13:1001::86:54:11:12
  • Résolveur avec « protection » et « blocage des publicités » : 86.54.11.13 ou 2a13:1001::86:54:11:13
  • Résolveur avec « protection », « protection des enfants » et « blocage des publicités » 86.54.11.11 ou 2a13:1001::86:54:11:11

Le premier niveau de « protection » comprend « 20 millions de domaines malveillants dans la base de données » et DNS4EU annonce en ajouter « environ 150 000 par jour ». Dans la pratique, il s’agit de « bloquer l’accès aux sites web malveillants et frauduleux connus ». Il existe un formulaire pour signaler des faux positifs.

Pour la « protection des enfants », le résolveur bloque l’accès à certains types de contenus : « Jeux d’argent, sexuel, armes, maltraitance des enfants, drogues, racisme, terrorisme, violence ». Les domaines de la liste sont issus « de dizaines de flux publics (comme Bon-Apetit) et du moteur de détection de contenu Webshrinker ». Dans ce cas, les utilisateurs sont redirigés vers une page de blocage avec une explication.

Protection (relative) contre les publicités

Sur le blocage des publicités, DNS4EU rappelle que « certains sites et applications peuvent avoir mis en place des systèmes de détection anti-publicité, ce qui pourrait empêcher le site de s’afficher correctement ou entraîner un dysfonctionnement de l’application ». Dans la pratique, la liste des domaines publicitaires est tirée « de diverses listes telles que goodbyeads ou ads-tracking » avec une résolution de l’adresse IP en 0.0.0.0.

« Bien que ce service soit censé protéger de la pub, il dit la vérité (malheureusement) pour des noms comme google-analytics.com. Pour googletagmanager.com, il renvoie un amusant 0.0.0.0. Aucune utilisation n'est faite des Extended DNS Errors du RFC 8914, hélas, contrairement à ce que fait Google Public DNS quand il ment », explique Stéphane Bortzmeyer.

Blocage DNS, censure étatique et anonymat

Le spécialiste en profite pour revenir sur la question du blocage DNS : « Curieusement, alors que le cahier des charges de DNS4EU prévoyait explicitement la mise en œuvre de la censure des 27 États membres de l'UE, je n'ai pas trouvé de domaine censuré. Même Sci-Hub marche ». De manière générale, il n’a « pas encore vu de signe de censure étatique (par exemple au profit des ayant-droits) ».

« L’adresse IP du client est entièrement anonymisée avant d’être envoyé au résolveur. Aucune donnée privée n’est collectée nulle part, ce qui garantit un alignement total avec le RGPD et les autres réglementations européennes en matière de protection des données ; vos données restent les vôtres », affirme DNS4EU. De plus amples détails sont disponibles par ici.

Sachez enfin que DNS4EU a été mis en place par neuf partenaires : Whalebone (coordinateur, une société tchéque), CZ.NIC, Czech Technical University (ČVUT), Time.lex, deSEC, SZTAKI, Abi Lab, NASK et DNSC.

Bien évidemment, DNS4EU propose des explications sur comment changer son résolveur DNS sur de nombreux systèmes d’exploitations et produits tels que des routeurs et des terminaux mobiles.

Commentaires (64)

votre avatar
Intéressante initiative ! merci d'en avoir parlé. Bientôt des comparaisons avec Quad9, Cloudflair et comparses ?
votre avatar
J'attendais la réponse sur la partie censure ! :merci:
Pas active pour le moment mais il n'y a aucune raison que ça n'arrive pas... :frown:
votre avatar
J'ai fait un rapide test vers 1.1.1.1, 8.8.8.8, 9.9.9.9 et dns4eu (sans protection et avec protection) pour perdu.com

Grosso modo, les 3 premiers répondent chez moi en un peu moins de 200ms.
dns4eu répond en un peu entre 250 et 290ms (à la louche).

Pour une domaine inexistant (perdu.comz), dns4eu est aux alentours de 350/400ms, contrairement aux autres qui sont à +- 210ms

Dans tous les cas, on est sur des temps assez courts, mais la différence est quand même là :D
votre avatar
Oui et on se rend particulièrement compte de l'importance de la latence DNS quand on héberge le sien en local amenant à une excellente réactivité. Sur firefox, combiner cela avec un cache en RAM plutôt que disque (et un peu d'autre tunning) je trouve que ça donne un bien meilleur confort.
votre avatar
je ne sais pas à quoi rime la carte fournie dans l'article, mais ils ne semblent pas vraiment anycast, la route depuis la france passe par la hongrie pour arriver en tchéquie, donc pas vraiment de serveur en France.
On est loin de ce que font cloudflare et quad9 en la matière.
votre avatar
Le service est bel et bien anycasté (mon article détaille comment je trouve cela) mais, oui, depuis Free à Paris, je pars aussi à Budapest :-)
votre avatar
ah, ton blaeu ...
Effectivement depuis un partage de connexion mobile Bouygues, ça semble différent, ça passe par un certain domaine cdn77.com
votre avatar

Maintenant, concernant le fait que les DNS mentent...
Dans tous les cas les résolveurs publics sont voués à ne pas être de confiance. Aussi bien ceux d'entreprises privées (google & co) que ceux des FAI ou de l'EU, la confiance n'est pas là.

La question, tant pour les données personnelles que pour la censure, c'est juste de savoir dans quel crémaillère on veut aller.
L'avantage de DNS4EU, c'est qu'ils disent au moins qu'ils n'utilisent et ne revendent pas les données personnelles. *


* Bon, sauf peut être un petit accès pour la DGSE, DGSI et autres agences nationales, mais promis c'est pour notre bien, et puis spoiler les DNS de google & autres, c'est pareil ^^'
votre avatar
Il y avait déjà dns0 (que j'utilise pour les pcs de ma femme et de mon fils).
Quelles différences ???
https://www.dns0.eu/fr
votre avatar
Comme indiqué en bas de page, dns0 a été crée par les fondateurs de NextDNS. ça n'a rien à voir avec l'institution Européenne. C'est juste hébergé en Europe : "dns0.eu est une association française à but non lucratif fondée en 2022 par Romain Cointepas et Olivier Poitrey, co-fondateurs de NextDNS."
votre avatar
Le premier niveau de « protection » comprend « 20 millions de domaines malveillants dans la base de données » et DNS4EU annonce en ajouter « environ 150 000 par jour ».
Espérons que ce DNS m'empêchera d'être "brainwashé" sur l'invasion du pays et les derniers faits divers.

:yes: #sarcasm
votre avatar
Hop, mis en DoH sur Vivaldi. D'ailleurs je suis toujours étonné que sur ce dernier il faille encore passer par chrome://settings/security pour accéder à ce paramètre. Je n'ai jamais réussi à le trouver dans ses écrans d'options.
votre avatar
Ça m'intéresse, mais je n'arrive pas à le faire avec VIvaldi 7.4.3684.46 (Windows 10).
Je pars de vivaldi:settings/security , où Utiliser un DNS sécurisé est coché, je choisis dessous Ajouter un fournisseur de DNS personnalisé, il m'ouvreun champ de saisie texte Saisissez l'URL de requête DNS personnalisée*, je colle https://86.54.11.100/dns-query dans ce champ...
... et Vivaldi n'est pas content ("Veuillez vérifier qu'il s'agit d'un fournisseur valide ou réessayer plus tard", navigation ne fonctionne plus.)
Où me trompé-je, bon sang de bon soir ? (Il ne râle si je saisis https://cloudflare-dns.com/dns-query)
votre avatar
Je pense qu'il n'aime pas l'IP. J'ai mis https://unfiltered.joindns4.eu/dns-query et il ne se plaint pas.
votre avatar
Oui. Comme dit Firefox «  Le certificat est seulement valide pour les noms suivants : child-noads.joindns4.eu, child.joindns4.eu, doh.joindns4.eu, dot.joindns4.eu, hos.joindns4.eu, noads.joindns4.eu, protective.joindns4.eu, resolver.joindns4.eu, unfiltered.joindns4.eu »
votre avatar
Au pire il est possible de régler niveau système. Windows 10/11 supporte le DoH.
votre avatar
Tu parles de Vivaldi desktop ou mobile ou les deux?
votre avatar
Desktop, j'ai pas regardé le mobile.

Je n'ai pas le réflexe des smartphones, ces outils n'étant pas conçus pour surfer sur le web mais souffrir.
votre avatar
Merci pour la réponse et l'humour avec! ;)
votre avatar
Le spécialiste en profite pour revenir sur la question du blocage DNS : « Curieusement, alors que le cahier des charges de DNS4EU prévoyait explicitement la mise en œuvre de la censure des 27 États membres de l'UE, je n'ai pas trouvé de domaine censuré. Même Sci-Hub marche ». De manière générale, il n’a « pas encore vu de signe de censure étatique (par exemple au profit des ayant-droits) ».
Le site dit bien "We do not apply any type of legal filtering.".
votre avatar
Oui enfin, ils vont plaider quoi quand les avocats des ayants-droits vont débarquer avec des décision de justice déjà appliquées aux autres, y compris des géants comme Google?

Il faut rester réaliste, ils ne vont pas pouvoir répondre "lu et s'en tape" aux décisions de justice.
votre avatar
Le cahier des charges, au moment de l'appel d'offres, disait exactement le contraire, donc j'ai des doutes.
votre avatar
Un DNS européen ne peut être qu'un DNS menteur... hop poubelle.
votre avatar
Il aurait fallu lire l'article au lieu de raconter n'importe quoi ...
(même si je me demande combien de temps durera cet état de grâce)
votre avatar
Ce n’est pas un état de grâce, c'est juste que les avocats n'ont pas encore eu le temps de mettre la pression. En plus, comme ce dns s'inscrit directement dans une philosophie de filtrage avec tous ses niveaux de "protection", il sera aisé de lui mettre la pression. Tout ce que cette plateforme met de vertueux en place sera détruit par le cadre légal déliquescent de l'U.E.
votre avatar
Pour moi le point important c'est ça :
L’adresse IP du client est entièrement anonymisée avant d’être envoyé au résolveur. Aucune donnée privée n’est collectée nulle part, ce qui garantit un alignement total avec le RGPD et les autres réglementations européennes en matière de protection des données ; vos données restent les vôtres.
Donc je ne suis pas d'accord avec le "Pas d'intérêt pratique" car c'est une vision purement technique. Que font les autres DNS des données qui transitent ?
votre avatar
Si ce DNS joue au DNS menteur avec Scihub, je ne le mettrai pas...
Sinon, bienvenue à lui comme DNS principal de mon Adguard Home ^^

EDIT : j'aurai dû lire le dernier paragraphe avant d'écrire !
votre avatar
Comment on anonymise une adresse ip source à qui on doit répondre ?
on passe par un genre de nat, un proxy ?
certes le résolveur lui même peut ne pas la voir, mais le machin au milieu sait tout quand même et lui est sur l'adresse du résolveur .
C'est flou/loup .
votre avatar
C'est aussi ce que je me pose comme question.
Peut-être un NAT pour protéger l'adresse IP, et seul le résolveur déchiffre la requête.
Ainsi le NAT connait l'adresse IP, mais pas le site, et le résolveur lui connaît le site mais pas l'IP...
votre avatar
Sûrement un truc comme ça, mais bon on ne peut pas le vérifier, on est obligé de croire sur parole. Ca n'a donc pas vraiment plus de valeur que d'affirmer "promis on a désactivé les logs sur serveur DNS".

Bon ça protège toujours d'un admin indiscret, sous réserve qu'il n'y ait pas d'admin en commun entre le NAT et le DNS, et que l'affirmation soit et reste vraie.
votre avatar
14 millions d'euros pour monter un DNS....
On devrait tous être riche :D

(Si il l'on fait sur un Raspberry, on marge encore plus mieux :p )
votre avatar
M'est avis que le plus cher dans l'histoire (outre l'inflation "projet public" standard), c'est les listes de filtrage des différents niveaux du service. C'est le coût humain qui est toujours le plus cher dans un projet.

L'infra et les middlewares, ça représente peanuts sinon.
votre avatar
Meuh ? C'est juste un serveur. J'ai pas besoin d'un clampin (qui va vouloir avoir une feuille de paye) pour surveiller 24/7 les leds. Si ? :-/
votre avatar
Un résolveur DNS doit marcher sans jamais une pause (même d'une seconde) car, sans lui, rien ne marche. Oui, il faut une astreinte.
(Sinon, relisez le message de SebGF qui explique bien ce qui consomme du temps de travail humain.)
votre avatar
Certes, il en faut même deux distincts pour inscrire les sites que l'on host dans bind...
Z'allez pas me dire que l'on paye donc en salaire 14/2=7M pour du named par babasse ? :-/
(M'en vais augmenter sans délais mes tarifs et dire à Octave K. qu'on peut faire la pirouette sur les marché publics)
votre avatar
C'est pas le presta qui touche le pactole, c'est la boite de consultant qui le mandate. ;)
votre avatar
Ça m'étonnerait que ce DNS me permette de consulter Démocratie Participative donc c'est non.
votre avatar
Quelqu'un sait comment configurer le DNS privé sur Android ? Je n'y arrive pas. On peut dire que ceux qui ont rédigé l'aide sur la page joindns4 sont des pros ils n'indiquent pas ce qu'il faut renseigner.
Il n'est pas possible d'indiquer l'IP et si je mets filtred.join4dns.eu cela ne fonctionne pas.
votre avatar
J'ai indiqué noads.joindns4.eu et ça semble fonctionner.
votre avatar
Effectivement cela fonctionne. Merci.

@SébastienGavois ce serait bien de compléter l'article en indiquant les noms de domaine à renseigner correspondant aux IP.
votre avatar
Heu, y'a un truc que je n'arrive pas à piger. Si je veux spécifier un serveur DNS, quel peut bien être l'intérêt de le spécifier via un nom de domaine ? Ça veut donc dire que je dois contacter un premier serveur DNS pour savoir l'adresse IP du serveur DNS que je veux utiliser ? Quid si le premier DNS ment ?

edit : clarification
votre avatar
Je trouve ça con aussi mais je pense que la raison est qu'avec l'IP seule on ne peut pas vérifier la validité du certificat SSL qui lui est délivré pour un nom de domaine.

Il y a aussi le fait que le DoH utilise le même port 443 qu'un serveur web et donc que si on veut avoir les 2 sur la même machine on est obligé de spécifier un nom de domaine lors de la requête. Cependant je doute que cette raison s'applique à un résolveur "sérieux" qui sera sans doute dédié à cette fonction.
votre avatar
Moui, OK, s'il faut spécifier l'adresse IP pour contacter le serveur et son nom de domaine pour vérifier le certificat, ça se tient. Mais on est bien d'accord qu'il faut toujours donner l'adresse IP, même si on donne en plus le nom de domaine, ce dernier n'étant pas auto-suffisant.
votre avatar
Oui mais du coup il faut 2 champs, et même 3 pour l'adresse IPv6, avec des valeurs moins lisibles que du texte à rajouter, c'est moins pratique et vu qu'on retrouve ces configurations dans des navigateurs et dans Android, ça ne s'adresse pas qu'à des admins réseau.

De plus, pour vérifier le certificat, il faut aussi contacter l'autorité de certification, dont seul le nom de domaine est mentionné dans le certificat. Pour la même raison de sécurité, ce nom de domaine n'est pas remplaçable par une adresse IP. Il faut donc aussi une autre requête DNS classique pour contacter l'autorité, voire plusieurs s'il y a une chaîne d'autorités.

Bref, il semble que ça ne soit pas prévu pour être autosuffisant et remplacer totalement le DNS classique. Après comme je dis, j'ai eu la même réaction que vous ai départ, mais vos messages m'ont poussé à y réfléchir du coup.
votre avatar
Le principe d'une chaîne de certification c'est qu'elle doit - par définition - être vérifiable sans contacter qui que ce soit. monsiteàmoi.com est certifié par amazon.com qui est certifié par cloudflare.com qui est certifié par ansi.org. ansi.org est lui parmi les certificats trustés par la machine, donc c'est bon pour moi...

Infos détaillées : fr.wikipedia.org Wikipedia

Il n'est pas nécessaire de contacter un site Internet pour vérifier une des étapes, sinon comment on ferait pour vérifier qu'on contacte le bon site de vérification ?

Il reste évidemment le problème loeufélapoulien de télécharger les certificats "racine" que la machine truste localement, mais ceci est fait lors de l'installation / mise à jour de l'OS, pas au monent d'une résolution de nom.
votre avatar
Merci pour les détails, on ne veut pas aussi vérifier que le certificat n'a pas été révoqué ? Ce n'est pas forcément obligatoire, mais est-ce que ça ne se fait pas couramment ?

Pour savoir qu'on contacte le bon site de vérification, c'est le même genre de vérification que pour vérifier qu'on contacte le bon site final.
votre avatar
Les listes de révocation sont offline également. Il y a bien un protocole OCSP pour le faire en temps réel, mais il ne satisfait pas grand monde. Le gros problème d'une certification online est que le PC de l'utilisateur qui veut accéder à un site de boules va demander si le certificats du site st valide à un site. Donc ce site de vérification est au courant que l'utilisateur veut aller sur un site de boules. Si la vérification se passe exclusivement sur le PC de l'utilisateur, ben l'utilisateur a téléchargé un fichier avec tous les certificats (donc potentiellement celui du ste de boules) mais c'est juste une liste de sites que tout le monde reçoit, donc ce n'est pas une indication que l'utilisateur fréquente ce site.
votre avatar
Attention, la norme X.509 / PKIX , qui régit les certificats, permet parfaitement de mettre une adresse IP (testez https://1.1.1.1/ et vous verrez). La difficulté est de trouver une AC qui vous le fasse. (Let's Encrypt a annoncé qu'ils allaient le faire.)
votre avatar
Merci de l'info Stéphane, je vais surveiller pour le certificat de mon propre résolveur.
votre avatar
Non pas besoin d'un nom de domaine pour avoir un certificat TLS valide : "Alternate-name : ip " dans la demande de certificat, et le certifcat est accepté avec l'adresse IP également.
Je n'ai aucune idée pourquoi ce n'est pas en place...
votre avatar
J'ai eu la même réaction.
votre avatar
filtred
filtered ? :-/
votre avatar
protected ? protection ? ... je ne trouve pas le nom de domaine lié à l'IP 86.54.11.1
votre avatar
C'est intéressant pour placer dans les petites administrations (genre écoles) et les PME, histoire de ne pas avoir les DNS de la box opérateur tout en étant "au clair" sur les obligations à ce niveau (ie si les gamins vont quand même voir pornhub , j'ai fait ce qui était en mon pouvoir pour le bloquer...) :-)

L'aspect pérennité de la config est intéressant aussi - reste à voir la fiabilité dans le temps.
votre avatar
Le spécialiste en profite pour revenir sur la question du blocage DNS : « Curieusement, alors que le cahier des charges de DNS4EU prévoyait explicitement la mise en œuvre de la censure des 27 États membres de l'UE, je n'ai pas trouvé de domaine censuré. Même Sci-Hub marche ». De manière générale, il n’a « pas encore vu de signe de censure étatique (par exemple au profit des ayant-droits) ».
Au vu des discussions sur les commentaires, est-ce que DNS4EU a été contacté pour expliquer dans quel cadre ils se situent pour ne pas appliquer les mécanismes de censure qui étaient prévus ? @SébastienGavois
votre avatar
Ils écrivent :
Is DNS4EU mandatory for EU citizens, and does it enable censorship by the European Commission?
To ensure net neutrality and freedom for internet users, the usage of DNS4EU is voluntary for EU citizens, and they are always free to choose a different DNS provider.
This project provides the European Commission with no means of censorship. Furthermore, this would be against the goals of the project, which aims to strengthen digital sovereignty. The EU will not have access to configuration, data, etc. On top of that, DNS4EU will not be forced on anyone. It will merely abide to local regulations required of internet service provider. In other words, DNS4EU is not a way toward censorship, but actually toward data protection and better internet security and sovereignty for Europeans.
Remarque : comme l'adresse IP n'est pas transmise au serveur, ils peuvent de bonne fois ne pas appliquer les censures nationales comme ils ne connaissent pas le pays d'origine du demandeur.
votre avatar
J'avais vu ça sur le site, mais je trouvais l'explication plutôt vague. C'était plus en termes de garanties que la question se posait à mon sens.
Remarque : comme l'adresse IP n'est pas transmise au serveur, ils peuvent de bonne fois ne pas appliquer les censures nationales comme ils ne connaissent pas le pays d'origine du demandeur.
Ça me paraît sensé en effet :)
votre avatar
En cas d'injonction de la justice, cette subtilité risque de ne pas peser bien lourd. Si un juge estime qu'en tant que fournisseur DNS, il y a obligation de résultat dans le blocage, les sanctions tomberont sur ceux qui invoquent la créativité.
votre avatar
On sait tous que le blocage par DNS n'est pas synonyme d'obligation de résultat.
L'article d'hier sur le blocage du streaming sportif indique qu'il y a une évolution en France vers le blocage des adresse IP, c'est logique parce que c'est bien plus efficace, mais plus coûteux.

Il n'y a rien d'évident sur une décision de justice dans un cas comme celui-ci : il y a d'un côté le droit à la protection de la vie privée et le RGPD et de l'autre divers autres droits suivant les raisons de blocage (droit à la sécurité, protection de l'enfance, droit à la liberté d'entreprise (pour le streaming sportif), etc.). Dans ces cas là, c'est toujours une question difficile à trancher et ça se fait au cas par cas.

Enfin, comme ce comportement (ignorer les demandes de blocages des états membres) est contraire au cahier des charges, il est fort possible qu'il y ait une évolution sur le sujet sans passer par la case justice.
votre avatar
Le blocage DNS est une obligation de résultat sur la réponse retournée par le DNS, si un serveur DNS continue à donner des réponses non-conformes à une décision de justice, les opérateurs devront faire face à des sanctions. Un refus d'identifier la provenance d'une requête pour identifier la liste de blocage du pays à appliquer veut juste dire que tous les blocages s'appliqueront à tous les utilisateurs.
votre avatar
Je ne sais pas comment ça se passe en Belgique, mais en France, les jugements de blocages ne précisent pas la méthode à employer. Ce sont les FAI qui ont décidé de répondre en mentant aux requêtes DNS pour "bloquer" les sites et ça a été accepté comme mesure suffisante depuis très longtemps. Tout le monde savait que ce n'était pas parfait. Bon, quand la justice française demande de mentir aux principaux serveurs DNS en dehors plus des FAI, je suis bien d'accord que ça va être compliqué de dire qu'on ne sait pas faire, mais j'aimerais bien une résistance de DNS4UE qui mettrait en balance le droit au respect de la vie privée et le RGPD pour quel est le droit fondamental qui l'emporte.
votre avatar
Euh, non, tu es mal renseigné, ce ne sont pas que les FAI qui sont enjoints de bloquer: les DNS tiers comme CloudFlare, Google, Cisco, ... se sont déjà pris des injonctions de blocage.

P.ex: next.ink Next
votre avatar
Et toi, tu lis mal ce que j'ai écrit. Il faut dire qu'un mot en trop ne facilite pas la compréhension.
Je parle de ce qui se passait à l'origine, justement avant que l'on sollicite aussi les autres fournisseurs de serveurs DNS.

Je ne peux pas être mal renseigné, je lis next.ink moi aussi. :langue:
votre avatar
"Pour googletagmanager.com, il renvoie un amusant 0.0.0.0. "

Je sens qu'on va bien rigoler au diner ce soir lorsque je vais mettre cette anecdote sur la table. :D

Le résolveur européen DNS4EU est disponible, avec ou sans « protections »

  • « Pas d'intérêt pratique […] mais c'est toujours bien »

  • Un résolveur, cinq options (avec ou sans filtres)

  • Protection (relative) contre les publicités

  • Blocage DNS, censure étatique et anonymat

Fermer