Paratyphi a écrit :



Tant qu’il faudra passer par les “tuyaux” des FAI pour avoir accès à un internet alternatif et décentralisé (qui sera de toute façon lent et dépendant de bénévoles), ces solutions pourront toujours êtres bloquées par les FAI à la demande des autorités.





Je suis pas aussi sur que toi.



Comment tu fais ça , en pratique ?



Tu peux bloquer par DNS , c’est ce qui est fait mais c’est très facile à contourner. Et le nombre de domaines n’est pas limités , un domaine peux simplement servir de “point de rendez-vous”.



Tu peux aussi bloquer par IP, mais outre l’avènement de l’IPv6 et la multitude d’AS et de plages IP, tu auras toujours la balance entre un immense sur-blocage ou un sous-blocage inutile.

Et je te passe le fait que bcp de sites rebondissent via un CDN.



Ou alors il faut faire une liste blanche, bloquer TOUT et ouvrir à la demande. Là, pour moi, c’est simple, tu stoppes l’économie du pays entier , c’est ce qu’ont fait les syriens, iraniens, ….

En plus on ne parle que du grand public (cad les 4 gros) mais des FAI , des opérateurs indépendants il y en a pléthore.  Lorsque je prends un abo chez OVH, certes  OVH loue les liens à Orange.

Qu’est-ce qu’on va faire ? interdire à OVH de dégrouper des liens sous prétexte que OVH ne bloque rien ?



Un FAI associatif passe parfois par de l’IPSEC, de l’OpenVPN,…. des choses qui sont aussi très largement utilisés en entreprise , pour le télétravail tant vanté justement. Faire du pattern-matching pour bloquer ça, ça risque d’être sympa…. et un opérateur qui le ferait “mal” se verrait très vite avantagé , y compris en pro.

 



De ce que j’en sais les FAI et les opérateurs d’infra ont une infrastructure répartie qui ne permet simplement pas ça en l’état. C’est pas un hasard si le blocage par DNS est privilégié par les FAI : c’est la seule chose qu’ils peuvent faire à leur niveau sans re-concentrer le réseau qu’ils ont mis des décennies à redonder & sécuriser.





 

Beaucoup de choses que je lis en ce moment sur les loi se heurtent simplement à la basse réalité du réseau physique. Les sites “pirates” mettent des années à être fermé, et se remontent, par d’autres personnes, en ³⁄₄ jours, c’est pas un hasard et c’est inarrêtable. 



Il est fort probable que plein de sites à contenu terroriste & pédopornographique utilisent exactement les mêmes méthodes. La seule chose, c’est que l’immense majorité d’entre nous ne vont pas sur ces sites , n’en connaissent pas les point d’entrée et n’en partage certainement pas le contenu - alors que c’est l’inverse avec le torrent et autres techniques de fastflux.





 





Bourrique a écrit :



Les metadatas sont déjà suffisamment parlantes sans avoir à vérifier chaque paquet qui transite dans les tuyaux.

Une url du typehttps://baiedescorsaires/reine-des-neiges-2-HD-full.ruisseau, y’a peu de chance







Sauf qu’un FAI ne verra pas  “https://baiedescorsaires/reine-des-neiges-2-HD-full.ruisseau”. 

Il verra “baiedescorsaires” , si tant est que son DNS est utilisé pour récupérer l’IP - ce qui ne sera bientôt plus le cas avec Firefox quand ils passeront en DOH.

 

Sinon il verra par exemple : “185.206.39.15” , et de plus en plus “2001:dc8:ab45" />5a6:c1:0:ac1f" />841” .



Donc là:



* Soit il se connecte lui-même à cette IP pour voir ce qu’il y a derrière, sans pour autant en connaître l’URL donc au mieux il arrive sur la page d’accueil du site ou une page “par défaut” qui ne donne pas d’info, au pire il s’aperçois que c’est un CDN,  un mutualisé ou un proxy,



* Soit il fait confiance à une liste noire d’IP montée par un tiers et bloquer cette IP (avec le risque que  ça ne serve à rien car le site “baiedescorsaires” est load-balancé donc une autre IP sera envoyée à la prochaine résolution DNS ou qu’au contraire des tas de gens commencent à brailler car t’a bloqué un CDN et que des milliers de sites , dont des gros, plantent).



Mais bon, dans ce second cas, ils auront fait de leur mieux. Même si c’est complètement inutile et que ca leur coutera des sous, des performances, et ça diminuera leur attractivité par rapport à un autre FAI qui ne ferais pas ça.

 



La vie d’un FAI n’est pas facile, mais elle a été conçue précisément pour cela….









Si l’on veux réellement une solution, il faudra impérativement que ce soit une solution “globale”, à l’échelle mondiale. Par exemple, agir au niveau des TLD de 1er niveau pour que les serveurs de .com blacklistent “baiedescorsaires.com” .  C’est précisément pour éviter ça (et aussi pour faire du fric…) que les registars du monde entier ont créé vraiment tout plein de TLD, répartis partout dans le monde).

Ou alors, agir au niveau du routage des IP pour que les IP des sites “pirates” ne soient plus annoncés entre opérateurs (en BGP) .



Quand on voit qu’ils arrivent déjà pas à tous mettre en place la règle “BCP38” (Ingress Filtering) qui consiste simplement à faire qu’une machine sur internet ne puisse PAS acheminer un paquet avec comme adresse IP source l’adresse IP d’un tiers mais uniquement la sienne… on se dit qu’on est très loin d’un plan mondial anti-piratage avec automatisation de blacklist.