Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le FAI associatif FDN bloqué par AWS, Reddit, YouTube et Engie

Le 26 août à 12h06

French Data Network (FDN), association fondée en 1992 et un des pionniers d'internet en France, explique dans un billet de blog que ses membres, auxquels il donne accès au réseau, ne peuvent plus accéder aux sites d'Engie.

Du côté de YouTube, depuis peu, les utilisateurs du réseau associatif ne peuvent plus accéder au site sans que celui-ci leur demande de se connecter « pour confirmer [qu'ils ne sont pas] un robot ». Le problème est similaire chez Reddit. D'autres sites comme BoursoBank, Disney Plus, entre autres, sont eux aussi touchés.

Pour les sites du groupe industriel énergétique, le problème existe depuis avril 2023 explique FDN. Une erreur HTTP 403 s'affiche à la place. Le support technique du fournisseur d'accès associatif a constaté que sa plage d'adresses (ainsi que celle du réseau de Gitoyen, un autre FAI associatif) « est présente dans le groupe de règles de filtrage "AWS-AWSManagedRulesAnonymousIpList" mis à disposition par Amazon Web Services (AWS) auprès de ses clients, dont Engie fait partie ».

Après avoir essayé de contacter les différents acteurs, l'association demande publiquement à AWS de retirer les réseaux FDN et Gitoyen de son groupe de règles de filtrage, à Engie de débloquer l'accès à ses sites et à YouTube « de ne pas forcer l’authentification des utilisateurices venant des réseaux de FDN et Gitoyen ». « Nous ne sommes pas des robots ! », ajoute l'association.

Le 26 août à 12h06

Commentaires (116)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Bon courage aux équipes et aux abonnés. Cela met une nouvelle fois en lumière le pouvoir de nuisance impressionnant des grandes plate-formes (Amazon, Google, etc.). Tout cela conduit à une uniformisation du Web qui semble inévitable.
votre avatar
Attendons peut-être d'avoir les raisons. Je doute qu'ils aient fait ça simplement pour le plaisir d'embêter FDN.
votre avatar
Je ne suis plus trop dans l'idée de leur laisser le moindre bénéfice du doute. Les raisons sont (le plus souvent) du style "oh la la ce sont des geeks et y a des gens qui autohébergent leurs services, c'est honteux". Bref crier tout haut "sécurité" alors que le soucis c'est le modèle économique et la concurrence. faut jamais laisser penser qu'il peut exister la moindre alternative aux gafams
votre avatar
Je pense que FDN existe juste pas pour les Gafam. c'est aussi simple que ça.


Il existe sans doute des TAS d'autres FAI (étrangers , pro, spécialisés, hébergeurs, ... qui sont aussi emmerdés par ces règles et dont les gafam se fichent aussi.

Dans un autre registre, depuis longtemps maintenant microsoft rejettent les mails provenant de petits opérateurs , voire les effacent sans rien dire. Et il est impossible de communiquer avec eux sur le sujet surtout maintenant qu'ils ont remplacé leur support indien par copilot (qui est très gentil et peux te tenir la jambe la journée mais qui ne résouds rien).

A mon sens on s'achemine vers un internet à 2 faces : Les GAFAM et les autres.
Ca me rappelle (oui, rant de vieux con) l'époque où Microsoft , déjà, cherchait à imposer "MSN" comme "le" web , et on avait des CD dans les magazines où l'on trouvait des n° de téléphone pour modem pour s'y connecter mais on avait pas accès à internet (juste à "MSN") et où le format des adresses mails était spécifique...
Il ont juste mis 30 ans de plus que prévu.
votre avatar
Dans un autre registre, depuis longtemps maintenant microsoft rejettent les mails provenant de petits opérateurs , voire les effacent sans rien dire.
Franchement, ça me fatigue de lire ça.

Mettre en place un système de mail, ce n'est pas juste monter un serveur IMAP/POP et SMTP. Enfin plus.

Aujourd'hui, il faut configurer tout un tas de truc correctement, du DNS au DKIM en passant par le SPF, que l'IP du serveur SMTP ait un reverse DNS et que cette IP ne soit pas sur aucune liste anti-spam. Oui, ça peut être du boulot (surtout si l'IP récupérée a une mauvaise réputation).

Et quand tout est bien configuré, je n'ai jamais eu de soucis avec Microsoft, ni Google d'ailleurs. Les mails arrivent correctement, et pas en spam.
votre avatar
Et moi, ce qui me fatigue, c’est le support microsoft. Oui, l’ip que j’ai récupéré a mauvaise réputation. J’en avais une bonne avant l’incendie de strasbourg, et effectivement, je n’avais aucun problème. Maintenant, t’as beau avoir dmarc + spf, si ton ip a mauvaise réputation, c’est mort. Malgré plusieurs années (l’incendie de strasbourg, ça commence à remonter).
votre avatar
J'ai eu le cas d'IP de mauvaises réputations, à plusieurs reprises. Et chez OVH aussi d'ailleurs. J'ai simplement eu à contacter les listes comme Spamhaus sur lesquelles mon IP apparaissaient pour la faire retirer.

Certaines sont honnêtes et font correctement le taf. D'autres le sont un peu moins et prennent largement leur temps pour traiter la requête, sauf si tu payes (mais ce type de liste est de moins en moins utilisées). J'ai passé 1/2j à faire les déclarations nécessaires (car chaque liste à sa propre démarche), et peut être attendu 1 mois pour que la dernière liste prenne en compte la demande.

J'avoue que je n'ai pas eu à contacter le support Microsoft à ce sujet depuis un certains temps (2017). Mais à l'époque, aucun souci pour les contacter et avoir une réponse de leur part.

Et si je n'ai pas eu besoin de les contacter depuis sur ce genre de sujet, c'est tout simplement que je ne me suis jamais retrouvé avec des mails qui étaient rejetés sans raison. A chaque fois, il y avait un défaut de configuration ou une IP avec mauvaise réputation.
votre avatar
Ici on a plein de soucis tout particulièrement avec MS sur nos mails auto-hébergés, pas avec M365, mais outlook.com.

DKIM, SPF, DMARC, et tout niquel, depuis longtemps, juste les mecs nous bloquent de façon aléatoire sur leur service de mail grand public, et on est obligés de leur envoyer des mails régulièrement pour qu'ils nous débloquent, et ils le font quand ils veulent.
C'est un enfer.

Aucun souci avec Google, ni avec les autres, zéro (en tout cas dans le cadre d'envoi d'emails non automatisés).
votre avatar
Merci de ton retour.

Déjà, tu confirmes qu'il est possible de les contacter (ce que certains contestent).

Si vos mails se retrouvent bloqués, il y a fort à parier que l'IP est blacklistée par une liste, soit directement, soit par range.

Des fois, il suffit d'une seule liste pour foutre le bordel. La difficulté, c'est que la liste des listes utilisées par tel ou tel service est très très rarement publique.

Si tu me files les info nécessaires (par mail, tu l'as déjà ^^), je regarde ça quand j'ai le temps si tu veux ;)
votre avatar
Pour les contacter, à la décharge des contestataires, c'est relou et inutilement compliqué, mais c'est possible indeed (d'autant plus que les messages de non delivery sont abscons).

Nous, lorsque nous étions bloqués, nous étions dans aucune liste noire publique, et nos ranges n'ont pas de réputation puisqu'ils sont neufs (ce qui est une forme de réputation à proprement parler).

Pour le moment on passe, mais si on se retrouve bloqués à nouveau, je te consulterai avec grand plaisir !
Merci ❤️
votre avatar
Rien à voir avec les gafam, mais il y a quelques années, mes amis de GOG ont eu un problème plus ou moins similaire non pas avec les gafam, mais avec les opérateur internet français qui n'acceptent pas les mails de double authentification de GOG. Les utilisateurs du coup n'arriver plus a se connecter a leur compte GOG. Il y'a meme un post dédié a cela sur le forum: https://www.gog.com/forum/general_fr/probleme_dauthentification_en_deux_etapes

Cela a bien été casse-pied pour eux de les contacter. D'autant que le problème est parfois revenu entre-temps.
votre avatar
Déjà, tu confirmes qu'il est possible de les contacter (ce que certains contestent).
C’est possible de les contacter. Je confirme le support indien qui a été évoqué plus tôt. Le problème, c’est que les documents demandés relèvent du délire kafkaien, et que même une fois fournis, ben, ça n’a pas suffi…

Je te rejoins sur le fait qu’avec les autres, ça se passe mieux. Microsoft (adresses en outlook.com ou hotmail.com), c’est juste l’enfer.
votre avatar
Merci.

Je précise que je suis pas un débutant non plus. Je sais mettre en place un serveur mail, et mes IP v4 & V6 ont pas changé depuis 2011 (mais oui FAI associatif)
C'est pas trivial mais le message de fdorin semblait supposer que si tout le monde commence à suivre des short youtube pour pondre des serveurs mail c'était normal que ça déconne....

Les seuls chez qui j'ai de gros problème récurrents et avec qui j'arrive pas à communiquer (soit à cause du support kafkaïen soit des bot AI qui répondent) , c'est Microsoft. J'ai 0 problèmes chez la plupart des autres fournisseurs et j'ai évidemment 10/10 à tous les mail-checker que j'ai pu essayer sinon je serais même pas en droit de parler.

Là, vous êtes plusieurs à me dire que vous aussi vous avez des problèmes avec les domaines microsoft, dont Ferd qui est pas non plus un lapin de trois jours en la matière.
votre avatar
Justement, ça me fait penser à ces sites qui passent par CloudFlare, c'est sincèrement relou de devoir subir un message d'attente, voir qu'il faille confirmer que l'on n'est pas un robot à quasiment chaque visite. C'est un véritable tue-l-amour !
votre avatar
Fort heureusement rien ne t'oblige à visiter ces sites qui visiblement ne veulent pas de toi !
votre avatar
Ce n'est pas si simple, payer son stationnement, payer ses factures, se connecter à la communauté d'agglomération pour récupérer ta carte de déchèterie.
C'est un peu caricatural de suggérer qu'il suffit d'aller voir ailleurs.
votre avatar
On parle d'entreprise privée ou de service public ?

Dans le second cas, ils doivent être accessibles.
votre avatar
Dans nos rêves.. en pratique ils ne le sont pas.
Je sors d'une bataille de 10-11 mois pour avoir la possibilité de faire un démarche administrative «basique» parce que "c'est moderne faut passer par une appli" c'est pas accessible du tout pour toutes les personnes: qui n'ont pas de smartphone, un OS alternatif, pas la bonne version du système, pas d'appareil adapté à leur handicap, voire juste pas la bonne CNI. Ça m'a coûté 55€ pour cette seule démarche que d'autres peuvent faire gratuitement. Même pas j'essaie d'utiliser mon CPF -_-
votre avatar
Ça peut intéresser la rédaction et les lecteurs d'ici. @SébastienGavois ?
votre avatar
En effet, ça m'interresse. Ca me soul de devoir installer une appli rien que pour avoir accés à certaines infos. J'ai toujours en travers de la gorge de devoir installer les applis la banque postale et caisse d’épargne pour pouvoir accéder au site web.
votre avatar
Tu parles du 2FA ?
N'ayant pas la possibilité d'avoir ces applis non plus, j'ai toujours refusé leur solution "principale" qu'ils mettent en avant. Pour le moment ils continuent d'envoyer un sms pour confirmer l'authentification. Mais ça pourrait sauter.
Une fois que tu as accepté d'utiliser leur appli je ne suis pas sûr qu'ils acceptent de revenir sur les SMS ?
Parce que tout le monde bien sûr a un smartphone et en rachète un systématiquement en cas de problème /s
votre avatar
au crédit agricole quand mon tel est hors ligne ils envoie un sms, donc j'imagine que l'appli discute pratiquement tout le temps avec leurs serveurs pour dire si elle est dispo ou non...
votre avatar
ou au moins juste au moment de l'authentification: si elle ne répond pas qu'elle a bien transmis le code dans la minute, ça passe sur une solution de secours; plutôt logique et intelligent vu que le code d'authentification a aussi une durée limitée.
Mais ça n'empêche que tu ne sais pas ce que fait l'appli sur ton téléphone en effet, et ce que les droits abusifs qu'elle a pu exiger à l'installation lui permettent de faire.
votre avatar
Il y a le 2FA, et aussi la validation de virement, de paiement.

Un truc abérant que j'ai eu à la caisse d'épargne. je demande à mon conseiller de faire un virement entre deux comptes chez eux, et il me répond qu'il ne peut pas, qu'il faut que je le fasse soit via l'appli téléphonique soit sur le site web. Je me suis retenu de lui demander à quoi il servait.

Par contre pour essayer de me refourger des assurances bagnole, maison, etc.. ça il pouvait.
votre avatar
C'est exactement cela. Maintenant, on n'a même plus de vrai conseiller banquaire (et avant ils restaient au mieux 3 mois en poste). Je me demande à quoi sert le fric qu'on leur laisse tous les mois en fait ...
votre avatar
Oui, ce ne sont plus des conseillers mais des commerciaux. J'ai la même dans une autre banque.

Ils forcent pour retirer les humains des procédures régulières habituelles pour pouvoir «alléger la masse salariale» je suppose.
votre avatar
de quel site officiel s'agit-il parce que vraiment depuis des années je n'ai eu aucuns soucis alors que je suis sous Debian de même ma mère de 75 ans (pas vraiment geek comme vous devez vous en douter) se connecte sans soucis sur tous les sites dont elle a besoins (impots ants agir-arrco ensap et d'autres) à partir d'une ubuntu
votre avatar
Ce n'est pas un site web, mais une démarche administrative qui bloque: la signature d'un document INPI (signature électronique qualifiée, eiDAS), si t'as pas la dernière carte nationale d'identité et l'application France Connect + (je ne suis pas sur Android ni iOS) t'es coincé-e.

C'est la même chose pour le CPF* par exemple et plusieurs autres procédures depuis quelques temps, il faut FC+ et il n'y a pas vraiment d'alternative pour les personnes sans cette application (qui peuvent avoir plein d'autres motifs de ne pas l'avoir, un handicap important par exemple).

Avec des contributions sur LinuxFR on a commencé une liste de procédures non accessibles. La dépêche n'est pas encore publiée mais le sera bientôt.

* Il y a une procédure par courrier pour le CPF seulement, pas mise en avant et en supposant qu'elle soit encore fonctionnelle...
votre avatar
la question légitime étant : je n'ai pas d'iphone/android, pas de smartphone du tout, voire aucun téléphone mobile (si si, heureusement : ça existe encore) ; du coup, je fais comment sans cet appareil, sachant que pour des raisons qui me sont propres, je n'en dispose pas, sans que les autres me fassent culpabiliser?

un ordinateur suffit largement pour beaucoup de choses ; le smartphone est le caprice des gafam ; suffit de voir sur linuxfr la tonne de retours négatifs des applis..

https://lord.re/posts/249-informatique-perte-engouement/ parmi tant d'autres..
votre avatar
Je n'ai pas encore tout lu le post de Lord, mais j'aurais pu écrire le début déjà ^^
Les smartphones sont aussi une lubie de plusieurs générations non-techniques, la soit-disant solution à tout, qui ne savent pas comment ça marche derrière et qu'est-ce que ça implique quand on ne passe plus que par ça (en tant que décideuses-eurs et utilisateurs-trices).
C'est un peu la même histoire que tous les commerces physiques qui se sont mis à n'avoir plus qu'une page Facebook pour être visibles à une époque, plus de site web publique et ouvert; ou les ventes déléguées aux grosses plateformes en ligne.

Depuis quelques années c'est les applis à la place des sites web aussi, et ça n'est pas du tout accessible.

L'Etat suit la tendance, en considérant que toucher 80% de la population en n'ayant même pas à gérer le service, la sécurité, l'infra, les développements c'est suffisant..
votre avatar
linuxiens anti-gafam, attention : n'allez pas sur lafibre.info, vos pairs se font démolir par un petit fanclub de lycéens qui n'a d'yeux que pour les services nords-américains. Soyez prévenus.
votre avatar
On a vu passer. Tant pis pour eux (celles et ceux des fanclubs) :)
votre avatar
Et il y a de fortes chances que ce soit ce genre de lycéens qui se retrouvent à la tête de gros DSI, et donc avec des boîtes qui continuent à rester chez les GAFAM même si c'est contre-productif pour leur activité et qu'il y a mieux ailleurs.
votre avatar
Si je peux apporter une touche de nuance, je dirais que ca dépend du business vendu.

Une boite qui vend un outil de gestion RH par exemple, où l'infrastructure n'est pas son cœur de métier, ça tout intérêt à aller chez un cloud provider. C'est simple, ça juste marche, et ça évite d'avoir une équipe d'admin système et réseau pour maintenir l'infra.

Maintenant, une boite qui vend de la tech, comme de l'infra ou des services bas niveau, à tout intérêt pour son avenir à faire du on-prem.

Maintenant, la réalité du marché, c'est que c'est extrêmement compliqué de trouver des administrateurs systèmes techniques compétents. Est-ce qu'une boite vendant un service haut niveau est prête à embaucher plusieurs sysadmin (légalement 4 pour pouvoir tenir un service 24/7) payé très cher, alors qu'un ou deux devops, moins cher, empilant des bloc AWS ferait tout à fait l'affaire.
votre avatar
sur PC sous linux (debian et ubuntu) aucun soucis avec france connect.
Mais pourquoi parler de "l'application" je n'ai jamais vu aucune "application" france connect à "installer" c'est juste un moyen de s'identifier fourni pas l'état et qui est là pour sécuriser l'accès à des sites importants.
En fait vous vous plaignez de quoi exactement ?
Parce que là franchement je ne comprend pas du tout votre chemin de réflexion (ce n'est pas une moquerie juste le besoin de comprendre).
Vous voudriez qu'on se connecte sur ces sites sans identifications ?
un peu dangereux non au vu des contenus
ou que ces sites aient chacun un mot de passe et un login ?
Bonjour le bordel au vu du nombre...
Quand au CFP ma compagne l'a utilisé sur son portable sous Ubuntu récemment et n'a eu aucun soucis de connexion elle a pu avoir accès au compte, aux stage et aux procédures sans aucun soucis.
C'est pour cela que je ne comprend pas ce que vous reprochez à FC qui permet juste et seulement de s’authentifier.
Je fais tout par internet (pas depuis un smartphone les écran timbre poste ça me soule) et je n'ai jamais souffert d'un quelconque blocage depuis pratiquement 10 ans...
Vous êtes vraiment sur que cela ne vient pas plutôt de votre configuration ou tout simplement de votre rejet personnel ? (c'est une question que je me pose surtout pas une remise en cause de votre personne).
Je serais curieux de lire la dépêche sur linux.fr ne serait-ce que pour comprendre quel soucis il peut bien y avoir.
Quand aux démarches alternatives sur papiers elles existe bien et ont été rendues obligatoire par la loi il y a quelques années mais de ce point de vue je suis d'accord avec vous les différents sites devraient être contraint de les rendre facilement accessibles, d'un autre coté on peut les comprendre (sinon les excuser).
je n'ai pas non plus la dernière carte d'identité électronique.
votre avatar
Non, il y a confusion (de leur faute aussi.. quel commercial a eu l'idée de ces noms..?)
France Connect sert à l'auth web basique et fonctionne sur tous les navigateurs, aucun problème, rien à y reproche.
"France Connect +" est une application mobile, Android / iOS uniquement évidemment
Elle fait l'authentification aussi, mais plus forte. Et également de la signature de documents officiels (pour dire "c'est bien moi, M/Mme XXXYYY qui ait signé ce document, certifié prouvé par l'application mobile qui m'a authentifié) et pour cette application, et en tout cas pour les signatures de documents dont je parlais il faut avoir la nouvelle carte d'identité qui emporte dans sa puce et donc les données certifiées, des données biométriques.
J'ai appris ça après en parlant de ce problème ailleurs, je n'ai jamais pu aller jusqu'à ce blocage avec la CNI puisque je n'ai de toutes façons pas l'application.

Du coup, non je n'ai absolument pas dit qu'il ne fallait pas ou moinsde sécurité, au contraire vu les arnaques au CPF par exemple, mais que toutes les solutions de sécurité doivent être accessibles à tout le monde.

Les démarches CPF de votre compagne datent de quand ? Le renforcement de la procédure date d'il y a "peu" l'authentification forte est exigée maintenant.

La dépêche ne devrait pas trop tarder, vous pouvez voir les contenus qui sont liés avec ce tag: https://linuxfr.org/tags/franceconnect/public déjà. Elle devrait le porter aussi.

Ce n'est pas à cause de mes choix personnels, je ne suis pas le seul concerné. Même des personnes avec un smartphone "classique".
Les démarches papier ont probablement disparues de certaines procédures, ou sont très très bien cachées. Les agents ne sont pas formés non plus quand on les contacte pour leur dire qu'on est coincés avec la solution actuelle et qu'on demande une autre solution. Cela devrait être la première réponse de leur part: la solution accessible, quitte à ce qu'elle soit plus longue, ou un peu plus contraignante avec un RDV dans un service public pour être authentifié, mais au moins c'est une solution alternative pour de nombreuses personnes (et en cas de grosse panne technique). Aujourd'hui on a rien, soit un haussement d'épaules «bah on sait pas faire autrement » soit des solutions qui ne fonctionnent pas.

La dépêche contiendra de nombreux liens de retours d'expériences très variées.
votre avatar
votre avatar
Le site du ministère de l'écologie est "protégé" par Cloudfare, j'ai encore pu le vérifier malgré moi cet après-midi...
votre avatar
Next aussi, et pourtant tu y accèdes 😊
Probablement un réglage différent, du fait du client donc, et non du fournisseur.
votre avatar
Il y a eu des périodes pénibles à l'époque de next inpact.
votre avatar
Réglage différent ou pas, ca reste gonflant, dès que je vais sur le site du ministère, même si j'y suis allé 30 minutes avant, j'ai le captcha "prouvez que vous êtes bien un humain"...
votre avatar
Les cas où j'ai noté une forte répétition de ce message lourdingue, c'était avec la home box 4G ou encore au taff à cause du proxy.

Je suppose que c'est lié aux IP partagées. Et c'est lourd.
votre avatar
Je viens de tester au boulot, aucun problème pour y accéder malgré l'IP partagée. Je suppose que c'est parce que je suis déjà sur le RIE, donc une IP interministérielle :transpi:
votre avatar
Le problème c'est que les sites ne sont pas au courant de ces filtrages, mais c'est vrai qu'ils ont tous les moyens de faire pression sur leur fournisseur de sécurité.
Je vis ça aussi depuis longtemps avec le blocage de vps qui supportent des nat distants: Souvent le site découvre les subtilités nauséabondes des règles de filtrage par adresse source.
votre avatar
Un peu le même problème me concernant : un VPS qui héberge un VPN, je suis le seul à utiliser l'IP qui m'a été attribué et je suis considéré comme un robot pour certains services.

Exemple con : je peux pas me connecter à mon compte Ikéa avec le VPN (juste me connecter, je peux tout à fait naviguer sur le site).
votre avatar
Je suis malheureusement d'accord avec toi.

Un moment, j'étais banni sur le sur le site de Digiposte (site de LaPoste), service hébergeant mes fiches de payes dématérialisées envoyées directement par mon employeur.

Le message d'erreur n'était pas clair du tout sur le fait que mon IP soit banni (je l'ai compris pas la suite). J'ai tenté le support, qui ne comprenait strictement rien en me demandant de mettre à jour mon smartphone...

La vraie raison, que j'ai compris au bout de plusieurs mois, c'est que j’hébergeais un bridge Tor. Bien que n'autorisant pas le traffic à sortir de chez moi avec mon IP, j'ai quand même été tagué "à risque".

J'imagine que les sociétés de revente d'IPs "dangereuses" sont payées à la taille de leur blocklist. Donc autant dire qu'ils ne font pas dans la dentelle...
votre avatar
La taille des blocs d'ip vendus, c'est certainement un pousse au crime oui, en ipv6, ça craint si ils font ça aussi connement.
votre avatar
Le site du ministère de l'économie n'a pas vraiment d'équivalent, à ma connaissance... Donc difficile de l'éviter quand on cherche des informations fiables liées à ce ministère.
votre avatar
Chez OVH Telecom, j'ai parfois quelques (très rares) problèmes de communication avec des sites.
Parfois banni par cloudflare. Imgur en erreur 403 permanente.
Heureusement, je n'ai pas encore eu ce niveau là.
votre avatar
Oui, chez OVH Telecom, des fois on a des blocages. À ma connaissance, ça vient de deux causes différentes :
- certains sites savent qu'OVH propose des VPS qui servent à des choses louches, donc bloquent tout OVH. C'est complètement con, OVH Telecom est justement sur un AS différent d'OVH Cloud pour éviter cet amalgame, mais il y a des sysadmins bas du front.
- la plage d'adresses IP récupérée pour OVH Telecom était anciennement utilisée par une société russes aux activités obscures, donc apparaissait dans des listes de blocages. Il n'y a que ceux qui utilisent une liste périmée depuis 10 ans qui filtrent encore ces adresses.
votre avatar
Parmi les problèmes rencontrés avec mon IP ADSL OVH:
- édition impossible sur Wikipédia en IPv6 (bon, j'avais pu être mis en liste blanche sur demande) il y a longtemps.
- un site de notes de musique me bloque complètement et ne répond pas à ma demande (en leur) fournissant les plages d'IP d'OVH FAI et OVH hébergement)
- sur fnac.com, les bons-cadeaux ne pouvaient pas être utilisés, pas d'erreur affichée mais une erreur HTTP 4xx visible dans les dev tools. Si je basculais sur Bouygues via le partage wi-fi ça marchait. La FNAC n'a pas de contact technique.
Bon, c'est pas trop fréquent.
votre avatar
(Il y a Rimgo en client web alternatif pour consulter Imgur, au cas où ^^ )
votre avatar
Je propose que l'on lance un mandat d'arrêt contre Jeff Bezos pour abus de position dominante.
votre avatar
Réciprocité, on bloque les sites web utilisant AWS :mdr:
votre avatar
Comment le sait-on ?
votre avatar
Suffit de regarder leur IP https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html
votre avatar
Non, mais sérieusement, est ce qu'on ne risque pas de tomber un jour sur un racket contre les FAI de la part de ces gros hébergeurs ?
Est ce qu'ils ne laisseront pas un jour, au nom de la sécurité (et de la surveillance du trafic) de ne laisser passer que les adresses des vpns qu'ils fournissent ?
Privatisation de l'internet.
votre avatar
C'est déjà ce que certains tentent de mettre en place en annulant la neutralité d'internet. Prioriser certains, ralentir ou bloquer les autres, faire payer plus cher les clients autant que les FAI ou les services selon où on se place..
votre avatar
Rien d'anormal à ce que FDN soit dans la liste 'AnonymousIpList'.

La liste 'AnonymousIpList', comme son nom l'indique, liste les plages d'IP des utilisateurs anonymes (= qui utilisent un VPN, Proxy....).
Le groupe de règles de liste d'adresses IP anonymes contient des règles visant à bloquer les demandes provenant de services qui permettent de masquer l'identité du téléspectateur. Il s'agit notamment des demandes des VPN, des proxys, des nœuds Tor et des fournisseurs d'hébergement Web. (source)
Et FDN propose un service VPN.
Tunnels chiffrés (VPN): Depuis 2013, FDN propose à ses membres des tunnels chiffrés (dits VPN). (source)
votre avatar
En quoi serait-ce normal de bloquer l'ensemble des @IP de la FDN et pas seulement celles utilisées par leur service VPN ?
votre avatar
Sûrement car AWS à autre chose à faire que de courir derrière chaque FAI associatif pour savoir quel range IP ils utilisent pour l'accès direct à Internet, quel range ils utilisent pour leur service VPN et s'assurer d'être à jour ?

Vu la taille du FAI en question, tout bloquer (et perdre les clients derrière) coûte moins cher que maintenir une liste à jour.
votre avatar
Un VPN est un moyen de fournir un accès à Internet…
votre avatar
Je ne vois pas le rapport avec ma réponse.

Ils bloquent des IPs identifiées comme étant utilisées par des internautes pour s'anonymiser, et ne permettant donc pas à l'éditeur du service de connaître la légitimité des requêtes.
votre avatar
C'est quoi la légitimité des requêtes ?
En quoi l'utilisation d'un VPN rend moins légitime une requête HTTP ?
votre avatar
Ce n'est pas à moi qu'il faut poser la question, mais aux DSI qui décident de bloquer certaines sources de trafic.

AWS ne fait que fournir une liste d'IP qui répond à certains critères.

Personne n'est obligé de l'utiliser.

Ce qui l'utilisent le font pour les raisons qui leur sont propres.
votre avatar
C'est toi qui a introduit le concept de légitimité ici.
votre avatar
Oui, car si quelqu'un décide de bloquer des requêtes, ce qu'il estime qu'elles ne sont pas légitimes pour accéder à ses services.

C'est donc ce quelqu'un qui décide de la légitimité ou non de la requête.

Et ce quelqu'un peut décider de s'appuyer sur le caractère anonyme ou non de cette requête pour déterminer sa légitimité selon se propres critères.
votre avatar
Je gère un site à très fort traffic. On a toujours accepté les VPN, jusqu'au jour où des bots avec VPN ont débarqué. Cet outil d'anonymisation est devenu un problème: fausses inscriptions, triche sur les likes, impactant le site négativement: donc tout VPN est à présent considéré comme un bot, avec un bon captcha comme tout le monde aime pour continuer à naviguer.

Les bots utilisaient énormément de VPN différents, on a donc "bloqué" tous les VPN, d'ailleurs, il y a une IP de FDN dans ces bots, 80.67.172.xxx dont la dernière activité est le 24 aout...

C'est le comportement d'une minorité qui pénalise tous les autres.
votre avatar
La liste des vpn, c'est quoi ?
la liste des blocs hébergeurs ?
c'est la que ça coince, un nat distant (vpn) n'est jamais anonymisant, et ces listes bien trop grossières.
votre avatar
C’est exactement ça à mon avis.
votre avatar
Pas certain que FDN puisse différencier son trafic anonyme du reste.
De ce que je comprends, les routeurs Gitoyen sont les points de sortie de tous les utilisateurs de FDN, qu'ils utilisent un VPN ou pas. C'est pour cela que FDN demande de whitelister toute leur plage IP 80.67.160.0/19, et pas seulement le service VPN.

Idem pour leur service d'hébergement web, qui tombe aussi dans la liste 'AnonymousIpList'.
votre avatar
Et même en quoi est-il légitime de bloquer une adresse étant censée être celle d'un vpn ?
Depuis quand l'adresse ip pourrait servir à bloquer quelqu'un qui va se logger sur son compte, alors qu'il va peut-etre devoir fournir du 2FA derrière ?
votre avatar
Par exemple, quand certains contenus ne doivent être visible que par certains, notamment pour des raisons de droits, et que l'usage d'un VPN pourrait permettre de contourner le blocage mis en place.

Exemple concret : Les sites de VOD, ou même youtube.
votre avatar
Le problème est plutôt de s'appuyer sur une donnée non fiable pour localiser un utilisateur : son adresse IP. Faire de la géolocalisation à partir d'une adresse IP est une cautère sur une jambe de bois.

En fait, le problème initial est le découpage du monde pour gérer des droits d'accès à des œuvres alors que le monde a changé avec Internet.
votre avatar
Ah ça, je ne dis pas le contraire. Et je suis même 100% d'accord avec toi.

Maintenant, c'est malheureusement la réalité du terrain. Je ne faisais que donner un exemple pour répondre à brupala, cela ne veut pas dire que je cautionne.
votre avatar
c'est justement le cas où ça n'est pas justifié: il faut avoir un compte pour visualiser le contenu protégé, donc l'authentification doit suffire
votre avatar
Non. Pas forcément. Tu n'as pas besoin de compte pour regarder des vidéos youtube, certaines sont pourtant "géobloquées".

Idem avec les replays. Tu n'as pas besoin de comptes pour certaines chaines, tout en ayant des restrictions géographiques.
votre avatar
Sur youtube justement, maintenant ça me demande de m'authentifier google de plus en plus (quasiment chaque fois), pour les chaines, je n'en vois pas beaucoup, mais chaque fois, il faut une authent, le pire, c'est que malgré être authentification ils bloquent pas géoloc, purement dégueulasse, mais bon, je suppose que ça vient des ayant droits, qui n'ont toujours pas compris comment fonctionne internet.
votre avatar
C'est ça. Cf. ce commentaire de fred42 qui résume bien la situation :
votre avatar
RTBF Auvio a trouvé la solution à ce problème : ils proposent à l'utilisateur d'associer son numéro de téléphone mobile appartenant à un pays de l'espace économique européen. Il n'y a ainsi plus aucun blocage géographique par adresse IP, la restriction est faite par numéro de téléphone vérifié.
votre avatar
En quoi est-ce normal de bloqués ceux qui utilisent un VPN ?
Un VPN n'est en rien un outil d'anonymisation.
votre avatar
Non.
Pour 99% des gens lambda, entreprises et organisation, suite au marketing ultra agressif de NordNet et consors : un VPN est devenu un outil principalement d'anonymisation. L'avis du petit geek de NXI n'y changera rien.

pour eux, gitoyen/FDN : deux geeks dans leur garage qui ne feront pas le poids. Ils ont déjà perdu, mais ne le savent pas encore.
votre avatar
Va dire ça aux entreprises qui font du télétravail. :D
votre avatar
VPN grand public mondial utilisable en 2 clics est très différent vu VPN de ton entreprise, avec laquelle tu "sors" sur une IP française d'un FAI classique.

un vpn d'entreprise n'est pas le service d'anonymisation vendu par nordnet&co, bien au contraire ; or ici, il s'agit bien de parler de vpn grand public = service d'anonymisation.
votre avatar
C'est l'internet en général qui perd avec ces pratiques.
Les geek arriveront à contourner, pas les autres.
Pour ce qui est de l'anonymisation, cloudflare en premier se tient là, ils ne demandent aucune authentification pour utiliser leur machin.
votre avatar
c'est qu'un serveur DNS, rien à voir avec de l'anonymisation, du VPN, ... et ça n’empêche pas d'être bloqué par AWS
votre avatar
Non 1.1.1.1 (warp) est d'abord un nat distant (VPN), pas seulement un DNS pour réseau mobile, teste le pour voir, ça ne coûte rien.
votre avatar
Ils ont en plus depuis peu un VPN public gratuit libre d'accès, ce qui est la garantie de finir dans ce genre de liste noire.
votre avatar
ok, je savais pas
votre avatar
Cloudflare en liste noire, tu plaisantes ?
au contraire, si ça continue comme ça, il n'y aura plus que leurs vpn qui seront autorisés.
votre avatar
Je parlais du VPN public de FDN.
votre avatar
C'est pas dans l'article mais Gitoyen est dans le subset "HostingProviderIpList" de l'AnonymousIpList, pas le subset "AnonymousIpList" (oui leur nommage est étrange). Il est donc reproché à Gitoyen d'avoir des clients qui fournissent des services web via son réseau...
C'est, avec une analogie foireuse, bannir le réseau d'un BOFS parce que certaines personnes s'auto-hébergent...

Et, quand bien même Gitoyen serait sur la liste "AnonymousIp", les blocages ont commencé dès avril 2023 alors que FDN n'a commencé à fournir un VPN public qu'après (d'abord en démo interne puis ouvert au public et communiqué qu'en avril 2024).
FDN fournissait des VPN privés avant ça mais avec une IP fixe et inchangeable, donc pas vraiment ce qu'on attends d'un NordVPN. Le contraire même de l'anonymat : c'est même moins anonyme qu'un BOFS avec IP dynamique !

Le blocage n'est pas particulièrement justifié, et ça ne m'étonnerait pas que FDN et/ou Gitoyen réfléchisse à tenter une action en justice si elle n'arrive pas à se faire enlever des listes (ça rappelle Free qui avait mis sur blacklist mail des domaines à la pelle et s'était vu offrir le choix entre perdre son statut d'hébergeur pour le statut d'opérateur, autrement dit ils devenaient pénalement responsables de tout ce qui transitait par leur réseau, ou d'arrêter de modérer du contenu qui n'est pas manifestement illégal)

BOFS = Bouygues, Orange, Free, SFR
votre avatar
Je fournis un VPN via mon accès privé....
Et j'ai aussi des services wireguard sur mes VPS à droite à gauche , c'est devenu très courant.

Ils vont bannir toute les plages IP de Bouygues pour cette raison ? Ca m'étonnerais...
Non , c'est juste car c'est un petit opérateur et qu'ils s'en fichent des conséquences.

C'est un rapport de force, ni plus, ni moins. Je suis pas certain même qu'un humain ait été impliqué dans le blocage, il peux juste s'agit d'un robot.
votre avatar
Il n'y a pas un problème avec la neutralité du Net, dans ce cas précis ?
votre avatar
Non car AWS qui fournit la liste n'est pas un FAI. En plus, si ça se passe dans un pays où la neutralité du net n'est pas dans la loi, aucun risque.
votre avatar
La description de la liste HostingProviderIPList indique : « Inspects for a list of IP addresses from web hosting and cloud providers, which are less likely to source end-user traffic. The IP list does not include AWS IP addresses. »

https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous

Ça devrait éclairer ceux qui se demandent s'il y a une entrave à la concurrence, non ?
votre avatar
Je ne comprends pas ton propos.
1) Ce n'est pas la liste en cause.
2) Dans quel domaine d'activité AWS et FDN sont-ils en concurrence ?
votre avatar
Complètement à côté de la plaque.

AWS ne va pas proposer de bloquer des IP de sa propre infra puisque si AWS considère qu'une IP de son infra fait de la merde, alors le service est suspendu.

Là AWS propose (c'est important ce verbe; car ce blocage n'est pas activé par défaut) à ses clients de bloquer des IPs qu'ils estiment problématiques mais sur lesquelles il ne peuvent agir directement et ne peuvent donc faire que du préventif en proposant de les bloquer.

Accessoirement, ça permet aux clients AWS d'éviter de faire un CSC en bloquant une IP AWS qu'ils utilisent eux-même pour autre chose.

L'idée étant que si le client veut effectivement bloquer des IP AWS, il devra le faire via des règles custom et non via des règles managées comme ici.
votre avatar
Eh non, ça c'est un abus de monopole :wink:

AWS vends "une liste d'IP utilisées par des fournisseurs de services web" (selon les mots de leurs documentations) et non "une liste d'IP dont la réputation leur semble sulfureuse".
Exclure leur propre service de cette liste c'est anti-concurrentiel.

Plus récemment on avais l'inverse : Google maintient une liste des ROM Android "respectant le cahier des charges d'Attestation API". C'est comme ça que c'est vendu aux développeurs. Or, Google inclus dans cette liste des ROM qui ne remplissent pas ces critères mais sont partenaires (les ROMs stocks de quelques fabricants) et refuse des ROM qui remplissent ces critères mais n'ont pas de partenariat avec Google (comme GrapheneOS).

C'est anti-concurrentiel. Pourquoi ? Parce qu'ils
vendent "une liste de ROM respectant tels critères" et non pas "une liste de ROM en partenariat avec Google".
votre avatar
Il y a Réglo Mobile (https://www.reglomobile.fr) qui contraint les navigateurs avec des scripts captcha-delivery ou pire un sévère bloquage quand on souhaite souscrire à une offre par exemple en redirigeant vers une page "Votre navigateur n'est plus supporté" alors que vous essayez avec tout les navigateurs sous la main... y compris sans extensions...

Ça va trop loin... se rendent-ils compte qu'ils se sabordent eux-même... combien de clients perdent-ils avec ce type de politique ?
votre avatar
Réglo Mobile étant sur le réseau SFR, qui bien souvent n'arrive même plus à délivrer les MMS, je dirais que les clients perdus cela peut être une bonne chose pour ces derniers. J'y suis encore pour mon mobile car c'est les seuls à proposer des abo pas très chers et avec peu de data quand on en utilise peu (j'arrive pas à fumer mes 5Go mensuels, peinant à passer au delà du dixième)...

Mais ne même plus être fiables sur les usages historiques voix/sms/mms, pour une boite pionnière de la téléphonie mobile, merci Drahi mais si c'était pas cher désormais cela ne les vaut même plus!
votre avatar
Ah oui? Quels soucis as tu avec sfr?
votre avatar
Ce qu’il rapporte ne m’est pas étranger, combien de fois j’ai reçus les mms sous forme de mail alors que bon, mon téléphone était bien allumé/connecté au réseau data cellulaire…
votre avatar
Je crois n'avoir jamais reçu un seul MMS correctement depuis que je suis passé de chez Free à Prixtel (réseau SFR) et c'est pas faute d'avoir tenté toutes les configurations APN trouvables sur leur site comme sur des blog sombre...

À chaque fois c'est un SMS cinq à sept jours après l'envoi qui indique "Entrez ce code sur vosmms.fr pour voir le MMS que 0612345678 vous a envoyé la semaine dernière"
votre avatar
Les MMS, très souvent, ne passent pas et il faut faire en renvoi. Parfois même les SMS.
Bref, c'est vraiment un réseau de merde à mon sens, même je n'avais pas de grandes attentes car le seul truc qui me manquerait vraiment sur un smartphone, c'est pouvoir jeter un oeuil à mes mails sans devoir allumer un PC ou Camsam pour les radars en bagnole voir Organic Maps pour avoir toujours une carte allant jusqu'à la précision d'une topographique, toujours à jour, offline et où que je sois.
Mais il y a des limites au foutage de gueule et elles sont très proches de me faire quitter ces baltringues (déjà fait en fixe il y a ~8 ans)!
votre avatar
J'avais un compte bancaire chez Boursobank quand j'ai changé de FAI pour aller chez FDN il y a 3 mois. Du jour au lendemain impossible de se connecter à mon compte depuis mon domicile avec le message: "Vous êtes connecté à internet via un service d'anonymisation (VPN, proxy, hébergeur de site,...). Pour des raisons de sécurité, afin de valider votre opération, nous vous invitons à désactiver ce service ou à utiliser l'application BoursoBank.". Au bureau, avec SFR comme FAI, pas de problème. Je signale donc le problème pendant que j'étais au bureau. Je reçois chez moi un mail de réponse, avec une adresse de retour en noreply, me demandant de me connecter à mon compte pour donner des précisions ! Au bout de 2 semaines de dialogues intermittents sans que ça avance, j'ai fini par résoudre le problème en faisant un tunnel IP V6 entre mon domicile et mon bureau (un VPN autrement dit) pour transporter l'IP V4. Le blocage de mon IP V4 domicile a été levé au bout d'un mois. Trop tard, j'avais demandé la clôture de mon compte.
votre avatar
La question qui se pose est que les listes qu'établie Amazon (et d'autres) sont optionnelles.
Ce sont les clients finaux (ici bourso) qui décident de les utiliser.

Spamhaus & autres listes de spam utilisent la même technique : Ils bloquent tout puis rançonnent les détenteurs des plages IP, c'est leur business-model. Bien sur ils vont pas bloquer les GAFAM sinon plus personne utiliseraient leurs listes.

Avec AWS ici c'est pareil : AWS fait ce qu'il veux, il met dans sa liste la moitié d'internet si il veux. Ca reste aux clients de choisir.

LDLC a fait pareil avec les opérateurs qui avaient des noeuds TOR : Il bloquaient la plage IP complète, se foutant des conséquences pour les gens.
Ca marche QUE parce qu'il y a 3 geeks qui font ça. Le jour où des noeuds TOR popup sur les 4 opérateurs nationaux et qu'ils appliquent cette politique, ben ils vont vite arrêter.

Pour moi c'est comme ca qu'il faut le voir : Faire le max d'IPv6 avec des plages de partout (quasi du fast-flux) pour que ce genre de business devienne plus néfaste que la perception du gain.

Comme l'a dit y419 next.ink Next , l'utilisation de ces listes est souvent une solution de court-terme contre des emmerdeurs , qui souvent permet de glisser le problème sous le tapis (ici la création de faux comptes) et qui ressurgira + tard quand les bots auront trouvé une autre source d'IP pour faire chier. Et le jour où ce sera les IP "résidentielles" qui seront utilisés en source, ben il faudra bien régler le fond du problème.

Idem pour les services qui s'imaginent que faire une liste blanche des IP des opérateurs résidentiels suffit à identifier des particuliers , j'attends le jour où t'aura un NordVPN qui va te proposer contre quelques euros / mois de devenir toi-même relais VPN depuis ton IP résidentielle, et que ce soit vanté par tous les influenceurs...
votre avatar
Est-ce pour cette raison que l'instance invidious de la FDN est en 504 Gateway Time-out ? Ou c'est une coincidence ?
votre avatar
C'est autre chose. Ils en parlent sur leur site.
votre avatar
On parle bien de FDN.fr ?
Je n'ai rien trouvé : https://www.fdn.fr/?s=invidious
votre avatar
Ici. Atteint par ÉTAT DU RÉSEAU.
votre avatar
Merci.
Bizarrement l'incident date du 14 août, or j'ai des problèmes depuis 2 ou 3 jours seulement, avant cela fonctionnait (bien que c'était lent, mais ça fait partie du deal quand on ne veut pas aller sur Youtube).
votre avatar
"utilisateurices "...Pffff quelle misère
votre avatar
Si la FDN écrivait en français, peut-être que Youtube aurait compris ce qu'ils voulaient... et aurait donné suite.

En l’occurrence, le mot utilisateurice n'existant pas, je ne vois pas comment Youtube pourrait débloquer l'authentification.

(https://www.larousse.fr/dictionnaires/francais/utilisateurices)
votre avatar
Dans le même genre, beaucoup de podcasts commencent par saluer les « auditeurices »…podcasts de courte durée pour moi du coup, je pars en courant dés que j’entends ça (mais c’est peut-être le but recherché).
votre avatar
Je dédouane pas enedis, mais il n’y a pas que chez fdn que le site n’est pas accessible.
D’après ce que j’ai eu comme info ‘à cause de la géolocalisation des ips qui ne marche pas correctement ‘

Le FAI associatif FDN bloqué par AWS, Reddit, YouTube et Engie

Fermer