Connexion
Abonnez-vous

Bloquer les scripts d’Eulerian (utilisés notamment par Libération), simple comme du DNS

Bloquer les scripts d'Eulerian (utilisés notamment par Libération), simple comme du DNS

Le 13 novembre 2019 à 09h14

Suite aux critiques suscitées par l'offre « sans tracker » de Libération, dont la découverte des scripts d'Eulerian hébergés sur un sous-domaine du journal afin de limiter leur blocage, certains trouvent des solutions.

C'est le cas de Shaft, expert du DNS, qui propose un petit tutoriel sous Unbound. Il vise à créer un fichier de zone dans lequel on indiquera avoir autorité pour les domaines principaux de la société, utilisés par les scripts de pistage. 

On bloque ainsi toutes les requêtes DNS vers ces domaines principaux afin de « régler » le problème. D'autres petites astuces sont données, comme le blocage direct des IP utilisées par Eulerian.

Shaft rappelle que la société n'est pas la seule à utiliser cette mécanique pour éviter d'exposer ses scripts. Ainsi, le blocage reste pour le moment l'une des seules solutions, à défaut de respecter le consentement explicite… pourtant imposé par la loi.

Le 13 novembre 2019 à 09h14

Commentaires (52)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

<img data-src=" />

votre avatar

Je prépare un truc sous Framagit, avec les bout de configs nécessaires (pour celles et ceux qui ont la flemme ;) ) et avec l’avantage de proposer une liste à jour de domaine à bloquer

votre avatar

Merci de penser 🤔 aux innocents qui ne connaissent pas vraiment les scripts de programmes

votre avatar
votre avatar







John Shaft a écrit :



Je prépare un truc sous Framagit, avec les bout de configs nécessaires (pour celles et ceux qui ont la flemme ;) ) et avec l’avantage de proposer une liste à jour de domaine à bloquer





Merci, c’est ça l’impactitude ;)


votre avatar







Hipparchia a écrit :



https://reflets.info/articles/affreux-sales-et-mechants







Je découvre tout ca, je ne sais pas quoi dire. C’est juste hallucinant. J’ai vraiment l’impression qu’ils n’ont juste rien à foutre de la loi ou des consommateurs tant qu’ils font tourner le business.

&nbsp;



John Shaft a écrit :



Je prépare un truc sous Framagit[…] et avec l’avantage de proposer une liste à jour de domaine à bloquer





Voilà une excellente nouvelle, il va falloir se faire chier à bloquer tous ces domaines à la con au DNS….


votre avatar

Salut, n’oublies pas d’en poster l’adresse ici <img data-src=" />

votre avatar

Merci beaucoup !&nbsp;<img data-src=" />

votre avatar

Ou ne pas aller sur le site de Libé…

Après tout ils l’ont bien cherché…

votre avatar

y a pas que Libé qui pratique cela.

votre avatar

En effet. Un bon name and shame pour qu’on voie bien quels sites se foutent de notre gueule et violent le RGPD, une mise à jour des listes de blocage, et des dépôts de plainte par des&nbsp; associations, ce serait bien aussi.

votre avatar

Une petite liste pour mon Pi-Hole serait pas mal oui <img data-src=" />

votre avatar

Suffit d’une liste sous GitHub (ou autre) et un Pi-Hole. C’est un DNS menteur très simple à héberger (genre sur un raspberry) et tu peux utiliser des “listes” qui se mettent à jour (ça bloque bien la pub).

votre avatar

Tu peux aller retouitter ou repouetter Aeristwitter.com Twitter&https://social.imirhil.fr/@aeris , et lire les réponses aux mails qu’il a envoyés. Sans sanctions et une autorité vraiment dotée de moyens, c’est peine perdue, à part quelques geeks tout le monde s’en fiche, ou disons de manière plus optimiste, ne se rend compte de rien.

votre avatar

Donc aucun intérêt de mettre Unbound avec Pi-Hole ?



&nbsp;Et le mien qui fait toujours planter le réseau de mon Pi 1 au bout d’un certain nombre d’heures, ou pas puisqu’avec un redémarrage automatique toutes les 6h ne change pas grand chose.



J’espère que ça n’est pas une incompatibilité entre Pi-Hole et Log2Ram.

&nbsp;

votre avatar

T’es tellement un amour ❤

votre avatar

C’est plus compliqué que ça. Les trackers sont sur des sous-domaines délégués à Eulerian via le DNS. Eulerian arrive donc durant la résolution récursive du résolveur DNS, et est donc invisible au niveau de la résolution (non récursive) du client… Les systèmes de blocage simples sont complètement aveugles à cette étape, qui n’a lieu que dans le résolveur.

Le système de pi-hole ne fonctionne pas nativement du coup pour bloquer ce type de merde, il faut descendre encore plus bas…

votre avatar

Personnellement, par défaut je bloque tout dans µMatrix, puis j’autorise ensuite que ce que je juge nécessaire.

Je fais cela depuis plus longtemps que cette histoire.

votre avatar

Et ça bloque ce type de scripts cachés dans un sous-domaine du domaine visité ?

votre avatar

Par défaut uMatrix laisse activé les différents sous domaine du site visité

&nbsp;

Voir ici



Donc non, il faudrait faire comme Case_0f dit, bloquer tout par défaut et activer au cas par cas jusqu’à avoir le site qui fonctionne +/- correctement



Eulerian est indiqué f7ds chez libération, mais aussi simplement un&nbsp;&nbsp; a.nomdedomaine&nbsp; chez d’autres donc chaud a trouver,&nbsp; imagine un site qui le met sur un domaine du genre&nbsp;&nbsp;&nbsp; image.nomdedomaine pour essayer de tromper les gens

votre avatar

Si c’est comme les addons type “noscript” de Firefox, oui.

Il te propose le domaine principal (www.pourri.com) puis une fois autorisé, il affiche tous les sous domaines et appels externes bloqués (images.pourri.com, cdn.pourri.com tartuffe.machin.com …).



Ainsi, il faut activer le site + son cdn par exemple.



C’est pratique pour activer de manière très ciblée des éléments d’un site peu recommandable ou abusant de contenu litigieux.



Edit : ah bah en fait c’est pas le même comportement que Noscript et compagnie <img data-src=" />

votre avatar

Comme tout est bloqué par défaut, oui, je bloque même tous les scripts du même domaine que la page.

Si le site fonctionne sans JS, je reste comme ça, sinon j’active mais le moins possible.

votre avatar

µMatrix est similaire à NoScript si tu le configures correctement.

L’avantage d’µMatrix sur NoScript, c’est qu’il a aussi la notion de portée des autorisations.

J’aurais aimé que ça existe dans NoScript.

votre avatar







fred42 a écrit :



Et ça bloque ce type de scripts cachés dans un sous-domaine du domaine visité ?







Non. Les adblockers sont inefficaces dans ce cas là. <img data-src=" />

C’est un vrai problème cette histoire.


votre avatar







SebGF a écrit :



Si c’est comme les addons type “noscript” de Firefox, oui.

Il te propose le domaine principal (www.pourri.com) puis une fois autorisé, il affiche tous les sous domaines et appels externes bloqués (images.pourri.com, cdn.pourri.com tartuffe.machin.com …).



Ainsi, il faut activer le site + son cdn par exemple.



C’est pratique pour activer de manière très ciblée des éléments d’un site peu recommandable ou abusant de contenu litigieux.



Edit : ah bah en fait c’est pas le même comportement que Noscript et compagnie <img data-src=" />







Non. ils passent par les CNAME, donc tout passe. µMatrux ou non, c’est pareil.


votre avatar

Et globalement tu mets combien de temps pour accéder correctement* à un site que tu n’as jamais visité ? Ca n’est pas trop pénible de faire une recherche d’information sur divers sites par exemple ?



*correctement = texte et images au complet + mise en page pas trop hasardeuse

votre avatar







Case_Of a écrit :



Comme tout est bloqué par défaut, oui, je bloque même tous les scripts du même domaine que la page.

Si le site fonctionne sans JS, je reste comme ça, sinon j’active mais le moins possible.







Le soucis, c’est qu’il y a aussi des pixels fantomes. <img data-src=" />


votre avatar

Pour info, j’utilisegithub.com GitHubque ça soit clair, et avec ce mode de fonctionnement:github.com GitHub/wiki/How-to-block-1st-party-scripts-everywhere-by-default



donc je bloque effectivement tout.
votre avatar

Ah, pour ça, je peux aussi bloquer les images et le CSS <img data-src=" />

votre avatar

Voir la réponse de celui à qui je demandais juste au-dessus de la tienne.



En fait, il bloque tout par défaut donc même les sous-domaines. Je n’étais pas sûr de ce qu’il mettait dans “tout”. µMatrix n’est pas vraiment un adblocker.



Par contre, ça doit être galère de naviguer comme ça actuellement. Dès que tu arrives sur un site nouveau ou qui a évolué, il faut activer à la main tout ce qui est nécessaire à son fonctionnement.


votre avatar

Bien, ça prend quelques secondes. Ça peut représenter un effort pour certains, mais me concernant, je trouve que c’est un temps convenable.

votre avatar

le premier média à supprimer ses trackers publicitaires

votre avatar







Case_Of a écrit :



Ah, pour ça, je peux aussi bloquer les images et le CSS <img data-src=" />







J’entends bien, mais c’est plus de la navigation là, on retourne sur du Gopher.<img data-src=" />


votre avatar







fred42 a écrit :



Voir la réponse de celui à qui je demandais juste au-dessus de la tienne.





J’avais bien lu. <img data-src=" />





Par contre, ça doit être galère de naviguer comme ça actuellement. Dès que tu arrives sur un site nouveau ou qui a évolué, il faut activer à la main tout ce qui est nécessaire à son fonctionnement.





On peut carrément dire… inutilisable. Ca te coupe de tout les sites comme celui de ta banque, un moteur de recherche, un réseau social etc… Bref, à peu près tout.


votre avatar

J’autorise au cas par cas les scripts. ;-)

Et pour les sites où je vais plus d’une fois, j’enregistre mes réglages

votre avatar







Case_Of a écrit :



J’autorise au cas par cas les scripts. ;-)

Et pour les sites où je vais plus d’une fois, j’enregistre mes réglages







Dès que tu ouvres “au cas par cas”, ben ça passe ;)


votre avatar

Pi-Hole sera malheureusement incapable de bloquer ces domaines :(



(Il faudrait savoir à l’avance que chez les clients d’Eulerian, c’est tel domaine qu’il faut bloquer : f7ds.liberation.fr sur Libé ou v.oui.sncf sur le site de la SNCF par exemple. C’est faisable, faut juste éplucher tous les sites et trouver les domaines)

votre avatar







John Shaft a écrit :



Je prépare un truc sous Framagit, avec les bout de configs nécessaires (pour celles et ceux qui ont la flemme ;) ) et avec l’avantage de proposer une liste à jour de domaine à bloquer







Hop, les configs Unbound nécessaire, avec les domaines débusqués pour l’instant :



https://framagit.org/Shaft/blocage-dmp-unbound



Attention, en fonction de votre version d’Unbound (inférieure à 1.7.0, sous Ubuntu 18.04 par exemple), ça marche pas pareil


votre avatar

Et sur Firefox avec le DNS-over-https (donc résolveur local ? non) + un addon qui va bien, y aurait pas moyen de faire un truc ?



j’ai dis une grosse connerie autant pour moi <img data-src=" />

votre avatar

Lynx est un très bon navigateur pour éviter les mouchards ! <img data-src=" />

votre avatar

Merci, beau boulot !



Édit : Sympa le coup de la licence IV, j’ai bien ri !!!

votre avatar







John Shaft a écrit :



C’est faisable, faut juste éplucher tous les sites et trouver les domaines







Quelque chose empêche ces sites de changer les sous domaines aléatoirement chaque jour, voire à chaque session ?


votre avatar

Moult merci. Attention, framagit devrait fermer à moyen terme : https://framablog.org/2019/09/24/deframasoftisons-internet/

votre avatar

A priori un méta-bloqueur de pub comme uBlock Origin avec les bonnes listes, ça bloque déjà les sous-domaines craignos, pas besoin de faire des choses compliquées… Sur Windows, SimpleDNSCrypt (interface pour DNSCrypt) permet aussi de faire ça facilement.

votre avatar

Ca serait chiant à mettre en place de leur côté, mais c’est techniquement faisable

votre avatar

Oui, je sais :)



Fermeture prévue mi-2021, il reste encore un peu de temps

votre avatar







fred42 a écrit :



y a pas que Libé qui pratique cela.





Comme l’indique “Hipparchia” en #4, des sites comme la FNAC le font…


votre avatar







TroudhuK a écrit :



A priori un méta-bloqueur de pub comme uBlock Origin avec les bonnes listes, ça bloque déjà les sous-domaines craignos, pas besoin de faire des choses compliquées… Sur Windows, SimpleDNSCrypt (interface pour DNSCrypt) permet aussi de faire ça facilement.







Perdu.


votre avatar

Tu veux dire : il faut que je regarde plus attentivement parce que ce n’est pas si simple ? Il ne suffit pas de voir v.oui.sncf en rouge et bloqué dans les traces pour que ce soit gagné ? (j’ai essayé cet exemple vu qu’il est public)

votre avatar

La méthode est un premier pas avant le déplacement des script mouchards sur les serveurs des clients.

Et la, plus moyen de le détecter en analysant la résolution DNS : le DNS renvoi vers le bon domaine.

On n’est pas dans la merde ;)

votre avatar

Si, si, ça marche.

Il faut juste connaître les sous-domaines « craignos ».



Si tu bloque v.oui.sncf par exemple, les scripts d’Eulerian seront bloqués sur le site oui.sncf.



C’est moins pratique que la méthode de John Shaft, parce qu’il faut trouver tous les sous-domaines sur tous les sites qui utilisent cette méthode, et qu’il leur suffirait de changer le nom du sous-domaine pour que les listes ne soient plus à jour. Mais ça marche.

votre avatar







TroudhuK a écrit :



Tu veux dire : il faut que je regarde plus attentivement parce que ce n’est pas si simple ? Il ne suffit pas de voir v.oui.sncf en rouge et bloqué dans les traces pour que ce soit gagné ? (j’ai essayé cet exemple vu qu’il est public)







Voir en dessous.<img data-src=" />







Mihashi a écrit :



Si, si, ça marche.

Il faut juste connaître les sous-domaines « craignos ».



Si tu bloque v.oui.sncf par exemple, les scripts d’Eulerian seront bloqués sur le site oui.sncf.



C’est moins pratique que la méthode de John Shaft, parce qu’il faut trouver tous les sous-domaines sur tous les sites qui utilisent cette méthode, et qu’il leur suffirait de changer le nom du sous-domaine pour que les listes ne soient plus à jour. Mais ça marche.







Si tu bloques tout, ça fonctionne, évidement. MAIS, si le script qui te permet d’afficher l’image, la vidéo, ou le formulaire d’inscription/whatever dont tu as besoin, c’est mort.

La solution de Shaft est la plus pertinente (pour le moment). Et comme tu dis, il faut pas qu’un sous domaine change, ET il faut passer tous les sous domaines au peigne fin pour passer au travers… donc pratiquement infaisable dans la réalité.


Bloquer les scripts d’Eulerian (utilisés notamment par Libération), simple comme du DNS

Fermer