Bloquer les scripts d’Eulerian (utilisés notamment par Libération), simple comme du DNS
Le 13 novembre 2019 à 09h14
1 min
Internet
Internet
Suite aux critiques suscitées par l'offre « sans tracker » de Libération, dont la découverte des scripts d'Eulerian hébergés sur un sous-domaine du journal afin de limiter leur blocage, certains trouvent des solutions.
C'est le cas de Shaft, expert du DNS, qui propose un petit tutoriel sous Unbound. Il vise à créer un fichier de zone dans lequel on indiquera avoir autorité pour les domaines principaux de la société, utilisés par les scripts de pistage.
On bloque ainsi toutes les requêtes DNS vers ces domaines principaux afin de « régler » le problème. D'autres petites astuces sont données, comme le blocage direct des IP utilisées par Eulerian.
Shaft rappelle que la société n'est pas la seule à utiliser cette mécanique pour éviter d'exposer ses scripts. Ainsi, le blocage reste pour le moment l'une des seules solutions, à défaut de respecter le consentement explicite… pourtant imposé par la loi.
Le 13 novembre 2019 à 09h14
Commentaires (52)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/11/2019 à 09h33
Le 13/11/2019 à 09h40
Je prépare un truc sous Framagit, avec les bout de configs nécessaires (pour celles et ceux qui ont la flemme ;) ) et avec l’avantage de proposer une liste à jour de domaine à bloquer
Le 13/11/2019 à 09h45
Merci de penser 🤔 aux innocents qui ne connaissent pas vraiment les scripts de programmes
Le 13/11/2019 à 09h50
https://reflets.info/articles/affreux-sales-et-mechants
Le 13/11/2019 à 10h04
Le 13/11/2019 à 10h31
Le 13/11/2019 à 10h32
Salut, n’oublies pas d’en poster l’adresse ici
" />
Le 13/11/2019 à 10h48
Merci beaucoup ! 
" />
Le 13/11/2019 à 11h31
Ou ne pas aller sur le site de Libé…
Après tout ils l’ont bien cherché…
Le 13/11/2019 à 11h33
y a pas que Libé qui pratique cela.
Le 13/11/2019 à 11h39
En effet. Un bon name and shame pour qu’on voie bien quels sites se foutent de notre gueule et violent le RGPD, une mise à jour des listes de blocage, et des dépôts de plainte par des associations, ce serait bien aussi.
Le 13/11/2019 à 12h04
Une petite liste pour mon Pi-Hole serait pas mal oui
" />
Le 13/11/2019 à 12h06
Suffit d’une liste sous GitHub (ou autre) et un Pi-Hole. C’est un DNS menteur très simple à héberger (genre sur un raspberry) et tu peux utiliser des “listes” qui se mettent à jour (ça bloque bien la pub).
Le 13/11/2019 à 12h18
Tu peux aller retouitter ou repouetter Aeris
Twitter&https://social.imirhil.fr/@aeris , et lire les réponses aux mails qu’il a envoyés. Sans sanctions et une autorité vraiment dotée de moyens, c’est peine perdue, à part quelques geeks tout le monde s’en fiche, ou disons de manière plus optimiste, ne se rend compte de rien.
Le 13/11/2019 à 12h26
Donc aucun intérêt de mettre Unbound avec Pi-Hole ?
Et le mien qui fait toujours planter le réseau de mon Pi 1 au bout d’un certain nombre d’heures, ou pas puisqu’avec un redémarrage automatique toutes les 6h ne change pas grand chose.
J’espère que ça n’est pas une incompatibilité entre Pi-Hole et Log2Ram.
Le 13/11/2019 à 13h47
T’es tellement un amour ❤
Le 13/11/2019 à 15h00
C’est plus compliqué que ça. Les trackers sont sur des sous-domaines délégués à Eulerian via le DNS. Eulerian arrive donc durant la résolution récursive du résolveur DNS, et est donc invisible au niveau de la résolution (non récursive) du client… Les systèmes de blocage simples sont complètement aveugles à cette étape, qui n’a lieu que dans le résolveur.
Le système de pi-hole ne fonctionne pas nativement du coup pour bloquer ce type de merde, il faut descendre encore plus bas…
Le 13/11/2019 à 17h06
Personnellement, par défaut je bloque tout dans µMatrix, puis j’autorise ensuite que ce que je juge nécessaire.
Je fais cela depuis plus longtemps que cette histoire.
Le 13/11/2019 à 17h17
Et ça bloque ce type de scripts cachés dans un sous-domaine du domaine visité ?
Le 13/11/2019 à 17h29
Par défaut uMatrix laisse activé les différents sous domaine du site visité
Voir ici
Donc non, il faudrait faire comme Case_0f dit, bloquer tout par défaut et activer au cas par cas jusqu’à avoir le site qui fonctionne +/- correctement
Eulerian est indiqué f7ds chez libération, mais aussi simplement un a.nomdedomaine chez d’autres donc chaud a trouver, imagine un site qui le met sur un domaine du genre image.nomdedomaine pour essayer de tromper les gens
Le 13/11/2019 à 17h30
Si c’est comme les addons type “noscript” de Firefox, oui.
" />
Il te propose le domaine principal (www.pourri.com) puis une fois autorisé, il affiche tous les sous domaines et appels externes bloqués (images.pourri.com, cdn.pourri.com tartuffe.machin.com …).
Ainsi, il faut activer le site + son cdn par exemple.
C’est pratique pour activer de manière très ciblée des éléments d’un site peu recommandable ou abusant de contenu litigieux.
Edit : ah bah en fait c’est pas le même comportement que Noscript et compagnie
Le 13/11/2019 à 17h57
Comme tout est bloqué par défaut, oui, je bloque même tous les scripts du même domaine que la page.
Si le site fonctionne sans JS, je reste comme ça, sinon j’active mais le moins possible.
Le 13/11/2019 à 17h59
µMatrix est similaire à NoScript si tu le configures correctement.
L’avantage d’µMatrix sur NoScript, c’est qu’il a aussi la notion de portée des autorisations.
J’aurais aimé que ça existe dans NoScript.
Le 13/11/2019 à 18h00
Le 13/11/2019 à 18h02
Le 13/11/2019 à 18h03
Et globalement tu mets combien de temps pour accéder correctement* à un site que tu n’as jamais visité ? Ca n’est pas trop pénible de faire une recherche d’information sur divers sites par exemple ?
*correctement = texte et images au complet + mise en page pas trop hasardeuse
Le 13/11/2019 à 18h03
Le 13/11/2019 à 18h03
Pour info, j’utilise
GitHubque ça soit clair, et avec ce mode de fonctionnement:
GitHub/wiki/How-to-block-1st-party-scripts-everywhere-by-default
Le 13/11/2019 à 18h06
Ah, pour ça, je peux aussi bloquer les images et le CSS
" />
Le 13/11/2019 à 18h08
Voir la réponse de celui à qui je demandais juste au-dessus de la tienne.
En fait, il bloque tout par défaut donc même les sous-domaines. Je n’étais pas sûr de ce qu’il mettait dans “tout”. µMatrix n’est pas vraiment un adblocker.
Par contre, ça doit être galère de naviguer comme ça actuellement. Dès que tu arrives sur un site nouveau ou qui a évolué, il faut activer à la main tout ce qui est nécessaire à son fonctionnement.
Le 13/11/2019 à 18h08
Bien, ça prend quelques secondes. Ça peut représenter un effort pour certains, mais me concernant, je trouve que c’est un temps convenable.
Le 13/11/2019 à 18h14
le premier média à supprimer ses trackers publicitaires
Le 13/11/2019 à 18h15
Le 13/11/2019 à 18h18
Le 13/11/2019 à 18h21
J’autorise au cas par cas les scripts. ;-)
Et pour les sites où je vais plus d’une fois, j’enregistre mes réglages
Le 13/11/2019 à 18h26
Le 13/11/2019 à 19h21
Pi-Hole sera malheureusement incapable de bloquer ces domaines :(
(Il faudrait savoir à l’avance que chez les clients d’Eulerian, c’est tel domaine qu’il faut bloquer : f7ds.liberation.fr sur Libé ou v.oui.sncf sur le site de la SNCF par exemple. C’est faisable, faut juste éplucher tous les sites et trouver les domaines)
Le 13/11/2019 à 19h23
Le 13/11/2019 à 20h30
Et sur Firefox avec le DNS-over-https (donc résolveur local ? non) + un addon qui va bien, y aurait pas moyen de faire un truc ?
" />
j’ai dis une grosse connerie autant pour moi
Le 13/11/2019 à 21h23
Lynx est un très bon navigateur pour éviter les mouchards !
" />
Le 13/11/2019 à 23h00
Merci, beau boulot !
Édit : Sympa le coup de la licence IV, j’ai bien ri !!!
Le 14/11/2019 à 00h40
Le 14/11/2019 à 06h55
Moult merci. Attention, framagit devrait fermer à moyen terme : https://framablog.org/2019/09/24/deframasoftisons-internet/
Le 14/11/2019 à 08h07
A priori un méta-bloqueur de pub comme uBlock Origin avec les bonnes listes, ça bloque déjà les sous-domaines craignos, pas besoin de faire des choses compliquées… Sur Windows, SimpleDNSCrypt (interface pour DNSCrypt) permet aussi de faire ça facilement.
Le 14/11/2019 à 08h24
Ca serait chiant à mettre en place de leur côté, mais c’est techniquement faisable
Le 14/11/2019 à 08h26
Oui, je sais :)
Fermeture prévue mi-2021, il reste encore un peu de temps
Le 14/11/2019 à 09h07
Le 14/11/2019 à 19h41
Le 14/11/2019 à 20h06
Tu veux dire : il faut que je regarde plus attentivement parce que ce n’est pas si simple ? Il ne suffit pas de voir v.oui.sncf en rouge et bloqué dans les traces pour que ce soit gagné ? (j’ai essayé cet exemple vu qu’il est public)
Le 15/11/2019 à 09h14
La méthode est un premier pas avant le déplacement des script mouchards sur les serveurs des clients.
Et la, plus moyen de le détecter en analysant la résolution DNS : le DNS renvoi vers le bon domaine.
On n’est pas dans la merde ;)
Le 15/11/2019 à 13h04
Si, si, ça marche.
Il faut juste connaître les sous-domaines « craignos ».
Si tu bloque v.oui.sncf par exemple, les scripts d’Eulerian seront bloqués sur le site oui.sncf.
C’est moins pratique que la méthode de John Shaft, parce qu’il faut trouver tous les sous-domaines sur tous les sites qui utilisent cette méthode, et qu’il leur suffirait de changer le nom du sous-domaine pour que les listes ne soient plus à jour. Mais ça marche.
Le 15/11/2019 à 18h10