Le 19/07/2023 à 13h 51

Pour rire un peu : les marketeux sont déjà passés au Web 4 https://digital-strategy.ec.europa.eu/en/news/towards-next-technological-transition-commission-presents-eu-strategy-lead-web-40-and-virtual

Le 19/07/2023 à 09h 01

OB a dit:

Si tu parles de “sauter” politiquement…. moi j’y crois moins.

On ne parle pas de M. Michu mais des États. Cela fait pas mal d’années que la Russie et la Chine sont à l’affut d’un prétexte pour quitter ce système. Jusqu’à présent, ils ont toujours reculé, car ils ont autant besoin d’un Internet unifié que les autres. Mais une manipulation aussi grossière que celle suggérée dans l’article serait sans doute la goutte d’eau qui fait déborder le vase.

Le 18/07/2023 à 20h 40

Patatt a dit:

si le registrar actuel

Précisons aussi que le titre de l’article est faux, Freenom n’est pas registrar.

Le 18/07/2023 à 20h 38

OB a dit:

Ils contrôlent l’ICANN…. et les root servers .

Vision très résumée… Au minimum, un changement des NS de .ml se verrait, et il n’y aurait pas que le gouvernement malien qui gueulerait. Une telle manœuvre ferait sauter tout le système ICANN/racine.

Le 06/03/2023 à 17h 19

Le terme de biais me met mal à l’aise car il laisse entendre qu’il pourrait exister des programmes « sans biais » ou « neutres ». C’est une illusion classique que cette neutralité des programmes, un peu comme ces gens qui prétendent « ne pas faire de politique ». Un programme met toujours en œuvre certains choix. Comme dans l’exemple cité, on veut par exemple que le programme ait un biais, contre les cocktails Molotov. Je préfère qu’on assume ces choix au lieu de prétendre qu’on a « débiaisé ».

Le 07/02/2023 à 09h 14

Ce n’est certainement pas la limitation principale de ChatGPT, ce n’est qu’un détail, facile à corriger. ChatGPT a des problèmes autrement plus graves comme l’impossibilité d’évaluer ses réponses (« il me semble que mais je ne suis pas sûr ») ou comme le fait qu’il invente des réponses aberrantes.

Le 26/01/2023 à 14h 28

Le plus génial, c’est l’étude auprès des utilisateurs. « Décrivez-nous en détail ce que vous avez fait d’illégal et comment vous y êtes arrivé. »

Le 17/12/2022 à 10h 41

Le Royaume-Uni en a sans doute davantage. (mais je n’ai pas mesuré exactement).

Le 17/12/2022 à 10h 40

«  L’infra est géré par l’Afnic, ou elle paye une boite pour gérer les serveurs? » Les deux :-) Sur les quatre serveurs https://dns.bortzmeyer.org/fr/NS , d.nic.fr est géré directement par l’Afnic, les autres sont sous-traités, pour assurer la robustesse via la diversité. Indication : le nom le dit.

« Combien l’Afnic a de POP? situé où?  » Ils doivent être environ une dizaine en ce moment (mais ça change tout le temps) et je ne crois pas qu’il existe de liste publique. OSINT : en utilisant les sondes RIPE Atlas et en demandant le NSID, n’importe qui peut compiler une liste :-) Le nom donnera une idée de leur localisation (dns.th2.nic.fr -> TeleHouse 2, Paris)

« Est-ce qu’il y a une présentation de l’infra quelquepart » Je regrette mais je ne crois pas.

« Quel soft est utilisé (knot, unbound, … )? » Pas Unbound puisqu’il s’agit de serveurs faisant autorité. À l’heure actuelle, un mélange de BIND et NSD.

Le 14/12/2022 à 11h 54

Non, pas les seuls, la plupart des pays européens avaient fait plus ou moins pareil.

Le 14/12/2022 à 11h 53

On sait, en effet, c’est même documenté, c’est dingue : https://www.afnic.fr/association-excellences/nos-engagements/solidarite-numerique/

Le 14/12/2022 à 11h 51

Difficile de définir exactement ce qu’est un « domaine actif ». Des gens ont déjà voulu m’acheter des noms en prétendant que je « ne m’en servais pas » (ce qui était faux).

Le 26/09/2022 à 06h 58

« La liste de ses soutiens a elle aussi été légèrement mise à jour, comprenant une proportion étrangement assez élevée de sites de promotion (affiliée) de casinos en ligne et de sex toys. »

Le plus probable est que ces liens donnaient un résultat différent avant mais que le nom de domaine a été abandonné, repris par un snappeur et utilisé pour autre chose, pour profiter de son « jus » (comme disent les gens du SEO). Le lien actuel ne reflète donc pas le soutien original.

Le 01/08/2022 à 09h 45

L’article commence en parlant des algorithmes post-quantiques (notamment ceux sélectionnés récemment par le NIST https://www.ssi.gouv.fr/actualite/selection-par-le-nist-de-futurs-standards-en-cryptographie-post-quantique/ ) puis change complètement de sujet en parlant de distribution quantique de clés, qui n’a rien à voir, et qui en prime est une technique d’intérêt très douteux https://www.ssi.gouv.fr/publication/migration-vers-la-cryptographie-post-quantique/ - section 5.
Dommage donc de relayer la comm’ du CEA sans regard critique.

Le 12/07/2022 à 09h 58

Sur la société Altrnativ, précisons qu’elle semble peu sérieuse, avec des prétentions extraordinaires (respecter la vie privée et simultanément examiner tout le trafic pour en éliminer les logiciels malveillants) et rien de concret.
Ils avaient une présentation technique plein d’énormités (notamment sur DoH) mais qui a disparu depuis de leur site.

Le 06/07/2022 à 11h 15

Deux articles sur la campagne de Next Inpact, le premier très critique (et avec lequel je ne suis pas du tout d’accord) https://restez-curieux.ovh/2022/07/06/le-probleme-de-la-presse-independante/ https://medium.com/@Julien_Jay/la-presse-tech-fran%C3%A7aise-br%C3%BBle-6b8859c97ba2

Le 01/07/2022 à 08h 46

Six TLD et pas cinq.

Le 03/05/2022 à 09h 01

Ça sent plutôt le pipeautage pour dissimuler, sous de fumeuses « raisons de sécurité » (non spécifiées) une volonté d’enfermer les utilisateurs sur cette plate-forme.

Le 03/05/2022 à 08h 53

Assez gonflée, la référence à la Russie dans le communiqué. Poutine est accusé, à juste titre, de chercher à se couper partiellement de l’Internet mais le communiqué ne mentionne pas toutes les actions prises à l’Ouest pour couper la Russie. (Il est évidemment plus facile et moins risqué de censurer un site Web russe que d’aider réellement la résistance ukrainienne.)

Le 22/03/2022 à 13h 58

darkbeast a dit:

je pense aussi

Je commente pour dire qu’il ne faudrait pas commenter.

Le 18/03/2022 à 14h 06

Amabaka a dit:

PS: Il y a peut etre des solutions techniques quand même. J’imagine que la redirection vers un autre nom de domaine pour afficher l’avertissement est possible au niveau DNS avec un simple CNAME. Et si on décide de passer l’avertissement, le serveur peut sauvegarder la décision pour mon adresse IP, et la fois d’après le DNS ne va pas rediriger. S’il y a un expert DNS dans le coin qui en sait plus …

Non, ça ne marchera pas, en tout cas pas en HTTPS. La vérification du certificat se fait, heureusement, en utilisant le nom original.

Le 18/03/2022 à 11h 12

marba a dit:

Le site en question est de base en https, c’est le dns qui redirige vers un site en http du ministère de l’intérieur.

Désolé, mais ce que vous écrivez ne veut rien dire. Si l’URL de départ (celui choisi par l’utilisateur), était https, la réponse DNS, quelle qu’elle soit, ne va pas le changer en http. (HTTPS protège, entre autres, contre les résolveurs menteurs.)

Le 18/03/2022 à 10h 29

marba a dit:

Les DNS menteurs sont déjà en place. Il y a quelques sites où les DNS redirigent vers un site en http affichant un avertissement du ministère de l’intérieur. Le navigateur ne bronche pas donc.

Si c’est du http, en effet. Mais, aujourd’hui où presque tout le monde est en https, si, ça bronche.

En revanche pour pouvoir rendre cet avertissement non bloquant, je ne sais pas comment ils peuvent faire oui… À moins d’encapsuler le site via les serveurs du ministère de l’intérieur…

Vous pouvez tester : https://interieur1.eu.org/ va timeouter (pas de HTTPS disponible, logique, il n’aurai pas de certificat à présenter) alors que http://interieur1.eu.org/ va marcher.

Le 18/03/2022 à 10h 19

eglyn a dit:

Ouais, du coup y a plein de truc par cœur à apprendre, qui sont finalement une perte de temps… Faudrait mathématiser la langue française, et supprimer toutes les exceptions

Tout le monde doit apprendre le Lojban ! https://www.bortzmeyer.org/what-is-lojban.html

Le 18/03/2022 à 09h 48

Les trois tweets d’Éric Bothorel ne mentionnent pas un résolveur DNS menteur, contrairement à l’article de NextInpact. Il en a parlé ailleurs, peut-être ?

Le 18/03/2022 à 09h 44

Soriatane a dit:

Ces codes d’erreur étendus existent déjà dans le DNS (RFC 8914 https://www.bortzmeyer.org/8914.html). Le problème est que le client DNS dans la machine de M. Michu n’en tient typiquement aucun compte.

Le 03/03/2022 à 13h 37

L’ICANN a, comme prévu, refusé de retirer .ru et les autres, notamment avec l’argument qu’elle n’avait aucune autorité pour supprimer un ccTLD, ceux-ci ne dépendant que de leur pays. https://www.icann.org/en/system/files/correspondence/marby-to-fedorov-02mar22-en.pdf

Le 03/03/2022 à 10h 59

carbier a dit:

C’est une demande issue de l’Ukraine pour couper la Russie du reste du monde sur Internet.

La demande ukrainienne (notez qu’il n’y a pas que le DNS dedans) : https://eump.org/media/2022/Goran-Marby.pdf

Le 03/03/2022 à 10h 57

Jarodd a dit:

Bortzmeyer, personne ne le connaît. Il faut demander à de vrais experts. Qu’en pensent BHL et Enthoven ?

Francis Lalanne et Booba ont déjà affirmé leur soutien au point de vue de Poutine. Qui suis-je pour passer après de tels experts ?

Le 03/03/2022 à 10h 08

BlackLightning a dit:

En admettant qu’ils (afnic ?) viennent à retirer les TLD russes, est-ce que ça ne pourrait pas également signifier la fin d’un internet assez centralisées pour le départ d’un nouvelle forme d’internet plus décentralisée et moins dépendantes des actions gouvernementales/guerres/politiques ?

Déjà, non, l’Afnic n’en a pas du tout le pouvoir, elle ne gère ni .ru, ni la racine. Son pouvoir se limite au .fr.

Ensuite, oui, peut-être mais je ne suis pas optimiste. Un scénario plus vraisemblable est celui d’un Internet partiellement fragmenté et encore plus difficile à déboguer qu’aujourd’hui.

Le 03/03/2022 à 10h 07

Inodemus a dit:

Oui, vraiment ça va devenir indispensable d’utiliser son propre résolveur en contact direct avec les serveurs racines, plutôt que de se casser le cul à devoir chercher régulièrement des résolveurs fiables.

Ou un résolveur public de confiance. https://www.bortzmeyer.org/doh-bortzmeyer-fr-policy.html

Le 03/03/2022 à 10h 06

Drepanocytose a dit:

Bon, même si Bortmeyer prend des précautions (“je ne suis pas neutre”, “je me place sur le plan de la technique”, etc.) et qu’effectivement il est raisonnable sur le TLD, je note quand même qu’il propose de faire de la censure du .ru par les resolveurs :

Sérieusement, Stéphane ?

J’ai dit que c’était possible, pas que c’était une bonne idée. (Peut-être faudrait-il le réécrire.)

Le 02/03/2022 à 17h 50

fofo9012 a dit:

Je ne crois pas, tous les navigateurs modernes ont activés DoH par défaut,

Hmm, non, pas en France, à ma connaissance, pour Firefox. Et pas Chrome non plus.

Le 28/02/2022 à 17h 36

Vilainkrauko a dit:

Ce sera un bloquage DNS ?

J’ai mon serveur DNS privé chez moi

Il ne faut pas être égoïste, et penser à M. Toutlemonde, qui a autant le droit de regarder du porno que vous, même s’il n’a pas de compétence DNS.

Le 28/02/2022 à 17h 08

the_frogkiller a dit:

Euh…. 99.99% des usagers ?

Moins que cela, quand même. Les différentes études donnent (selon le pays et selon l’étude) de 10 à 25 % des utilisateurs qui sont derrière un résolveur DNS public comme Google Public DNS. Mais c’est vrai que c’est minoritaire.

Le 26/01/2022 à 15h 55

Observations techniques sur le déploiement : https://framagit.org/-/snippets/6468

Le 17/01/2022 à 08h 38

SIaelrod a dit:

je suis donc forcé de faire “confiance” a un DNS (ouvertement reconnu certe) mais rien ne leur empêche de se mettre a tous filtré du jour au lendemain sans que personne ne voit rien pendant plusieurs semaines.

Et DNSSEC, alors ?

Le 16/01/2022 à 21h 23

SIaelrod a dit:

Je sais je trouve juste dommage qu’il ai pas un protocole sous les aisselles, en alpha ou bêta. Au lieu de dire qu’il n’ont rien prévu, créer des clone d’un serveur racine et un protocole alpha (avec un éventuel fallback) serait intéressant a voir (ainsi ceux d’entre nous intéressé pourront aider a le développé en remontant les bug / faire des PR).

Comme on a la QNAME minimisation https://www.bortzmeyer.org/9156.html (et quelques autres trucs comme les serveurs racine locaux et la synthèse de réponse avec les NSEC), la communication avec le serveur racine n’est franchement pas le maillon faible. L’IETF travaille sur le chiffrement des requêtes DNS vers les serveurs faisant autorité mais c’est bien plus important pour le TLD que pour la racine.

Le 16/01/2022 à 20h 32

SIaelrod a dit:

J’aurais largement préférer un truc du genre :

L’Europe investi pour des DNS Racine en Europe a faible latence, qui supporte les dernière tech de sécurité/dnssec et l’ipv6.

Il y a déjà plein de serveurs racines en Europe, et tous les serveurs racine gèrent DNSSEC et IPv6.

Contrairement a leur idée saugrenue, ca aurais permis d’avoir les premiers DNS racine qui supporte le chiffrement DOT/DOH/ODOH/DNSCRYPT.

Il n’existe pas de norme technique pour faire du chiffrement vers les serveurs faisant autorité (bien que l’IETF ait des projets). Et les opérateurs de serveur racine ont déjà dit qu’ils ne voulaient pas du chiffrement : https://root-servers.org/media/news/Statement_on_DNS_Encryption.pdf

Le 16/01/2022 à 20h 29

Delqvs a dit:

Y a-t-il un espoir que ce mouvement serve à se rapproprier un peu du pouvoir de l’ICANN et enfin boulverser l”internet à l’américaine” ?

Non, car ça n’a aucun rapport. L’ICANN ne contrôle pas les résolveurs, et n’a aucune autorité sur Google Public DNS ou les autres Quad-N.

Le 16/01/2022 à 20h 27

Twiz a dit:

Mouais, autant passer par les DNS de la FDN, non ?

Ils ne fonctionnent que sur UDP, donc zéro confidentialité en transit, et zéro authentification. Il serait trivial de les remplacer par des usurpateurs.

Le 14/01/2022 à 15h 11

carbier a dit:

Au secours nous vivons en dictature: l’UE veut fournir une alternative aux DNS privés qui par essence sont les plus respectueux.

Je suis bien certain que les gouvernements de l’UE sont tous démocratiques, ne sont jamais tentés par des comportements autoritaires, ne censurent pas SciHub ou autres, ne surveillent pas leur population (d’ailleurs, ils ne font jamais de lois étendant les possibilités de surveillance), et surtout n’utilisent jamais des prétextes (terrorisme, par exemple) pour étendre leur pouvoir. Mais, quand même, on peut se méfier ou bien c’est suspect d’avoir un doute ?

Et, sinon, la politique, contrairement à l’informatique, ce n’est pas binaire, il n’y a pas que Google et la Commission Européenne. On peut par exemple avoir son/ses propre(s) résolveurs.

Le 14/01/2022 à 12h 29

ragoutoutou a dit:

Effectivement, il faut assortir ce dispositif d’une couche de filtrage, genre reverse-proxy vers lequel toutes les requêtes seront routées après mensonge du DNS.

L’appel à propositions ne mentionne pas cette énorme usine à gaz qui serait nécessaire, avec ses problèmes de vie privée et de disponibilité.

Le 14/01/2022 à 10h 57

Soriatane a dit:

Sauf erreur il y a des moyens d’attaque utilisant un DNS corrompu.

Comme quasiment toute activité sur l’Internet commence par une requête DNS, qui contrôle le résolveur DNS contrôle toute votre activité. Sur le fonctionnement du DNS, les amateurs de vidéos peuvent regarder : https://www.afnic.fr/observatoire-ressources/actualites/lafnic-met-en-ligne-une-video-sur-les-coulisses-des-noms-de-domaine/

Le 14/01/2022 à 10h 55

« services de filtrage d’URL » Le terme figure en effet dans l’appel à propositions mais il est absurde puisqu’un résolveur DNS ne voit pas les URL, seulement les noms de domaines. C’est une des raisons pour lesquelles utiliser un résolveur DNS menteur pour la sécurité n’est pas une bonne idée. Si le site Web de la mairie de Champignac se fait p0wNer et que http://www.mairie-champignac/wp-quelquechose/malware.php distribue du logiciel malveillant, il n’y a aucun moyen, au niveau DNS, de bloquer seulement cet URL.

Le 14/01/2022 à 10h 47

ColinMaudry a dit:

Après, ce sera potentiellement le premier DNS à implémenter les blocages décidés en justice, mais comme ça se contourne si besoin…

Comment on contourne ? (Oui, on peut changer de résolveur mais, dans ce cas, à quoi sert DNS4EU ?)

Le 14/01/2022 à 10h 46

tpeg5stan a dit:

pourquoi ces critères ? C’est si courant que ça les cas de serveur DNS non disponibles dans certains pays […] Il me semble que ce sont des critères pour un hébergeur, pas pour un serveur DNS

Pour un résolveur DNS, la disponibilité est absolument cruciale. Sans résolveur DNS, c’est à peu près comme si on n’avait pas d’Internet. Une des raisons pour lesquelles des gens ont migré vers les résolveurs publics est justement la panne du résolveur de leur FAI. https://www.bortzmeyer.org/resolveur-dns-en-panne.html

Opennic, Cloudflare, Google, les opérateurs ont des DNS qui fonctionnent bien.

Opennic ? Avec les trois quarts des adresses IP qu’ils donnent qui ne répondent pas ?

Cloudflare et Google ont eu des pannes aussi. Néanmoins, avoir moins de pannes qu’eux ne sera pas facile (euphémisme).

Le 14/01/2022 à 10h 42

Drepanocytose a dit:

il faudra regarder en détail les garde fous qui seront mis en place pour circonscrire des velleités d’intervention politiques sur le DNS lui même.

On peut raisonnablement supposer qu’il n’y aura aucun garde-fou, l’appel à propositions dit au contraire explicitement qu’il faudra bloquer les noms illégaux (comme ceux pointant vers des sites LGBT en Hongrie).

Le 14/01/2022 à 10h 40

Freeben666 a dit:

Est-ce qu’il devra faire le café aussi ?

En effet, les exigences sont nombreuses et, même pour les 14 M€ donnés, cela ne sera pas évident.

Le 14/01/2022 à 10h 39

SebGF a dit:

Perso j’ai monté mon propre serveur DoH car à aucun moment je n’aurai confiance envers celui d’une des entreprises de la Big Tech.

C’est évidemment la meilleure solution. J’en profite pour faire de la pub pour le mien : https://doh.bortzmeyer.fr/policy