Stéphane Bortzmeyer
est avec nous depuis le 23 février 2016 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
331 commentaires
CloudFlare lance des résolveurs DNS « pour les familles », bloquant par erreur des sites LGBTQIA+
Le 02/04/2020Le 02/04/2020 à 08h 59
DNS over HTTPS (DoH) : pour Stéphane Bortzmeyer, « le diable est dans les détails »
Le 26/03/2020Le 26/03/2020 à 14h 49
Le 26/03/2020 à 14h 46
Le 26/03/2020 à 12h 18
Le 26/03/2020 à 11h 21
Le 26/03/2020 à 11h 12
Le 26/03/2020 à 11h 11
Le 26/03/2020 à 10h 03
DoH permet tout à fait cela. Après, il faut trouver un client DoH validant avec DNSSEC et je ne crois pas qu’il en existe (mais plusieurs sont en cours de développement).
DNS over HTTPS (DoH) : au-delà de Firefox, une « question de confiance »
Le 24/03/2020Le 25/03/2020 à 09h 06
Le 24/03/2020 à 18h 18
Le chiffrement, c’est la plaie. Les gens honnêtes qui n’ont rien à cacher ne l’utilisent pas.
Le 24/03/2020 à 18h 09
Le 24/03/2020 à 18h 08
Le 24/03/2020 à 18h 06
Le 24/03/2020 à 18h 04
aureus a écrit :
Seconde question est-ce qu’a terme on va donc devoir gérer les DNS de l’OS et les DOH dans le navigateur ? Et du coup pourquoi pas un client DOH dans d’autre applications ?
Aucune idée, DoH est juste un protocole, comme DoT, comme le DNS classique, il peut être mis dans le système d’exploitation ou bien dans les applications.
Le 24/03/2020 à 17h 58
Le 24/03/2020 à 17h 28
Du DoT vers quel résolveur ?
Hôpitaux de Paris (AP-HP) cherche des volontaires en informatique, dev, data science, etc.
Le 23/03/2020Le 23/03/2020 à 14h 32
Il est très possible que le problème ne soit pas tant l’argent, que les procédures de recrutement très longues et très lourdes. (Et qu’on ne peut pas simplifier, même quand « nous sommes en guerre », pas question de faire bouger l’administration.)
Deux spécialistes du réseau s’attaquent à l’argument d’un Internet bientôt surchargé
Le 23/03/2020Le 23/03/2020 à 12h 07
Pas d’accord, en général les opérateurs opposent Disney (ou le futur Salto) à Netflix précisement en leur reprochant d’être OTT (cf. l’arrivée de Netflix « dans la Freebox »). Mais il est exact que la définition est souvent floue.
Le 23/03/2020 à 10h 07
“Over The Top” Ceux qui n’ont pas signé d’accord avec les FAI, et font de l’Internet « normal », sans fonctions spéciales dans la « box », sans équipements installés chez le FAI.
Le 23/03/2020 à 09h 36
Le lien LinkedIn est le même que le lien Twitter. Le bon doit plutôt êtrehttps://www.linkedin.com/pulse/lancement-de-disney-pendant-la-crise-du-coronavir…
Le lancement de Disney+ repoussé au 7 avril à la demande du gouvernement (et d’Orange)
Le 22/03/2020Le 23/03/2020 à 07h 51
« je me marre quand je vois dans les commentaires tous ces gens qui
s’improvisent experts réseau/télécom et qui pense savoir ce qu’il se
passe tout mieux que tout le monde, ce sont sûrement les mêmes gens qui
s’improvisent experts en épidémiologie » Cette attitude technocratique et méprisante est trop fréquente dans les discours officiels en ce moment pour que je la laisse passer. Étant donné que tout le monde est affecté par l’épidémie, il est parfaitement normal que les citoyens discutent des mesures prises. Étant donné que tout le monde utilise l’Internet, il est parfaitement normal que les citoyens discutent de ce qui se fait en matière d’infrastructure de l’Internet.
Les citoyens ne sont pas tous bien informés ? Eh bien c’est aux gens qui connaissent de le faire, au lieu de se complaire dans l’attitude hautaine « décidément, qu’est-ce que les gens sont cons ». Les citoyens participeront aux débats de toute façon (et heureusement). Si on veut qu’ils le fassent de façon intelligente, cela dépend de nous (je suppose qu’une bonne partie des lecteurs de Next Inpact sont informaticiens…)
Et les données, les chiffres ? On m’a reproché de publier les statistiques d’un point d’échange Internet, en arguant que le France-IX n’est pas représentatif. Je ne demande pas mieux que de m’appuyer sur d’autres chiffres. Publiez-les, au lieu de dire « faites-nous confiance, de toute façon vous êtes trop cons pour comprendre ».
Le 23/03/2020 à 07h 46
« Je vous laisse imaginer le casse-tête pour l’Education nationale. » C’est bizarre, cette phrase dans un commentaire parlant des VPN, et de la redistribution du trafic. L’Éducation Nationale fournit des accès VPN aux élèves, aux enseignements du primaire et du secondaire, aux étudiants ? (Réponse : non.)
Le 23/03/2020 à 07h 44
« Il y a pas mal d’inexactitudes publiés dans l’article chez Framasoft » Je veux bien une liste, même partielle.
Le 23/03/2020 à 07h 39
« la neutralité n’existe plus depuis bien longtemps » C’est le discours classique des telcos depuis de nombreuses années, finalement, le confinement n’a rien changé, les mêmes arguments ressortent.
Il y a un élement vrai dedans : de nombreux opérateurs violent la neutralité du réseau. Après, par quel miracle faudrait-il renoncer à un principe parce qu’il est largement violé, cela m’échappe. Cela me parait plutôt une raison pour le défendre, au contraire.
(Et concernant la domination d’un petit nombre d’acteurs, les solutions sont connues : pair-à-pair, décentralisation, fédération, etc. Curieusement, ce sont justement les techniques que les telcos combattent.)
Le 23/03/2020 à 07h 33
Notons que l’augmentation de la capacité réseau va devenir de plus en plus difficile au fur et à mesure qu’on s’enfonce dans le confinement : travaux et déplacements suspendus, pièces qui n’arrivent plus de Chine, datacenters inaccessibles (Equinix désormais presque fermé…) À moyen terme, c’est cela qui m’inquiète davantage que Disney. (Cf. l’excellent exposé de Job Snydershttp://instituut.net/~job/netops_during_pandemics.pdf
Le 23/03/2020 à 07h 30
Mais la question du « dernier kilomètre » est complètement différente, car, là, l’occupation du tuyau dépend entièrement de l’utilisateur (sauf attaque DoS). Ne pas lancer l’offre de Disney ou pas ne changera rien. Si M. Michu craint pour son tuyau, il peut ne pas regarder de vidéos. Le dernier kilomètre, quand il a une capacité restreinte, est le lieu des choix individuels, qu’on n’impose pas aux autres et qui ne dépend pas de leurs choix.
Le 22/03/2020 à 10h 31
Sinon, les lecteurs de NextInpact connaissent tout cela, mais si vous voulez expliquer la situation à vos proches, vous serez peut-être intéressé·e·s (DANGER : PUB) par mon article sur l’Internet en temps de confinement :https://framablog.org/2020/03/21/linternet-pendant-le-confinement/
Le 22/03/2020 à 10h 29
« Est-ce que leur datacenter pour la France est super mal placé par rapport à l’agencement des réseaux ? » Pour l’instant oui. Netflix a mis des caches dans tous les FAI (ce qui pose d’autres problèmes, question neutralité du réseau), pas Disney+. Je ne défends pas la décision du gouvernement, hein, elle relève du bougisme (« il faut faire quelque chose, n’importe quoi ! »), j’explique juste qu’il y a apparemment une réelle différence entre Disney et Netflix.
Le coronavirus inspire les noms de domaine
Le 18/03/2020Le 19/03/2020 à 08h 20
Et il y a un site Web derrière. Est-ce que laver les voitures contribue à lutter contre le virus ?
Le 19/03/2020 à 08h 19
Je ne vois pas coronavirus-gouv.fr. Déjà supprimé, sans doute.
Confinement en France : téléchargez la nouvelle attestation de déplacement
Le 24/03/2020Le 17/03/2020 à 07h 46
Pour ceux et celles qui ont du mal à télécharger l’attestation de déplacement (le site du Ministère ne tient pas la charge), elle est en BitTorrent :
magnet:?xt=urn:btih:26586CED67BBB44FA0B493DE5D442BB031EBF8F6&dn=Attestation_de_deplacement_derogatoire.pdf
En Italie, le confinement sature la bande passante
Le 16/03/2020Le 16/03/2020 à 14h 02
Je n’ai pas vu passer ce problème DNS Orange. Des détails techniques précis ?
Le 16/03/2020 à 14h 01
« a fortiori lorsque des millions d’enfants téléchargent la dernière mise à jour de 25 Go en même temps » Quelqu’un leur explique BitTorrent ? (Et le pair-à-pair de manière générale.)
Qu’est-ce que DNS over HTTPS (DoH), qu’est-ce que cela peut vous apporter ?
Le 11/03/2020Le 14/03/2020 à 14h 23
Comme je disais, c’est long, compliqué et cher.
Il n’y a pas d’ouverture en ce moment, on parle d’un prochain cycle de candidatures en 2021 ou 2022. Prix pas encore connu. Attention, les frais de dossier ne sont qu’une petite partie de ce qu’il faut payer.
Le 14/03/2020 à 07h 24
« - Concernant le .Org, comment est-ce possible qu’une société se soit approprié et se donne le droit de vendre un bien commun datant du début de l’Internet? »
Je suis d’accord, c’est scandaleux.
Le 14/03/2020 à 07h 23
« - Qui prend / Comment on été prisent les décisions de créer des nouveaux TLD? »
Deux cas, les TLD ICANN et les autres.
Pour les TLD ICANN, c’est l’ICANN. Le mécanisme, long, compliqué et cher, est certes très contestable mais,à la décharge de l’ICANN, il faut préciser que personne n’a encore trouvé un mécanisme correct (les idées sont les bienvenues mais le problème est vraiment très difficile ; pensez par exemple au .ISLAM, à qui l’attribuer ?).
Pour les TLD autres, ils dépendent d’un pays. La création de .SS était automatique à l’indépendance du Soudan du Sud. La suppression dépend du bon vouloir du pays (cf. le feuilleton du .SU, qui se porte toujours bien, 28 ans après la fin de l’Union Soviétique). Il reste les cas difficiles comme .EH mais ceux-ci sont difficiles de toute façon. Là encore, personne n’a de solution miracle pour résoudre ces problèmes.
Le 14/03/2020 à 07h 15
« - L’argent suffit t’elle à ce que l’IANA reste indépendante? L’est elle vraiment? »
L’indépendance est une notion complexe. Indépendant de qui ? La gestion de la racine n’est pas vraiment indépendante du gouvernement des États-Unis, qui continue à déléguer son fonctionnement à Verisign. Quant à l’ICANN, indépendante du gouvernement des États-Unis ne signifie pas indépendante de la vision états-unienne du monde (aux réunions ICANN, une bonne partie de la soi-disant diversité, les gens qui prétendent représenter l’Afrique, par exemple, sont des gens qui vivent et travaillent aux USA depuis 30 ans…). Et l’ICANN est très marquée par l’idéologie capitaliste (cf. la vente de .org).
Le 14/03/2020 à 07h 11
« Est ce que tout l’argent gagné a créer des tld “à la con” sert uniquement les intérêts de l’IANA? »
Une bonne partie de la motivation pour cet argent est juridique. L’ICANN étant une boîte privée, elle ne bénéficie pas de l’impunité juridique dont jouit, par exemple, un gouvernement ou une organisation internationale. Le système juridique étatsunien étant propice aux DoS, il faut être gros pour tenir le coup.
Le 14/03/2020 à 07h 08
« voir une racine alternative sérieuse (je sais qu’il y en a, mais rien qui ne prend de l’ampleur) »
Le problème des racines alternatives n’est pas technique (monter une racine simple est très facile, cf. le projet Yetihttps://www.afnic.fr/fr/ressources/blog/le-projet-yeti-d-experimentation-d-une-r… monter une vraie racine de production est évidemment plus difficile mais on sait faire). Il est 100 % politique : qui va la diriger ? Les russes ? Les chinois ? Google ? Facebook ? Moi (je veux bien devenir Dictateur en Chef de l’Internet Mondial) ?
Qu’on ne me dise pas qu’il faut qu’elle soit gérée démocratiquement par les utilisateurs. Quand c’est trois types dans leur garage, ça va. Mais à l’échelle mondiale ?
Le 14/03/2020 à 07h 02
« à quand la possibilité d’interroger les serveurs racine, TLD/SLD directement via DoH, DoT ou autre ? »
On y travaille (dans le groupe de travail DPRIVE de l’IETF) et des expérimentations existent (les serveurs faisant autorité pour facebook.com répondent déjà en DoT). L’authentifictaion n’est pas triviale car un client d’un résolveur ne parle qu’à deux ou trois résolveurs, mais un résolveur parle à des milliers de serveurs faisant autorité. Les solutions d’authentification évidentes utilisent le DNS mais on a alors un problème d’œuf et de poule. Mais on avance.
Le 14/03/2020 à 06h 58
Sur la résistance aux dDoS, j’ai des doutes sérieux : UDP est au contraire bien plus vulnérable, puisqu’il n’y a aucune authentification, même minimale, de l’adresse IP source.
Sur le résolveur local, cela n’a rien d’utopique, c’est assez facile à faire et des tas de gens le font.
Le 12/03/2020 à 13h 33
Non, ce n’est pas exact. DNSSEC est de bout en bout, puisque la signature est faite par le serveur maitre. (Sur .fr, c’est même un maitre caché, sans accès public depuis l’Internet, donc plus difficile à pirater.) Donc, rien à voir avec « celui à qui on a demandé la résolution ».
Quant aux résolveurs menteurs, DNSSEC ne supprime pas la nécessité d’avoir un résolveur de confiance (soit sur son réseau local, ce qui est quand même recommandé, soit distant et sécurisé par DoT ou DoH.)
Le 12/03/2020 à 12h 14
DNSSEC signe cryptographiquement les données, et le résolveur peut donc facilement vérifier que la donnée est correcte.
Le 12/03/2020 à 10h 51
Ça aggrave même les problèmes de vie privée, en envoyant la requête à davantage de monde.
Si le but est juste de savoir quelle est la bonne réponse, DNSSEC me parait une approche préférable.
Le 12/03/2020 à 10h 50
En sécurité, il n’y a JAMAIS de solution parfaite.
Le 12/03/2020 à 08h 58
Là, on fera du SNI chiffré, du domain fronting… La lutte de l’épée et de la cuirasse est éternelle.
Et voici Unicode 13.0 avec 5 930 nouveaux caractères
Le 12/03/2020Le 14/03/2020 à 06h 55
Les émojis ne sont qu’une minorité (cf. mon article pour les chiffres exacts). La majorité des caractères Unicode sont des sinogrammes, et donc sont utiles.
Le 14/03/2020 à 06h 54
Faudrait que les masculinistes écrivent une propal au consortium Unicode. C’est du travail, ça va les fatiguer.
Le 12/03/2020 à 12h 13
https://www.amazon.com/Straight-Pride-Heterosexual-Person-T-Shirt/dp/B07JQW6Y66
Le 12/03/2020 à 10h 56
Aucun rapport, le contraire de trans, ce n’est pas hétérosexuel (dont le contraire est homesexuel). Identité de genre ≠ orientation sexuelle.