Home » Idioties, Internet, Legislation

Mon FAI bloque un site web !

11 août 2010 5 commentaires
tags : , , , ,
Download PDF

Bon, en fait, c’est un mensonge, mon FAI, c’est moi, et je ne bloque aucun site web.

Par contre, chez Bouygues Télécom, on ne se fait pas prier trop longtemps par l’ARJEL pour se conformer aux obligations de filtrages imposées par le TGI de Paris la semaine dernière. C’est donc chose faite, les clients de Bouygues ne peuvent théoriquement plus accéder à www.stanjames.com. Enfin, tout est relatif, les ordinateurs qui utilisent les serveurs DNS de Bouygues obtiennent une fausse information qui ne leur permet donc pas d’accéder au site.Alors comment fait-on pour accéder aux sites bloqués par un vilain DNS menteur ? Ben on utilise un autre serveur DNS. Par exemple, celui de Google qui est publique et qui porte l’IP 8.8.8.8 (facile à retenir, en prime). Je ne rentrerais pas dans le long débat qui consiste à savoir si c’est bien ou mal de donner la liste de toutes ses requêtes DNS à Google. Personnellement, je pense que c’est mal, mais moins mal que de s’adresser à un DNS menteur.

L’avantage du DNS menteur, c’est qu’il ne perturbe l’accès que d’un seul site. Quelles sont les autres manières de bloquer un site chez un FAI ? Comment on passe à coté et quels sont les effets de bords ?

  • Le blackholing. Il agit au niveau de l’adresse IP de la machine qui héberge le site. Si vous ne suivez pas mon blog régulièrement, revenez en arrière pour lire l’article qui parle des routes sur internet. Le blackholing permet, sur un réseau autonome défini, de jeter purement et simplement le trafic provenant d’une ou allant vers une adresse IP déterminé (ou un bloc entier). En l’occurrence, en cherchant un peu, on trouve que Stanjames utilise le bloc d’IP 91.199.56.0/24 et que l’adresse précise du site www.stanjames.com est 91.199.56.80. Il suffirai donc à un FAI de blackholer cette IP ou le bloc entier pour être sûr qu’aucun utilisateur n’accède au site www.stanjames.com. Ce faisant, il interdirait également toute communication avec d’autres sites ou services hébergés sur ces adresses. Pour passer à coté, pas de grand mystère, il faut éviter le réseau de son fournisseur, soit en résiliant pour aller chez un autre qui ne filtre pas de cette façon, soit en utilisant un VPN permettant d’écouler son trafic depuis une autre adresse IP que celle de son fournisseur (VPN qui n’a pas nécessairement besoin d’être chiffré)
  • Il existe des variations du système de blackholing qui consiste a rediriger le trafic vers une machine appartenant au fournisseur pour pouvoir afficher des pages au visiteur (au mieux « vous avez pas le droit », au pire, le site d’un concurrent)
  • L’inspection de paquets, méthode plus onéreuse pour le fournisseur qui consiste à rechercher des informations précises dans les flux de données puis, le cas échéant, de les couper. Par exemple, lorsqu’on discute avec www.stanjames.com, le navigateur commence par ouvrir une connexion avec le serveur web puis dit « je voudrais que tu me donne la page http://www.stanjames.com/ ». Un système d’inspection de paquets peut être configuré pour couper purement et simplement la connexion entre le navigateur et le serveur web lorsqu’il verra passer cette phrase. L’avantage de cette méthode, c’est que si le site en question change d’hébergeur, il sera toujours filtré. Par contre, s’il change de nom, c’est cuit. La encore, pas de miracle possible pour contourner la mesure si ce n’est d’évacuer son trafic au travers d’un VPN qui, pour le coup, devra être chiffré pour que le système d’inspection ne puisse pas retrouver la demande de page web.

On va donc probablement, dans les mois qui viennent, assister à une escalade meurtrière de « je fais mentir mes DNS », « j’en utilise d’autre », « je blackhole les IP », « j’utilise un VPN », « j’inspecte tes paquets et m’assoie sur le respect de ta vie privée », « je chiffre tout mon trafic ».

L’effet de bord totalement prévisible ? Une fois que la majorité du trafic d’Internet sera chiffré, toutes les mesures actuelles d’écoute et d’interception par les forces de l’ordre pour des motifs plutôt légitimes (la pédophilie, par exemple) seront incroyablement complexifiées.

D’un autre coté, les personnes se livrant à des activités réellement néfastes et prohibées utilisent déjà des systèmes de protection de leurs échanges … C’est donc encore un très joli coup d’épée dans l’eau.

EDIT : pour preuve de l’épée et de l’eau, un particulier à déjà crée un nom de domaine alternatif pointant sur l’IP du site stanjames.com. Le site est donc de nouveau accessible aux abonnés Bouygues Telecom via ce nouveau nom de domaine qui n’entre pas dans le périmètre de l’ordonnance rendue vendredi dernier par le TGI de Paris.

Comme je le disais trois  paragraphes plus haut, le prochain stade de blocage s’effectue au niveau de l’adresse IP utilisée par Stanjames. Après cela, en dehors des VPN, les solutions globales centralisée sont :

  • Pour Stanjames, de changer l’IP du site, quitte à utiliser un autre réseau que le sien (puisqu’ils sont leur propre hébergeur avec leur propre réseau)
  • Pour les visiteurs, d’utiliser un proxy anonyme comme on en trouve un peu partout (google est votre ami) pour rebondir avant d’aller vers le site final (méthode qui fonctionne d’ailleurs pour n’importe quel blocage, y compris l’inspection de paquets si le proxy permet de chiffrer les échanges)

5 Comments »

  • Quetzal said:

    Tiens c’est marrant, bloqué chez free aussi

  • corrector said:

    > Tiens c’est marrant, bloqué chez free aussi

    Tu es sûr?

    J’obtiens aujourd’hui :

    « Nous sommes désolés, mais en raison de la réglementation française vous n’êtes pas autorisé à consulter ce site.

    Nous nous excusons pour la gêne occasionnée. »

    serveur : 89.202.162.236
    qui est chez … Stan James Limited (89.202.162.192 – 89.202.162.255)

    Donc c’est eux qui affichent la page et bloquent… mais comment?

    Mais on peut accéder à 91.199.56.80 sans restriction! :D

    Et aussi, en mettant le DNS Google ça marche.

    En regardant le détail de la résolution (sur 212.27.40.240 pour commencer) :

    http://www.stanjames.com canonical name = sb126.www.stanjames.com

    C’est ce « sb126 » qui affiche la page de blocage.

    Et en résolvant directement avec le NS pdns1.ultradns.net, depuis mon IP Free, j’ai bien la même réponse que via 212.27.40.240 :

    > http://www.stanjames.com
    Serveur : pdns1.ultradns.net
    Address: 204.74.108.1

    http://www.stanjames.com canonical name = sb126.www.stanjames.com
    stanjames.com nameserver = pdns6.ultradns.co.uk
    stanjames.com nameserver = pdns5.ultradns.info
    stanjames.com nameserver = pdns4.ultradns.org
    stanjames.com nameserver = pdns3.ultradns.org
    stanjames.com nameserver = pdns2.ultradns.net
    stanjames.com nameserver = pdns1.ultradns.net

    À retenir concernant Free :

    Free n’a PAS mis en place de DNS menteur.
    Free n’a PAS bloqué une ou plusieurs IP stanjames.
    Free n’a PAS appliqué le jugement du tribunal.

    (tout ceci jusqu’à preuve du contraire, Free n’étant pas le Chevalier blanc de la pureté du net)

    Concernant le blocage des mangeurs de grenouilles : ri-di-cule.

  • corrector said:

    Bon, je vois que ce logiciel de blog a tripatouillé mon message (bis).

    J’ai écrit :
    www DOT stanjames DOT com
    mais le logiciel a mis :
    INF a href= »http://www.stanjames.com » onclick= »javascript:pageTracker._trackPageview(‘/outbound/comment/www.stanjames.com’); » rel= »nofollow » SUP http://www.stanjames.com INF /a SUP

    Non seulement je n’ai pas essayé de mettre un lien (en follow ou non) vers stanjames.com, mais en l’occurrence mon message devient absurde :
    « www POINT stanjames POINT com » est un nom qu’on peut soumettre au DNS pour obtenir une IP, alors que « http://www.stanjames.com » est une URL qu’il ne faut pas balancer telle quelle à un programme comme « nslookup » ou « dig »!

    Donc, relire mon message précédant en virant les « http:// » en trop.

    (Pourquoi il n’y a pas une fonction « preview »?)

  • Bruno (author) said:

    WordPress est une saloperie, je vais tenter de trouver ou balancer cette chiote qui ajoute toute seule du http et des link

    EDIT : alors, faut ajouter un remove_filter qui va bien au functions.php du thème :

    remove_filter( ‘comment_text’, ‘make_clickable’, 9 );

    Et hop.

  • corrector said:

    « Je ne rentrerais pas dans le long débat qui consiste à savoir si c’est bien ou mal de donner la liste de toutes ses requêtes DNS à Google. »

    En tous cas c’est une décision personnelle, contrairement à Google Analytics où un webmestre décide que les informations sur ses visiteurs sont compilées par Google, ce qui me gêne carrément plus.

    « Personnellement, je pense que c’est mal, mais moins mal que de s’adresser à un DNS menteur. »

    Je pense que Google a déjà bien assez de moyen d’avoir des informations, même si je suis prêt à les croire sur parole quand ils disent qu’ils ne feront rien de spécial avec les infos DNS.

    Ce genre de chose incite à utiliser le DNS Google. Une alliance secrète entre stanjames et le géant? ;)

    En tous cas, il ne faudrait pas que l’identification de l’IP source soit communiquée au NS du domaine (tel que proposé par Google justement), cela ne marcherait plus! Enfin, je n’ai rien compris à cette histoire (est-ce qu’il va y avoir un « Vary: source-IP » dans les réponses DNS?).

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


− deux = 5