Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé DNS. Afficher tous les messages
Aucun message portant le libellé DNS. Afficher tous les messages

samedi 14 mars 2020

Comment activer le DNS-over-HTTPS (DoH) sous Firefox et Chrome / Brave





Comment activer le DNS-over-HTTPS (DoH) sous Firefox et Chrome / Brave

Hello la compagnie,
je ne sais pas si vous avez suivi, mais Mozilla vient d’activer en mode « Par défaut on s’en balek« , l’option DoH dans la dernière version de Firefox pour tous les Américains.
DoH, ça veut dire DNS over HTTPS, et ça permet de chiffrer le trafic DNS pour empêcher un tiers d’observer les requêtes DNS que vous générez.

Activer DoH sous Firefox

Si ça vous intéresse, dans Firefox, vous devrez aller dans le menu des options, et cliquer sur « Préférences ».
Ensuite, descendez tout en bas, dans la section paramètres réseaux et cliquez sur le bouton « Paramètres ».
Puis cochez la case « Activer le DNS via HTTPS ». Vous pouvez choisir le fournisseur de DNS sécurisé (Cloudflare ou Nextcloud) ou spécifier le vôtre. Si vous cherchez une liste fiable de fournisseurs DNS over HTTPS (DoH), je vous en ai compilé plusieurs ici.


Il existe aussi une grosse liste détaillée ici mais il y a des DNS tenus par des particuliers donc je ne vous l’ai pas mise.

Puis faites OK.
Et voilà. Ensuite, rendez-vous sur cette page de test pour valider que tout fonctionne.
Et si la section Encrypted SNI est rouge, voici un article qui explique comment activer la fonctionnalité de chiffrement SNI.

Activer DoH sous Chrome / Brave

Pour cela, entrez la ligne suivante dans le champs d’adresse du navigateur :
chrome://flags/
Cherchez ensuite quelque chose qui s’appelle Secure DNS ou DNS over HTTPS et activez l’option
Pensez ensuite à configurer votre réseau Windows / Linux ou macOS pour utiliser des DNS compatibles DoH comme ceux de Cloudflare : 1.1.1.1. Mais si, vous savez, ici dans Windows (c’est pour vous rafraichir la mémoire) :
Puis allez sur ce site pour valider que tout fonctionne pour vous.
Et voilà !


REF.:

vendredi 4 mai 2018

Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare



CloudFlare, connu pour ses solutions de sécurité et Anti-DOS pour sites internet proposent des serveurs DNS.
Ces derniers sont réputés comme étant rapides et ne faisant pas de collectes de données (contrairement à ceux de Google).
L’adresse des serveurs DNS de CloudFlare est 1.1.1.1.
Ne vous attendez pas non plus à une révolution en terme de vitesse, il y a aussi pour beaucoup un effet d’annonce et marketting.
Un comparatif sur le site des serveurs DNS existent : Comparatif des serveurs de noms (DNS) : Google, OpenDNS, Quad9, Ultra-DNS etc.
Cet article vous explique comment changer les DNS sur votre ordinateur pour passer sur ceux de CloudFlare.

Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare

Je parle d’effets marketing, car annoncé partout comme plus rapide mais probablement vérifié par personne.
Sur ma connexion internet, les DNS CloudFlare sont plus lents que les DNS Orange.

La modification des serveurs DNS se fait sur la configuration des les interfaces réseaux.
Pour accéder à celle-ci facilement :
  • Sur votre clavier, appuyez sur la touche Windows + R
  • Dans la fenêtre exécuter, saisissez : C:\Windows\system32\control.exe npca.cpl
Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare
La page avec les interfaces réseaux s’ouvrent alors avec la liste des cartes réseaux.
Vous pouvez avoir une carte ethernet pour les connexions en filaires et une care Wifi pour les connexions Wifi.
Il faut modifier les adresses des serveurs de noms (DNS) pour les deux.
Pour entrer dans la configuration de la carte, faites un clic droit dessus puis propriétés.
Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare
La liste des des protocoles et connexions de la carte s’affiche.
Double-cliquez sur TCP/IP V4 afin d’ouvrir les paramètres de ce dernier.
En bas, cochez l’option « Utilisez l’adresse de serveurs de noms » suivantes afin de saisir les adresses DNS de CloudFlare 1.1.1.1 en serveur DNS primaire et 1.0.0.1 en serveur DNS secondaire.
Cliquez sur OK sur les deux fenêtres afin que les changements soient pris en compte.
Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare
Si vous utilisez l’IPV6, vous pouvez aussi modifier les serveurs DNS dans la configuration IPV6 : 2606:4700:4700::1111 en serveur DNS primraire et 2606:4700:4700::1001 en serveur DNS Secondaire.

Les liens autour des DNS

Les liens du site autour des serveurs DNS :
REF.:

dimanche 30 avril 2017

Comment obtenir une vitesse Internet plus rapide en utilisant DNS Hack ?




Il existe plusieurs façons d'obtenir une vitesse Internet plus rapide dans Microsoft Windows. Aujourd'hui, je vais vous montrer un simple piratage DNS qui peut accélérer votre navigation sur le Web de façon spectaculaire. Tout d'abord, je dois vous rappeler une chose évidente qui arrive avec la plupart d'entre nous lorsque nous utilisons une connexion Internet lente. La seule chose que nous reprochons est notre fournisseur de services Internet (FAI) pour une connexion Internet lente, mais ce n'est pas le seul cas tout le temps. Parfois, le problème réside dans notre système DNS (Domain Name System). Alors, permettez-moi de vous expliquer quelque chose au sujet du DNS avant de vous indiquer la méthode pour obtenir une vitesse rapide sur Internet.Qu'est-ce qu'un DNS?DNS - Système de noms de domaine (Service / Serveur) - est quelque chose qui convertit vos noms de domaine en adresses IP.
Les noms de domaine sont généralement alphabétiques pour nous nous souvenir facilement, mais en réalité, Internet fonctionne sur les adresses IP. Le DNS convertit le nom de domaine en son adresse IP correspondante, chaque fois qu'il est utilisé comme tel. Le DNS possède un réseau propre, c'est-à-dire qu'un serveur DNS peut demander à d'autres serveurs DNS de traduire un nom de domaine spécifique sur son adresse IP correspondante jusqu'à ce qu'il obtienne le résultat correct.
Les ordinateurs et autres appareils utilisent l'adresse IP pour acheminer le trafic et il est très semblable à la numérotation d'un numéro de téléphone. DNS agit comme un opérateur intelligent qui nous aide à contourner le carnet d'adresses infinie des adresses IP. Votre DNS gère cette énorme tâche.Comment un service DNS alternatif accélérera votre navigation?
Comme je l'ai mentionné plus tôt, votre vitesse de l'Internet sans tortue n'est pas toujours la faute de votre fournisseur d'accès Internet, à la place, il se peut que votre DNS soit responsable. Alors, pourquoi ne pas utiliser un autre service DNS? Comme les pages Web actuelles continuent de devenir de plus en plus complexes en inculquant d'innombrables choses. Ainsi, les clients recherchent plusieurs recherches DNS pour rendre une seule page Web. Avec la croissance continue du Web, l'infrastructure DNS existante est plus chargée chaque jour.
Maintenant, je vais vous dire d'utiliser un service DNS public gratuit qui informera votre ordinateur d'utiliser ce service plutôt que d'utiliser votre service prescrit par le fournisseur d'accès Internet et vous aidera à obtenir une vitesse plus rapide sur Internet
Recommandé: Qu'est-ce que le DNS (Domain Name System) et comment ça marche ?


Comment accélérer la navigation sur le Web en utilisant DNS Hack?
Pour obtenir une vitesse internet plus rapide, je vais vous parler du service gratuit OpenDNS. Vous pouvez également utiliser Google DNS pour accélérer votre connexion Internet. OpenDNS est l'un des services DNS gratuits les plus populaires qui a commencé à fournir une méthode alternative à ceux qui étaient mécontents de leurs DNS existants. Par la suite, je parle de OpenDNS; Trouver Google DNS après cela.
En suivant ces étapes simples, vous pouvez indiquer à votre ordinateur d'utiliser les serveurs DNS OpenDNS au lieu de ceux que votre fournisseur de services utilise automatiquement:Ouvrir DNS:
Étape 1:
Pour obtenir une vitesse Internet plus rapide à l'aide de OpenDNS, ouvrez le panneau de configuration.
Étape 2:
Aller à Network and Internet options.network-and-internet
Étape 3:
Maintenant, cliquez sur Réseau et Centre de partage.
centre de réseau et partage
Étape 4:
Cliquez sur votre connexion Internet, puis cliquez sur Propriétés.
connexion Internet
Étape 5:
Cliquez sur Internet Protocol Version 4 (TCP / IPv4) et cliquez sur Propriétés.
DNS-hack-fast-browse
Étape 6:
Choisissez maintenant les adresses de serveur DNS suivantes pour obtenir une vitesse d'Internet plus rapide:

    
Serveur DNS préféré: 208.67.222.222
    
Serveur DNS alternatif: 208.67.220.220
Ipv4-config-speedup-browsing
Vous utilisez maintenant les serveurs OpenDNS qui vous permettent d'obtenir une vitesse internet plus rapide.
Pour configurer IPv6:
Mettez en surbrillance le protocole Internet Version 6 (TCP / IPv6) et cliquez sur Propriétés, et choisissez les adresses de serveur DNS suivantes:

    
Serveur DNS préféré: 2620: 0: ccc :: 2
    
Serveur DNS alternatif: 2620: 0: ccd :: 2DNS-hack-faster-browsing
Google DNS:
Remplacez ces adresses par les adresses IP des serveurs DNS Google à l'étape 6.
Pour IPv4: 8.8.8.8 et / ou 8.8.4.4.
Pour IPv6: 2001: 4860: 4860 :: 8888 et / ou 2001: 4860: 4860 :: 8844
Conclusion:
Il existe plus d'avantages de OpenDNS et de Google DNS que d'obtenir une vitesse internet plus rapide. Habituellement, si le serveur DNS de votre fournisseur de services diminue, vous devenez incapable d'utiliser Internet, mais avec la méthode OpenDNS et Google DNS, même si le serveur DNS du fournisseur de services est en panne, vous pouvez naviguer sur Internet normalement.
Google DNS et OpenDNS fonctionnent très bien, mais les gens préfèrent Google DNS ces jours-ci. Vous pouvez choisir d'aller pour l'un de ces derniers et voir si votre Internet accélère.
Avez-vous aimé cette méthode pour obtenir une vitesse internet plus rapide en utilisant un simple DNS hack? Dites-nous dans les commentaires!
En savoir plus sur le DNS (Domain Name System) et son travail ici.


Source.:

lundi 28 septembre 2015

Winsock : Reset du catalogue



Winsock est l'interface qui permet de gérer les envoies/réception de paquets.
Il y est possible de charger des DLL, si une DLL chargée dans la chaîne Winsock est supprimée, celle-ci est brisée et le réseau ne fonctionne plus.
Il faut alors faire un reset du catalogue, voici comment faire.

Manuellement

  • Windows Vista/Seven :
    • Menu Démarrer => Tous les programmes et Accessoires.
    • Sur L'invite de commandes, faire un clic droit et "exécuter en tant qu'administrateur
  • Windows 8.1 :
    • Faites un clic droit sur le bouton "Démarrer" en bas à gauche puis cliquez sur invites de commandes (admin)
    Image
  • Une fois dans la fenêtre d'invite, saisissez la commande netsh winsock reset catalog
  • Cela doit vous dire que l'opération a réussi et vous devez redémarrer l'ordinateur


Image

Redémarrez l'ordinateur

Avec des programmes

Des programmes permettent de corriger la couche Winsock.
Notamment :
Source.:

mardi 18 août 2015

The Pirate Bay, T411 : contourner un blocage DNS, c'est trop facile !




The Pirate Bay, T411 : contourner un blocage DNS, c'est trop facile !

DR

Ce n’est pas parce qu’un site est banni par la justice que celui-ci devient réellement inaccessible. Il existe des moyens techniques simples pour contourner ce blocage.

Le 4 décembre dernier, le TGI de Paris a ordonné aux opérateurs Orange, Bouygues, Free et SFR d’empêcher leurs internautes d’accéder au site thepiratebay.se ainsi qu’à certains de ses sites miroirs. Cette décision faisait suite à une plainte de la Société civile des producteurs photographiques (SCPP), qui voit d’un mauvais œil le partage de contenu musical protégé par le droit d’auteur. Mais comment ce blocage sera-t-il mis en œuvre concrètement ? Et peut-on le contourner ? En un mot : oui, et c'est d'ailleurs tellement simple que ce genre de censure n'a que très peu d'intérêt. Voici quelques éléments pour y voir plus clair.

Comment les FAI bloquent-ils les sites jugés illégaux ?

Lorsqu’une décision de justice ordonne le blocage d’un site, le choix technique est généralement laissé aux FAI. D’après l’Association de fournisseurs d’accès (AFA), c’est exclusivement le blocage DNS qui est utilisé, pour des raisons pratiques et de coûts. Le DNS, c’est l’annuaire du web. Ce système permet de transposer une URL (www.01net.com par exemple)  en adresse IP (173.31.6.199 par exemple), utilisable par les routeurs pour acheminer les données du Net.
Lorsqu’un internaute veut accéder à un site web, son navigateur va généralement récupérer la bonne adresse IP au travers du résolveur DNS de son FAI. Un résolveur DNS est un logiciel qui se charge de répondre à une requête DNS, soit directement (parce qu’il connait déjà l’URL), soit indirectement (en interrogeant le registre concerné, tel que .COM, .FR ou .SE). C’est au niveau de ce résolveur que le FAI va mettre en œuvre le blocage ordonné par la justice. Lorsque son client voudra accéder à un site bloqué, ce logiciel ne lui fournira pas l’adresse IP recherchée, mais l’aiguillera sur un message de type « Attention, ce site a été bloqué ou n’existe pas ».

Une fois mis en œuvre, un blocage DNS est-il effectif partout ?

Non. Tout d’abord, un blocage de site ordonné par la justice française n’est valable qu’en France. A l’étranger, le site visé pourra donc être accessible. Par ailleurs, tous les FAI français ne sont pas forcément concernés par une décision de blocage. Dans le cas de The Pirate Bay, seuls quatre opérateurs ont été sommés de mettre en œuvre le blocage : Orange, Bouygues, Free, et SFR. Si vous êtes client de Numéricable ou d’un FAI associatif, vous n’êtes pas concerné.
Enfin, le blocage n’est effectif que sur les sites qui sont nommés par la décision de justice. Pour contourner cette mesure, il suffit donc que quelqu’un crée un site miroir. C’est d’ailleurs ce que vient de faire le Parti Pirate français pour The Pirate Bay. Pour bloquer ce nouveau site, il faudra lancer une nouvelle procédure judiciaire.

Les internautes peuvent-ils contourner un blocage DNS ?

Oui, et il existe même plusieurs façons de le faire. La première est simple, mais pas forcément pratique: changer de FAI. Pour continuer à télécharger leurs torrents favoris, les fans de The Pirate Bay pourraient ainsi s’abonner à Numéricable ou à French Data Network, qui ne sont pas concernés par la décision de justice.
Une autre solution un peu plus compliquée consiste à changer de résolveur DNS. Cela peut se faire soit au niveau du routeur d’accès, soit au niveau du terminal. Tous les routeurs d’accès ne permettent pas de configurer un serveur DNS. Il faut se reporter à la notice. Sur un terminal, cela dépend du système d’exploitation. Pour Windows 7, par exemple, il faut aller dans « Panneau de configuration -> Réseau et Internet -> Connexion au réseau local -> Propriétés -> Protocole Internet version 4 -> Propriétés ». Puis il faut cocher la case « Utiliser l’adresse de serveur DNS suivante : » et insérer les adresses IP qui vont bien.

© DR
Sur Mac OS X, il faut aller dans « Préférences système -> Réseau -> Avancé -> DNS ». On peut alors renseigner les adresses IP du nouveau résolveur.

© DR
Sur iOS ou Android, on ne peut pas changer de DNS pour une connexion cellulaire : c’est l’opérateur mobile qui décide, un point c’est tout. En mode Wifi, en revanche, c’est possible. Il faut aller dans les menus de paramètres. Pour avoir plus d’informations, voici une note de blog intéressante de Stéphane Bortzmeyer.

D’accord, mais quel résolveur DNS choisir ?

Il existe plusieurs résolveurs DNS qui sont libres d’accès, par exemple Google Public DNS (8.8.8.8 / 8.8.4.4), OpenDNS (208.67.222.222 / 208.67.220.220) ou celui de French Data Network (80.67.169.12).  Mais choisir un nouveau DNS est aussi une question de confiance. Que fera Google des données de connexion qu’il recevra ? Pourront-elles être siphonnées par les autorités américaines, par le biais du Patriot Act ? Mon nouveau DNS n’est-il pas soumis à son tour à une procédure de filtrage ou de blocage ? Ce sont là de vraies questions.
C’est pourquoi certains paranoïaques, qui ne font confiance à personne, optent pour une autre solution : créer son propre résolveur DNS. Dans ce cas, on est dépendant de personne. Mais cette solution est assez technique et dépasse le cadre de cet article. Les plus téméraires pourront commencer par cette autre note de blog de Stéphane Bortzmeyer.
source.:


***************************
ou bien:
Comme je me refuse catégoriquement à conseiller à qui que ce soit d’utiliser les DNS de Google, sachant ce que cette société fait des informations qu’elle recueille sur vous et comment elle piétine allègrement votre vie privée, comme par ailleurs OpenDNS n’est plus indépendant, je vous propose d’utiliser les services d’OpenNIC, qui ne garde aucune trace de votre surf, et est totalement libre de toute influence (pour ne pas dire plus) de quelque gouvernement que ce soit. La seule différence que j’ai pu observer par rapport à l’ICANN, c’est que ces DNS ne résolvent pas les adresses ayant .tk pour extension. Dans la mesure où la quasi totalité des sites qui utilisent cette extension sont peu recommandables, cela ne me semble pas être un point bloquant. Si vous avez cependant besoin de vous rendre sur un site ayant une telle extension, il vous faudra passer par son adresse IP.
Il va sans dire que si vous préférez utiliser d’autres services que ceux d’OpenNIC (ceux de la FDN, par exemple, que je n’ai pas osé vous recommander de peur qu’ils ne tiennent pas l’afflux de charge), c’est à votre convenance. Il vous suffit de remplacer les adresses IP par celles qui auront votre préférence.
Commencez par vous rendre sur cette page : https://www.opennicproject.org/nearest-servers/, et copiez deux des quatre adresses IP qui vous sont proposées (une adresse IP est une série de quatre nombres compris entre 0 et 255).

Si rien ne s’affiche, c’est vraisemblablement un de vos modules complémentaires
qui bloque l’exécution des javascripts, il vous faut le désactiver temporairement.

Si malgré cela, vous n’obtenez toujours aucune adresse IP, choisissez-en deux parmi les quatre ci-dessous, vous ne perdrez au pire que quelques millisecondes, et ce seulement à votre première visite sur un site.

Si vous utilisez Windows :

1) Si vous êtes sous Windows XP, cliquez sur le Menu Démarrer, puis sur le panneau de configuration. Choisissez « Connexions réseau et internet », puis « Connexions réseau ».
2) Si vous êtes sous Windows Vista, cliquez sur le Menu Démarrer, puis sur le panneau de configuration. Choisissez « Réseau et internet », puis « Centre Réseau et partage », puis « Gérer les connexions réseau ».
3) Si vous êtes sous Windows 7, cliquez sur le Menu Démarrer, puis sur le panneau de configuration. Choisissez « Réseau et internet », puis « Centre Réseau et partage », puis « Modifier les paramètres de la carte ».
4) Si vous êtes sous Windows 8, cliquez sur le Bureau. Cliquez avec le bouton droit de votre souris sur l’icône du réseau de la barre des tâches (en bas à droite), puis « Modifier les paramètres de la carte » une fois que le Centre réseau et partage s’est ouvert.

Vous devez avoir en principe au moins deux connexions différentes (une filaire sans doute nommée Ethernet ou Lan, et une WiFi). Choisissez l’une des deux, cliquez dessus avec le bouton droit de votre souris, et sélectionnez « Propriétés » (il me semble que sous Windows 8, il faut cliquer avec le bouton gauche, et choisir le bouton « Propriétés » dans la fenêtre qui s’ouvre).
Une fenêtre s’ouvre. Dans le cadre central, cliquez (simple clic) sur « Protocole internet version 4 (TCP/IPv4) », puis cliquez sur « Propriétés ».
Dans la nouvelle fenêtre qui s’ouvre (onglet « Général »), changez l’option « Obtenir les adresses des serveurs DNS automatiquement » pour sélectionner à la place « Utiliser l’adresse de serveur DNS suivante ».
À l’emplacement « Serveur DNS préféré », saisissez :
178.32.122.65
À l’emplacement « Serveur DNS auxiliaire », saisissez :
37.187.0.40
Validez en cliquant sur « OK ».
Faites exactement la même chose pour votre(vos) autre(s) connexion(s).

Votre navigateur ayant en mémoire toutes les correspondances URL/adresse IP des sites que vous avez visités, et celles-ci ayant été établies par le DNS de votre FAI, il vous faut maintenant les effacer.
Fermez-le, puis ouvrez une invite de commande (cmd.exe), et tapez :
ipconfig /flushdns
Pensez aussi à redémarrer aussi votre client BitTorrent
C’est tout, vous utilisez maintenant OpenNIC.
Si les changements n’ont pas été pris en compte, un redémarrage de Windows résoudra le problème.


Si vous utilisez Mac :

Ouvrez le Menu Pomme et cliquez sur « Préférences système ». Dans la fenêtre qui s’ouvre, choisissez « Réseau ».
Choisissez la première connexion de la liste à gauche, et cliquez sur le bouton « Avancé ».
Cliquez sur l’onglet « DNS », et ajoutez en tête de la liste des serveurs DNS ceux d’OpenNIC (vous pouvez même supprimer les autres si vous ne pensez plus les utiliser) :
178.32.122.65
37.187.0.40
Validez en cliquant sur « OK ».

Votre navigateur ayant en mémoire toutes les correspondances URL/adresse IP des sites que vous avez visités, et celles-ci ayant été établies par le DNS de votre FAI, il vous faut maintenant les effacer. Ouvrez un terminal (vous le trouverez dans applications / utilitaires)
Si vous utilisez OS X Yosemite 10.10.4, tapez :
sudo killall -HUP mDNSResponder
Si vous utilisez OS X Yosemite 10.10 à 10.10.3, tapez :
sudo discoveryutil mdnsflushcache
Si vous utilisez OS X Mavericks, Mountain Lion, ou Lion, tapez :
sudo killall -HUP mDNSResponder
Si vous utilisez Mac OS X 10.6, tapez :
sudo dscacheutil -flushcache
Pensez aussi à redémarrer aussi votre client BitTorrent
C’est tout, vous utilisez maintenant OpenNIC.
Si les changements n’ont pas été pris en compte, un redémarrage du système résoudra le problème.


Si vous utilisez Linux :

1) Si vous utilisez un gestionnaire de bureau, vous devez avoir une icône du réseau dans votre barre des tâches (si vous n’en avez pas et ne désirez pas la mettre, ou si vous n’avez pas installé de barre des tâches, vous pouvez toujours vous rendre dans les paramètres du système — choisissez Netwok Manager — ou passer aux étapes 2 ou 3 ci-dessous).
Cliquez dessus (bouton gauche ou droit selon votre environnement) et choisissez l’option « Propriétés » (qui peut être « Modifier », sous Xfce notamment).
Choisissez votre première connexion et cliquez sur « Modifier » ou « Options » (cela dépend de votre distribution).

Rendez-vous dans les paramètres IPv4.
Si la « Méthode » est « Automatique (DHCP) », changez-la pour « Adresses automatiques uniquement (DHCP) ». Sinon, n’y touchez pas.
178.32.122.65, 37.187.0.40
Validez, et faites la même chose pour vos autres connexions.
Videz maintenant votre cache DNS.
Ouvrez un terminal, et tapez :
sudo /etc/init.d/dns-clean force-reload
Pensez aussi à redémarrer aussi votre client BitTorrent
C’est tout, vous utilisez maintenant OpenNIC. Si les changements n’ont pas été pris en compte, un redémarrage résoudra le problème (redémarrer les connexions réseau devrait suffire).

2) Si vous utilisez une distribution Debian ou dérivée de Debian (comme Ubuntu), le changement via le network manager peut n’être pas suffisant. Dans ce cas, il vous faut éditer vos fichiers de configuration.
Ouvrez un terminal, et tapez :
sudo votre_éditeur_de_texte_préféré /etc/resolv.conf
En fin de fichier, ajoutez les lignes :
nameserver 178.32.122.65
nameserver 37.187.0.40
et allez à la ligne. Enregistrez les modifications et fermez le fichier.
S’il est écrit dans le fichier (ce sera le cas sur les variantes d’Ubuntu) :
« # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN »
il faut alors écrire les lignes en question dans « /etc/resolvconf/resolv.conf.d/base » :
sudo votre_éditeur_de_texte_préféré /etc/resolvconf/resolv.conf.d/base
et dans « /etc/resolvconf/resolv.conf.d/head », pour rendre les changements persistants :
sudo votre_éditeur_de_texte_préféré /etc/resolvconf/resolv.conf.d/head
Il y a le même message dans ce dernier fichier que dans resolv.conf, mais il ne faut pas en tenir compte, ce que vous écrivez ne sera pas écrasé (ce texte est simplement lu pour être recopié dans resolv.conf à chaque réécriture de ce dernier).
Ensuite, il faut faire une mise à jour de resolvconf :
sudo resolvconf -u
Et votre fichier /etc/resolv.conf contient bien les lignes :
nameserver 178.32.122.65
nameserver 37.187.0.40

Videz maintenant votre cache DNS.
Ouvrez un terminal, et tapez :
sudo /etc/init.d/dns-clean force-reload
Pensez aussi à redémarrer aussi votre client BitTorrent
C’est tout, vous utilisez maintenant OpenNIC. Si les changements n’ont pas été pris en compte, un redémarrage résoudra le problème (redémarrer les connexions réseau devrait suffire).

3) Si vous utilisez une distribution ayant un dossier « /etc/sysconfig » (en général celles utilisant des paquets rpm), et que vous préférez éditer vos fichiers de configuration, vous êtes concerné par ce point 3.
Attention, je n’ai pas pu tester cette procédure. Elle fonctionnait autrefois sous OpenSuse, mais je ne garantis pas que les emplacements et les noms n’aient pas changé.
Ouvrez un terminal, et tapez :
sudo votre_éditeur_de_texte_préféré /etc/sysconfig/network/config
Changez la ligne « MODIFY_RESOLV_CONF_STATIC_DNS » pour :
MODIFY_RESOLV_CONF_STATIC_DNS="178.32.122.65 37.187.0.40"
Enregistrez les changements, et, toujours dans le terminal, tapez :
sudo /sbin/rcnetwork restart-all-dhcp-clients
pour redémarrer les connexions réseau. Videz maintenant votre cache DNS.
Ouvrez un terminal, et tapez :
sudo /etc/init.d/dns-clean force-reload
Pensez aussi à redémarrer aussi votre client BitTorrent
C’est tout, vous utilisez maintenant OpenNIC. Si les changements n’ont pas été pris en compte, un redémarrage résoudra le problème (redémarrer les connexions réseau devrait suffire).




Source.:

mardi 26 mai 2015

Alerte : attaque massive sur les routeurs domestiques


Un chercheur en sécurité a découvert une campagne de piratage qui a potentiellement créé des millions de victimes. Parmi les marques ciblées : Asus, Belkin, D-Link, Linksys, Netgear, Trendnet, Zyxel...



L’insécurité chronique des routeurs domestiques se rappelle à notre bon souvenir grâce à Kafeine. Ce chercheur en sécurité vient de mettre la main sur une vaste opération de piratage, avec à la clé plusieurs millions d’appareils potentiellement hackés. Parmi eux des routeurs de marque Asus, Belkin, D-Link, Linksys, Netgear, Trendnet, Zyxel, etc.
Notre spécialiste a découvert le pot-aux-roses par hasard. En se baladant sur le Toile, il est tombé nez à nez avec une page web vérolée qui tente de procéder à une attaque dite de détournement DNS. Comment ça marche ? Une fois la page chargée, un code Javascript malveillant essaye de se connecter en douce à l’interface d’administration du routeur, soit en essayant des identifiants classiques tels que « admin/admin » ou « admin/password », soit en exploitant des failles de sécurité.
Dans certains cas, celles-ci datent de moins trois mois, ce qui devrait assurer un taux de compromission plutôt élevé. En effet, ces appareils ne sont que rarement mis à jour par les utilisateurs. Or, selon Kafeine, le pirate enregistre un volume de visites plutôt élevé, autour de 250.000 clics par jour, parfois jusqu’à 1 millions de clics ! Ce qui laisse présager de l’ampleur du désastre.
Nombre de victimes potentielles.
© Kafeine
Nombre de victimes potentielles.
agrandir la photo
Répartition géographique des victimes potentielles.
Répartition géographique des victimes potentielles.
agrandir la photo
La suite est classique : une fois dans la place, le malware modifie les adresses des serveurs DNS du routeur, qui vont traduire les URL en adresses IP. Ce qui permettra au pirate d’amener l’utilisateur sur de faux sites (bancaires par exemple), sans que celui ne remarque quoi que ce soit. Morale de l’histoire : il faut régulièrement changer le mot de passe d’accès au routeur et toujours veiller à disposer d’un firmware à jour.   
Lire aussi :
Gare à votre modem-routeur, une porte d'entrée de rêve pour les hackers, le 11/12/2014
Source :
Blog de Kafeine

mardi 17 mars 2015

Filtrage DNS




Dernièrement la justice française a décide de bloquer les sites Piratebay et t411 (à l'heure où sont écrites ces lignes, la demande a été faite, la justice n'a pas encore rendu de verdict).
Le site NextImpact en parle : piratebay-bloque-suspendu-t50048.html

D'ici quelques jours, piratebay.se ne devrait donc plus être accessible en France et peut-être aussi t411.me
Le filtrage sera effectué par les FAI (Fournisseurs d'accès Internet) et se fera au niveau des résolutions DNS des adresses concernées.

Cette page explique comment fonctionne ce filtrage.

DISLAIMER : je vous rappelle que le téléchargement d'oeuvre soumis à des droits d'auteurs est interdit et répréhensible par la loi.


Qu'est ce que le filtrage DNS ?

Pour comprendre ce qu'est le filtrage DNS, il faut avoir quelques notions sur le fonctionnement d'un réseau.
Toutes les machines d'un réseaux se voient attribuer une adresse IP (un peu comme une plaque d'immatriculation) qui permet de l'identifier sur le réseau et surtout de la contacter.
Ces adresses sont sous la forme de chiffre par exemple : 192.168.1.1
Vous l'aurez remarqué, ces adresses IPs ne sont pas faciles à retenir.

Dès lors il a été mis en place des adresses litérales plus faciles à retenir :
http://www.google.fr
http://www.malekal.com
ftp.malekal.com
etc

A chaque de ces adresses correspondent une ou plusieurs adresses IPs.
Le travail du service DNS est de faire fonctionner ces correspondances.

Dès lors quand vous tapez http://www.malekal.com - une requête DNS est faite afin de connaître l'adresse IPs qui correspond à cette adresse afin de contacter le serveur malekal.com
Exemple ci-dessous où on demande l'adresse IP correspondant à http://www.google.fr et http://www.malekal.com

Image

Le filtrage DNS consiste donc à empécher de faire correspondre l'adresse littéral à l'adresse IP afin de rendre la connexion vers le serveur impossible.
En général, l'adresse retournée est 0.0.0.0 ou 127.0.0.01 ou un serveur géré par l'administration qui effectue le blocage afin de rediriger les internautes vers un serveur à eux pour afficher une page spécifique.

Notez que ces modifications de DNS peuvent parfois être effectuées par un hébergeur de son propre chef, par exemple, si un serveur est la victime d'une attaque DDoS qui perturbe très fortement le service de l'hébergeur, il peut arriver que l'adresse ciblée soit modifier pour que les ordinateurs zombies qui participent à l'attaque ne le ciblent plus.

Est-il possible de contourner un filtrage DNS ?

Dans le cas d'un filtrage DNS décidé par un pays suite à une décision justice, il est possible de le contourner.
Le filtrage se faisant sur les serveurs DNS des FAI, il suffit d'utiliser des serveurs publiques où le filtrage DNS n'a pas été effectué.
Mais il est tout à fait possible techniquement de bloquer une adresse au niveau mondiale, par exemple, dans le cas d'un malware.

Les deux services publiques et gratuits les plus connus sont : GoogleDNS et OpenDNS.

Il existe deux manières de changer ses DNS :
  • Soit au niveau de la configuration du routeur, ceci devrait s'appliquer à tous les ordinateurs qui utilisent ce routeur. Dans le cas d'une boix en général, ce filtrage n'est pas possible, vous n'avez pas la main.
  • Dans la configuration réseau de chaque ordinateur.

La page suivante explique comment modifier manuellement (second paragraphe) les serveurs DNS de chaque interface réseau : reinitialiser-les-serveurs-noms-dns-t48312.html
Si vous avez du Wifi et filaire, il faut le faire sur la carte Wifi et réseau local.

  • Les adresses DNS des serveurs OpenDNS : 208.67.222.222 et 208.67.220.220
  • Les adresses DNS des serveurs GoogleDNS : 8.8.8.8 et 8.8.4.4

Notez qu'OpenDNS permet grâce à ces DNS d'agir en contrôle parental et bloquer l'accès à sites sites selon la thématique, se reporter à cette page : opendns-controle-parental-t48437.html#p377305
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Source.:

mardi 10 mars 2015

DNSCheck : ismydnshijacked.com, un service qui permet de tester ses serveurs DNS






Face à la recrudescence des Hijacker DNS.
F-Secure propose un service qui permet de tester ses serveurs DNS.

Pour rappel, la hausse des routeurs permet l'Hijack DNS au niveau de tous les ordinateurs du réseau.
Certains Adwares comme CloudScout modifient les DNS afin de polluer les pages WEB de publicités et gagner de l'argent.
Ou encore Win32/Fareit.

Cela peut aussi permettre de rediriger vers de fausses pages WEB afin de voler les identifiants.

Le site de Test DNS : https://www.ismydnshijacked.com/
Cliquez sur le bouton "Start Test" pour lancer l'analyse.

Image

Ici les DNS Orange pour une IP Orange, logique.
Aucun problème.

Image

Ici des DNS chez Softcom pour une IP Orange, pas logique du tout.
D'autant que SoftCom est un hébergeur, ce qui signifie que des serveurs ont été loués afin de mettre en place un faux serveurs DNS.

Image

Dans le cas d'un Hijack sur l'ordinateur, vous pouvez suivre la FAQ : Réinitialiser les serveurs DNS/de noms

Dans le cas d'un piratage du routeur, suivre les conseils de la FAQ : la hausse des routeurs
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas


Source.:

samedi 13 décembre 2014

P2P: Changer de serveur résolveur DNS facilement




Première rédaction de cet article le 8 janvier 2012
Dernière mise à jour le 9 janvier 2012

La sortie, le 30 décembre 2011, du décret n° 2011-2122 relatif aux modalités d'arrêt de l'accès à une activité d'offre de paris ou de jeux d'argent et de hasard en ligne non autorisée, décret qui permet à l'ARJEL de demander le blocage d'un site de paris ou de jeux en ligne, a ramené sur le devant de la scène la question du blocage via le DNS. En effet, le décret dit explicitement « Lorsque l'arrêt de l'accès à une offre de paris ou de jeux d'argent et de hasard en ligne non autorisée a été ordonné, [...] les [FAI] procèdent à cet arrêt en utilisant le protocole de blocage [sic] par nom de domaine (DNS) ». Il existe plusieurs façons de comprendre cette phrase. Si le FAI décide de mettre en œuvre cet arrêt en configurant ses résolveurs DNS pour mentir, un moyen simple de contourner cette censure sera alors pour les utilisateurs de changer de résolveur DNS. Est-ce simple ? Est-ce réaliste ? Des logiciels peuvent-ils aider ?
D'abord, un petit rappel de vocabulaire, car j'ai déjà lu pas mal d'articles sur le sujet, où l'auteur est plein de bonne volonté et veut vraiment aider les autres à contourner la censure, mais où il ne connait pas vraiment le DNS et où il utilise un vocabulaire approximatif, voire complètement faux. Il y a deux sortes de serveurs DNS : la première, ce sont les serveurs faisant autorité, qui sont ceux qui contiennent les données (par exemple, les serveurs de DENIC ont la liste de tous les noms de domaine en .de, des serveurs de la société NS14 font autorité pour le domaine shr-project.org, etc). L'ARJEL ou un autre censeur ne peut pas toujours agir sur eux car ils peuvent être situés en dehors de la juridiction française.
Et il y a les résolveurs DNS. Ils ne connaissent au démarrage aucune donnée et servent uniquement de relais et de caches (stockage temporaire de données). Ils sont typiquement gérés par votre FAI ou bien par le service informatique de votre boîte. Ce sont eux qui sont indiqués à la machine cliente (en général par le protocole DHCP), qui les utilisera à chaque fois qu'elle aura une question (c'est-à-dire pas moins d'une centaine de fois pour la seule page d'accueil de CNN).
Si on veut censurer en France l'accès à un site de jeu en ligne, par le protocole DNS, c'est un bon endroit pour attaquer. Il en existe d'autres, mais que je garde pour d'autres articles. Modifier le comportement du résolveur est facile (les logiciels ont déjà ce qu'il faut pour cela) et certains FAI le faisaient déjà pour des raisons financières.
Mais c'est aussi une technique de censure relativement facile à contourner : l'utilisateur de la machine cliente peut changer la configuration de son système pour utiliser d'autres résolveurs que ceux de son FAI, par exemple ceux de Telecomix, qui promettent de ne pas censurer. C'est cette technique qui est discutée dans cet article.
Si vous lisez les forums un peu au hasard, vous trouverez souvent des allusions à cette méthode, de la part de geeks vantards qui affirment bien haut « rien à foutre de leur censure à la con, je change mon DNS car je suis un top-eXpeRz et je surfe sans filtrage ». La réalité est plus complexe. Prenons l'exemple d'une machine Ubuntu (il y a peu près les mêmes problèmes sur Windows ou Mac OS X). La liste des résolveurs DNS utilisés figure dans le fichier /etc/resolv.conf. Suffit-il d'éditer ce fichier, comme on le lit souvent (et bien à tort) ?
  • Déjà, il faut rappeler au frimeur de forum que la grande majorité des utilisateurs de l'Internet n'ont même pas idée qu'ils peuvent choisir (et je ne parle pas seulement du résolveur DNS, mais aussi du navigateur, du système d'exploitation, etc). Si on veut que la solution soit accessible à tout le monde, pas seulement à quelques geeks auto-proclamés, elle doit être simple.
  • Même sur Ubuntu, tout le monde ne sait pas éditer un fichier système (surtout qu'il faut être root).
  • Le frimeur à grande gueule qui écrit sur forum.blaireaux.com/index.php découvrira vite, s'il essayait ce qu'il prêche, qu'éditer resolv.conf n'est pas la bonne méthode, car le client DHCP effacera ses modifications à la prochaine connexion. Il faut modifier la configuration dudit client DHCP (cela varie énormément selon le système et le logiciel installé ; sur ma Debian, en ce moment, c'est /etc/resolvconf/resolv.conf.d/head).
  • Sur certains systèmes d'exploitation, changer un réglage aussi banal est très difficile. Par exemple, sur Android (merci à Aissen pour les informations), les serveurs DNS utilisés sur le réseau mobile ne sont pas modifiables et, sur le Wi-Fi, on ne peut les changer que si on coupe DHCP. Comme la publicité fait tout son possible pour migrer les utilisateurs vers les accès Internet sur téléphone mobile, bien plus contrôlés et moins libres, l'avenir est inquiétant.
  • Une fois qu'on sait quel fichier éditer et comment, reste la question, que mettre dans ce fichier ? Il existe plusieurs résolveurs publics situés en dehors du pouvoir de l'ARJEL, et le plus souvent cité est OpenDNS. Intéressant paradoxe : pour échapper à la censure et garder sa liberté de citoyen, on utilise un résolveur menteur, qui pratique lui-même la censure (et parfois se trompe). Utiliser OpenDNS, c'est se jeter dans le lac pour éviter d'être mouillé par la pluie. Sans compter leurs autres pratiques, comme l'exploitation des données personnelles (le résolveur DNS utilisé sait tout de vous... chaque page Web visitée lui envoie au moins une requête...). À noter qu'on peut avoir aussi un résolveur local à sa machine, ce point est traité un peu plus loin.
À noter que tous les cas ne peuvent pas être couverts dans un article. Par exemple, on peut aussi envisager de changer les réglages DNS sur la box si elle sert de relais DNS pour le réseau local vers les « vrais » résolveurs.
Pour résoudre tous ces problèmes, on peut écrire des documentations (exemples à la fin de cet article). Mais la plupart des utilisateurs auront du mal à les suivre et je pense donc que la bonne solution est la disponibiité d'un logiciel qui automatise tout cela. Quel serait le cahier des charges d'un tel logiciel ?
  • Tourne sur les systèmes utilisés par M. Toutlemonde (Windows, Android, Ubuntu, etc).
  • Indépendant de l'application (le DNS ne sert pas que pour le Web) et marche donc avec tous les services (c'est pourquoi je n'ai pas discuté dans cet article des extensions Firefox comme MAFIAAFire ou DeSOPA - ce dernier ayant en outre un mode de fonctionnement très bizarre).
  • Simple à utiliser.
  • Vient avec une liste pré-définie de bons résolveurs. Je préférerais que cette liste n'inclue pas les résolveurs menteurs comme ceux d'OpenDNS. En tout cas, il est impératif qu'on puisse ajouter les résolveurs de son choix.
  • M. Toutlemonde va certainement avoir des problèmes pour décider s'il doit se servir de « Telecomix » ou « Comodo » ou « Level-3 » pour ne citer que quelque uns des résolveurs publics les plus fameux. Il faudrait donc que le logiciel teste ces résolveurs automatiquement, pour leurs performances, bien sûr (la plupart des articles trouvés sur le Web sur le thème « comment choisir son résolveur DNS ? » ne prennent en compte que leur vitesse, pas leur sincérité, contrairement à cet article) mais aussi pour leur obéissance à la censure. Le logiciel devrait venir avec une liste de domaines peut-être censurés (wikileaks.org, etc) et tester les réponses des résolveurs candidats. Ce n'est pas facile à faire car il faut aussi connaître les bonnes réponses, et elles peuvent changer. Peut-être le logiciel devrait-il interroger des résolveurs de confiance pour avoir cette information ? Le fait de tester pourrait même permettre de choisir automatiquement un résolveur, ce qui serait certainement meilleur pour M. Toutlemonde.
  • Autre cas vicieux (merci à Mathieu Goessens), celui des résolveurs DNS qui, en violation des bonnes pratiques, contiennent des données spécifiques qu'on ne trouve pas dans le DNS public. C'est le cas de pas mal de portails captifs de hotspots, par exemple. dnssec-trigger gère ce problème en ayant un mode spécial, manuellement activé, « Hotspot sign-on ». Mais il y a pire : certains FAI (notamment Orange) utilisent des données non publiques pour certains services réservés aux clients (VoIP, serveur SMTP de soumission, etc) donc une solution qui gère la connexion initiale ne suffit pas. La seule solution dans ce cas est d'avoir un mécanisme d'aiguillage qui envoie les requêtes pour certains domaines à certains résolveurs.
Un tel logiciel est vulnérable à un blocage du port 53. Si cette mesure se répand, il faudra aussi que le logiciel teste s'il peut atteindre des résolveurs publics et des serveurs faisant autorité, ou bien s'il faut passer à d'autres méthodes comme de tunneler le DNS sur TLS, port 443, comme le permet déjà Unbound, dans sa version de développement. D'autres attaques suivront alors (par exemple des FAI qui annonceront les adresses 8.8.8.8 et 8.8.4.4 sur leur propre réseau, pour se faire passer pour Google Public DNS, profitant du fait que ce service n'est pas authentifié).
Compte-tenu de ce cahier des charges, quels sont les logiciels qui conviennent aujourd'hui ? Il n'en existe aparemment qu'un seul, DNS Jumper (je ne suis pas sûr d'avoir mis un lien vers le site officiel, ce logiciel n'a pas de références bien précises et, son source n'étant pas distribué, on peut être inquiet de ce qu'il fait). DNS Jumper tourne sur Windows, assure les quatre premières fonctions de mon cahier des charges mais pas l'avant-dernière : il ne vérifie pas que le résolveur est digne de confiance. Il est décrit, par exemple, dans « Easily Switch Between 16 DNS Servers with DNS Jumper » (l'article est un peu ancien, le logiciel s'est perfectionné depuis), ou, en français, dans « DNS Jumper - Changez rapidement de serveurs DNS ».
Les autres logiciels restent à écrire (un truc comme DNS Helper ne compte pas, puisqu'il ne permet de changer... que pour les DNS de Google). Mais que les censeurs ne se réjouissent pas, les logiciels vont vite sortir, écrire un tel programme n'est pas un exploit technique, et la demande est forte, avec le décret ARJEL déja cité pour la France, SOPA pour les États-Unis, etc.
Sur le problème général de changer manuellement ses résolveurs DNS, un bon article est « How to Change DNS Server » de Remah (Windows seulement). Pour Mac OS, un bon article est « Disabling DNS servers from DHCP ».
Quelques petits détails techniques pour finir : on peut parfaitement installer un serveur DNS résolveur sur sa propre machine (enfin, sur un ordinateur portable, pas sur un smartphone). La résolution DNS sera alors entièrement sous le contrôle d'un logiciel qu'on gère, fournissant ainsi le maximum de sécurité. Le processus n'est pas très compliqué sur Unix, ni même sur Windows (merci à Gils Gayraud et Mathieu Bouchonnet pour leur aide sur Windows). On peut le rendre encore plus simple avec des logiciels astucieux comme dnssec-trigger, qui ne teste pas la censure (son but est tout autre) mais pourrait servir de point de départ à un paquetage simple d'installation, vraiment utilisable par M. Toutlemonde (ce n'est pas encore le cas). Par contre, un tel résolveur local a des conséquences négatives sur l'infrastructure du DNS : comme il n'y a plus de cache partagé (avec le résolveur/cache du FAI, une requête pour www.bortzmeyer.org reste en mémoire et bénéficie à tous les clients du FAI), les serveurs faisant autorité verront leur charge s'accroître.
Pour éviter cet inconvénient, une des solutions serait pour le résolveur local de faire suivre les requêtes aux résolveurs du FAI (de tels résolveurs sont nommés forwarders). Mais cela implique de détecter lorsque le résolveur du FAI ment, pour le court-circuiter dans ce cas. DNSSEC fournit une piste intéressante pour cela mais, début 2012, les résolveurs ayant cette fonction forwarder (BIND et Unbound) n'ont pas de tel service de détection et de contournement.
Pire encore, on peut combiner le résolveur local (ou le remplacer) avec des fichiers statiques locaux (/etc/hosts sur Unix, C:\WINDOWS\system32\drivers\etc\hosts sur Windows) mais la maintenance de tels fichiers serait un cauchemar.
Cela ne veut pas dire que cela n'arrivera pas : dans ce maelstrom d'attaques et de contre-attaques, les solutions les plus mauvaises seront certainement déployées par certains acteurs et le futur est sombre pour le système de résolution de noms.
Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)
Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)

P2P: Les résolveurs DNS qui sont libres d’accès

The Pirate Bay, T411 : contourner un blocage DNS, c'est trop facile !


Ce n’est pas parce qu’un site est banni par la justice que celui-ci devient réellement inaccessible. Il existe des moyens techniques simples pour contourner ce blocage.


Le 4 décembre dernier, le TGI de Paris a ordonné aux opérateurs Orange, Bouygues, Free et SFR d’empêcher leurs internautes d’accéder au site thepiratebay.se ainsi qu’à certains de ses sites miroirs. Cette décision faisait suite à une plainte de la Société civile des producteurs photographiques (SCPP), qui voit d’un mauvais œil le partage de contenu musical protégé par le droit d’auteur. Mais comment ce blocage sera-t-il mis en œuvre concrètement ? Et peut-on le contourner ? En un mot : oui, et c'est d'ailleurs tellement simple que ce genre de censure n'a que très peu d'intérêt. Voici quelques éléments pour y voir plus clair.

Comment les FAI bloquent-ils les sites jugés illégaux ?

Lorsqu’une décision de justice ordonne le blocage d’un site, le choix technique est généralement laissé aux FAI. D’après l’Association de fournisseurs d’accès (AFA), c’est exclusivement le blocage DNS qui est utilisé, pour des raisons pratiques et de coûts. Le DNS, c’est l’annuaire du web. Ce système permet de transposer une URL (www.01net.com par exemple)  en adresse IP (173.31.6.199 par exemple), utilisable par les routeurs pour acheminer les données du Net.
Lorsqu’un internaute veut accéder à un site web, son navigateur va généralement récupérer la bonne adresse IP au travers du résolveur DNS de son FAI. Un résolveur DNS est un logiciel qui se charge de répondre à une requête DNS, soit directement (parce qu’il connait déjà l’URL), soit indirectement (en interrogeant le registre concerné, tel que .COM, .FR ou .SE). C’est au niveau de ce résolveur que le FAI va mettre en œuvre le blocage ordonné par la justice. Lorsque son client voudra accéder à un site bloqué, ce logiciel ne lui fournira pas l’adresse IP recherchée, mais l’aiguillera sur un message de type « Attention, ce site a été bloqué ou n’existe pas ».

Une fois mis en œuvre, un blocage DNS est-il effectif partout ?

Non. Tout d’abord, un blocage de site ordonné par la justice française n’est valable qu’en France. A l’étranger, le site visé pourra donc être accessible. Par ailleurs, tous les FAI français ne sont pas forcément concernés par une décision de blocage. Dans le cas de The Pirate Bay, seuls quatre opérateurs ont été sommés de mettre en œuvre le blocage : Orange, Bouygues, Free, et SFR. Si vous êtes client de Numéricable ou d’un FAI associatif, vous n’êtes pas concerné.
Enfin, le blocage n’est effectif que sur les sites qui sont nommés par la décision de justice. Pour contourner cette mesure, il suffit donc que quelqu’un crée un site miroir. C’est d’ailleurs ce que vient de faire le Parti Pirate français pour The Pirate Bay. Pour bloquer ce nouveau site, il faudra lancer une nouvelle procédure judiciaire.

Les internautes peuvent-ils contourner un blocage DNS ?

Oui, et il existe même plusieurs façons de le faire. La première est simple, mais pas forcément pratique: changer de FAI. Pour continuer à télécharger leurs torrents favoris, les fans de The Pirate Bay pourraient ainsi s’abonner à Numéricable ou à French Data Network, qui ne sont pas concernés par la décision de justice.
Une autre solution un peu plus compliquée consiste à changer de résolveur DNS. Cela peut se faire soit au niveau du routeur d’accès, soit au niveau du terminal. Tous les routeurs d’accès ne permettent pas de configurer un serveur DNS. Il faut se reporter à la notice. Sur un terminal, cela dépend du système d’exploitation. Pour Windows 7, par exemple, il faut aller dans « Panneau de configuration -> Réseau et Internet -> Connexion au réseau local -> Propriétés -> Protocole Internet version 4 -> Propriétés ». Puis il faut cocher la case « Utiliser l’adresse de serveur DNS suivante : » et insérer les adresses IP qui vont bien.
Sur Mac OS X, il faut aller dans « Préférences système -> Réseau -> Avancé -> DNS ». On peut alors renseigner les adresses IP du nouveau résolveur.
agrandir la photo
Sur iOS ou Android, on ne peut pas changer de DNS pour une connexion cellulaire : c’est l’opérateur mobile qui décide, un point c’est tout. En mode Wifi, en revanche, c’est possible. Il faut aller dans les menus de paramètres. Pour avoir plus d’informations, voici une note de blog intéressante de Stéphane Bortzmeyer.

D’accord, mais quel résolveur DNS choisir ?

Il existe plusieurs résolveurs DNS qui sont libres d’accès, par exemple Google Public DNS (8.8.8.8 / 8.8.4.4), OpenDNS (208.67.222.222 / 208.67.220.220) ou celui de French Data Network (80.67.169.12).  Mais choisir un nouveau DNS est aussi une question de confiance. Que fera Google des données de connexion qu’il recevra ? Pourront-elles être siphonnées par les autorités américaines, par le biais du Patriot Act ? Mon nouveau DNS n’est-il pas soumis à son tour à une procédure de filtrage ou de blocage ? Ce sont là de vraies questions.
C’est pourquoi certains paranoïaques, qui ne font confiance à personne, optent pour une autre solution : créer son propre résolveur DNS. Dans ce cas, on est dépendant de personne. Mais cette solution est assez technique et dépasse le cadre de cet article. Les plus téméraires pourront commencer par cette autre note de blog de Stéphane Bortzmeyer.
Lire aussi:
Les majors de la musique veulent bloquer le site de Torrents t411, le 08/12/2014



Changer de serveur résolveur DNS facilement

Première rédaction de cet article le 8 janvier 2012
Dernière mise à jour le 9 janvier 2012

La sortie, le 30 décembre 2011, du décret n° 2011-2122 relatif aux modalités d'arrêt de l'accès à une activité d'offre de paris ou de jeux d'argent et de hasard en ligne non autorisée, décret qui permet à l'ARJEL de demander le blocage d'un site de paris ou de jeux en ligne, a ramené sur le devant de la scène la question du blocage via le DNS. En effet, le décret dit explicitement « Lorsque l'arrêt de l'accès à une offre de paris ou de jeux d'argent et de hasard en ligne non autorisée a été ordonné, [...] les [FAI] procèdent à cet arrêt en utilisant le protocole de blocage [sic] par nom de domaine (DNS) ». Il existe plusieurs façons de comprendre cette phrase. Si le FAI décide de mettre en œuvre cet arrêt en configurant ses résolveurs DNS pour mentir, un moyen simple de contourner cette censure sera alors pour les utilisateurs de changer de résolveur DNS. Est-ce simple ? Est-ce réaliste ? Des logiciels peuvent-ils aider ?
D'abord, un petit rappel de vocabulaire, car j'ai déjà lu pas mal d'articles sur le sujet, où l'auteur est plein de bonne volonté et veut vraiment aider les autres à contourner la censure, mais où il ne connait pas vraiment le DNS et où il utilise un vocabulaire approximatif, voire complètement faux. Il y a deux sortes de serveurs DNS : la première, ce sont les serveurs faisant autorité, qui sont ceux qui contiennent les données (par exemple, les serveurs de DENIC ont la liste de tous les noms de domaine en .de, des serveurs de la société NS14 font autorité pour le domaine shr-project.org, etc). L'ARJEL ou un autre censeur ne peut pas toujours agir sur eux car ils peuvent être situés en dehors de la juridiction française.
Et il y a les résolveurs DNS. Ils ne connaissent au démarrage aucune donnée et servent uniquement de relais et de caches (stockage temporaire de données). Ils sont typiquement gérés par votre FAI ou bien par le service informatique de votre boîte. Ce sont eux qui sont indiqués à la machine cliente (en général par le protocole DHCP), qui les utilisera à chaque fois qu'elle aura une question (c'est-à-dire pas moins d'une centaine de fois pour la seule page d'accueil de CNN).
Si on veut censurer en France l'accès à un site de jeu en ligne, par le protocole DNS, c'est un bon endroit pour attaquer. Il en existe d'autres, mais que je garde pour d'autres articles. Modifier le comportement du résolveur est facile (les logiciels ont déjà ce qu'il faut pour cela) et certains FAI le faisaient déjà pour des raisons financières.
Mais c'est aussi une technique de censure relativement facile à contourner : l'utilisateur de la machine cliente peut changer la configuration de son système pour utiliser d'autres résolveurs que ceux de son FAI, par exemple ceux de Telecomix, qui promettent de ne pas censurer. C'est cette technique qui est discutée dans cet article.
Si vous lisez les forums un peu au hasard, vous trouverez souvent des allusions à cette méthode, de la part de geeks vantards qui affirment bien haut « rien à foutre de leur censure à la con, je change mon DNS car je suis un top-eXpeRz et je surfe sans filtrage ». La réalité est plus complexe. Prenons l'exemple d'une machine Ubuntu (il y a peu près les mêmes problèmes sur Windows ou Mac OS X). La liste des résolveurs DNS utilisés figure dans le fichier /etc/resolv.conf. Suffit-il d'éditer ce fichier, comme on le lit souvent (et bien à tort) ?
  • Déjà, il faut rappeler au frimeur de forum que la grande majorité des utilisateurs de l'Internet n'ont même pas idée qu'ils peuvent choisir (et je ne parle pas seulement du résolveur DNS, mais aussi du navigateur, du système d'exploitation, etc). Si on veut que la solution soit accessible à tout le monde, pas seulement à quelques geeks auto-proclamés, elle doit être simple.
  • Même sur Ubuntu, tout le monde ne sait pas éditer un fichier système (surtout qu'il faut être root).
  • Le frimeur à grande gueule qui écrit sur forum.blaireaux.com/index.php découvrira vite, s'il essayait ce qu'il prêche, qu'éditer resolv.conf n'est pas la bonne méthode, car le client DHCP effacera ses modifications à la prochaine connexion. Il faut modifier la configuration dudit client DHCP (cela varie énormément selon le système et le logiciel installé ; sur ma Debian, en ce moment, c'est /etc/resolvconf/resolv.conf.d/head).
  • Sur certains systèmes d'exploitation, changer un réglage aussi banal est très difficile. Par exemple, sur Android (merci à Aissen pour les informations), les serveurs DNS utilisés sur le réseau mobile ne sont pas modifiables et, sur le Wi-Fi, on ne peut les changer que si on coupe DHCP. Comme la publicité fait tout son possible pour migrer les utilisateurs vers les accès Internet sur téléphone mobile, bien plus contrôlés et moins libres, l'avenir est inquiétant.
  • Une fois qu'on sait quel fichier éditer et comment, reste la question, que mettre dans ce fichier ? Il existe plusieurs résolveurs publics situés en dehors du pouvoir de l'ARJEL, et le plus souvent cité est OpenDNS. Intéressant paradoxe : pour échapper à la censure et garder sa liberté de citoyen, on utilise un résolveur menteur, qui pratique lui-même la censure (et parfois se trompe). Utiliser OpenDNS, c'est se jeter dans le lac pour éviter d'être mouillé par la pluie. Sans compter leurs autres pratiques, comme l'exploitation des données personnelles (le résolveur DNS utilisé sait tout de vous... chaque page Web visitée lui envoie au moins une requête...). À noter qu'on peut avoir aussi un résolveur local à sa machine, ce point est traité un peu plus loin.
À noter que tous les cas ne peuvent pas être couverts dans un article. Par exemple, on peut aussi envisager de changer les réglages DNS sur la box si elle sert de relais DNS pour le réseau local vers les « vrais » résolveurs.
Pour résoudre tous ces problèmes, on peut écrire des documentations (exemples à la fin de cet article). Mais la plupart des utilisateurs auront du mal à les suivre et je pense donc que la bonne solution est la disponibiité d'un logiciel qui automatise tout cela. Quel serait le cahier des charges d'un tel logiciel ?
  • Tourne sur les systèmes utilisés par M. Toutlemonde (Windows, Android, Ubuntu, etc).
  • Indépendant de l'application (le DNS ne sert pas que pour le Web) et marche donc avec tous les services (c'est pourquoi je n'ai pas discuté dans cet article des extensions Firefox comme MAFIAAFire ou DeSOPA - ce dernier ayant en outre un mode de fonctionnement très bizarre).
  • Simple à utiliser.
  • Vient avec une liste pré-définie de bons résolveurs. Je préférerais que cette liste n'inclue pas les résolveurs menteurs comme ceux d'OpenDNS. En tout cas, il est impératif qu'on puisse ajouter les résolveurs de son choix.
  • M. Toutlemonde va certainement avoir des problèmes pour décider s'il doit se servir de « Telecomix » ou « Comodo » ou « Level-3 » pour ne citer que quelque uns des résolveurs publics les plus fameux. Il faudrait donc que le logiciel teste ces résolveurs automatiquement, pour leurs performances, bien sûr (la plupart des articles trouvés sur le Web sur le thème « comment choisir son résolveur DNS ? » ne prennent en compte que leur vitesse, pas leur sincérité, contrairement à cet article) mais aussi pour leur obéissance à la censure. Le logiciel devrait venir avec une liste de domaines peut-être censurés (wikileaks.org, etc) et tester les réponses des résolveurs candidats. Ce n'est pas facile à faire car il faut aussi connaître les bonnes réponses, et elles peuvent changer. Peut-être le logiciel devrait-il interroger des résolveurs de confiance pour avoir cette information ? Le fait de tester pourrait même permettre de choisir automatiquement un résolveur, ce qui serait certainement meilleur pour M. Toutlemonde.
  • Autre cas vicieux (merci à Mathieu Goessens), celui des résolveurs DNS qui, en violation des bonnes pratiques, contiennent des données spécifiques qu'on ne trouve pas dans le DNS public. C'est le cas de pas mal de portails captifs de hotspots, par exemple. dnssec-trigger gère ce problème en ayant un mode spécial, manuellement activé, « Hotspot sign-on ». Mais il y a pire : certains FAI (notamment Orange) utilisent des données non publiques pour certains services réservés aux clients (VoIP, serveur SMTP de soumission, etc) donc une solution qui gère la connexion initiale ne suffit pas. La seule solution dans ce cas est d'avoir un mécanisme d'aiguillage qui envoie les requêtes pour certains domaines à certains résolveurs.
Un tel logiciel est vulnérable à un blocage du port 53. Si cette mesure se répand, il faudra aussi que le logiciel teste s'il peut atteindre des résolveurs publics et des serveurs faisant autorité, ou bien s'il faut passer à d'autres méthodes comme de tunneler le DNS sur TLS, port 443, comme le permet déjà Unbound, dans sa version de développement. D'autres attaques suivront alors (par exemple des FAI qui annonceront les adresses 8.8.8.8 et 8.8.4.4 sur leur propre réseau, pour se faire passer pour Google Public DNS, profitant du fait que ce service n'est pas authentifié).
Compte-tenu de ce cahier des charges, quels sont les logiciels qui conviennent aujourd'hui ? Il n'en existe aparemment qu'un seul, DNS Jumper (je ne suis pas sûr d'avoir mis un lien vers le site officiel, ce logiciel n'a pas de références bien précises et, son source n'étant pas distribué, on peut être inquiet de ce qu'il fait). DNS Jumper tourne sur Windows, assure les quatre premières fonctions de mon cahier des charges mais pas l'avant-dernière : il ne vérifie pas que le résolveur est digne de confiance. Il est décrit, par exemple, dans « Easily Switch Between 16 DNS Servers with DNS Jumper » (l'article est un peu ancien, le logiciel s'est perfectionné depuis), ou, en français, dans « DNS Jumper - Changez rapidement de serveurs DNS ».
Les autres logiciels restent à écrire (un truc comme DNS Helper ne compte pas, puisqu'il ne permet de changer... que pour les DNS de Google). Mais que les censeurs ne se réjouissent pas, les logiciels vont vite sortir, écrire un tel programme n'est pas un exploit technique, et la demande est forte, avec le décret ARJEL déja cité pour la France, SOPA pour les États-Unis, etc.
Sur le problème général de changer manuellement ses résolveurs DNS, un bon article est « How to Change DNS Server » de Remah (Windows seulement). Pour Mac OS, un bon article est « Disabling DNS servers from DHCP ».
Quelques petits détails techniques pour finir : on peut parfaitement installer un serveur DNS résolveur sur sa propre machine (enfin, sur un ordinateur portable, pas sur un smartphone). La résolution DNS sera alors entièrement sous le contrôle d'un logiciel qu'on gère, fournissant ainsi le maximum de sécurité. Le processus n'est pas très compliqué sur Unix, ni même sur Windows (merci à Gils Gayraud et Mathieu Bouchonnet pour leur aide sur Windows). On peut le rendre encore plus simple avec des logiciels astucieux comme dnssec-trigger, qui ne teste pas la censure (son but est tout autre) mais pourrait servir de point de départ à un paquetage simple d'installation, vraiment utilisable par M. Toutlemonde (ce n'est pas encore le cas). Par contre, un tel résolveur local a des conséquences négatives sur l'infrastructure du DNS : comme il n'y a plus de cache partagé (avec le résolveur/cache du FAI, une requête pour www.bortzmeyer.org reste en mémoire et bénéficie à tous les clients du FAI), les serveurs faisant autorité verront leur charge s'accroître.
Pour éviter cet inconvénient, une des solutions serait pour le résolveur local de faire suivre les requêtes aux résolveurs du FAI (de tels résolveurs sont nommés forwarders). Mais cela implique de détecter lorsque le résolveur du FAI ment, pour le court-circuiter dans ce cas. DNSSEC fournit une piste intéressante pour cela mais, début 2012, les résolveurs ayant cette fonction forwarder (BIND et Unbound) n'ont pas de tel service de détection et de contournement.
Pire encore, on peut combiner le résolveur local (ou le remplacer) avec des fichiers statiques locaux (/etc/hosts sur Unix, C:\WINDOWS\system32\drivers\etc\hosts sur Windows) mais la maintenance de tels fichiers serait un cauchemar.
Cela ne veut pas dire que cela n'arrivera pas : dans ce maelstrom d'attaques et de contre-attaques, les solutions les plus mauvaises seront certainement déployées par certains acteurs et le futur est sombre pour le système de résolution de noms.
Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)
Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)
Source.: