Afin d’échapper aux autorités et au blocage administratif
frappant les sites de téléchargement illégaux, Kickass Torrents a
rejoint le maquis Tor avec une adresse en .onion.
C’est
presque devenu une ritournelle pour les sites de torrent, à l’instar de
The Pirate Bay (uj3wazyk5u4hnvtk.onion), Kickass Torrents a pris la
poudre d’escampette et se cache désormais dans les multiples couches du
réseau Tor.
Sa nouvelle adresse est donc : lsuzvpko6w6hzpnn.onion. L’accès à
cette adresse se fait uniquement par le biais du navigateur Tor, qui
permet de surfer anonymement sur la toile en faisant passer les
connexions par une série de serveurs intermédiaires. Le FAI ne connait
pas les sites visités par son abonné et le site visité ne sait pas d’où
vient l’utilisateur.
Grâce à cette adresse en .onion, le site peut masquer son adresse IP. Toutefois, des adresses « classiques » sont toujours disponibles sur le web, mais se retrouvent à la merci des tentatives de blocage (par DNS notamment).
Après une authentification à deux facteurs et un chat remanié,
Kickass Torrents a choisi de préserver un peu plus la confidentialité de
ses utilisateurs.
Donc, vous êtes au collège ou dans une entreprise où vous travaillez derrière un serveur proxy. L'entreprise
et les collèges ont placé de nombreuses restrictions sur de nombreux
sites et vous ne pouvez pas télécharger des fichiers torrent. Je traversais le même problème quand je suis entré dans mon collège. Dans ma première année, je me suis servi des sites suivants. Je
l'habitude de télécharger presque toutes mes affaires à travers des
flots, tout simplement parce qu'ils sont faciles à trouver et rapide à
télécharger. Maintenant, j'utilise Tor mais parfois je fais encore l'utilisation de ces sites. Donc, je voudrais partager avec vous quelques-unes des méthodes pour télécharger des torrents en ligne. 1. Boxopus Qu'est-ce que Boxopus?Boxopus est un service qui permet de télécharger vos torrents sans aucun logiciel et le stocke dans le nuage. Aussi, Boxopus est un beau monstre que vous voyez dans le logo. Comment fonctionne Boxopus?Simple. Vous pointez Boxopus ce torrent que vous voulez télécharger. Après Boxopus télécharge les fichiers il vous avertira par e-mail et vous pouvez l'obtenir à partir d'ici. Combien coûte le service? Le compte de base est absolument gratuit. Vous pouvez télécharger un fichier torrent jusqu'à 512 Mo en taille avec débit illimité avec un compte gratuit. En outre, vous pouvez obtenir beaucoup plus avec PRO compte (plus de
trafic, plus de fonctionnalités, plus l'anonymat, une vitesse plus
élevée).2. ByteBX ByteBX
est un service de stockage en nuage qui vous permet de stocker des
fichiers de l'ordinateur et de télécharger des fichiers torrent dans son
serveur également. Vous pouvez télécharger le torrent notamment après qu'il est téléchargé dans son serveur. Il dispose d'un compte gratuit qui vous permet de stocker des fichiers torrent jusqu'à 2,5 Go. Mais la vitesse de téléchargement est livré avec une limitation de 200Ko / s. 3. BT Cloud BTCloud est un stockage en nuage intégré avec le réseau BitTorrent mondial. Il est livré avec un compte gratuit qui vous permet de télécharger 1
Go de fichiers torrent et la vitesse de téléchargement est illimité.
ZbigZ
utilisé pour fournir vitesse de téléchargement illimitée deux années en
arrière, mais il a changé ses limitations de vitesse à 150 Ko / s. Le
principal avantage de ce site par rapport aux autres est que vous ne
devez pas vous inscrire à télécharger si vous voulez télécharger
gratuitement. Deux ans en arrière il y avait un hack qui vous permet de télécharger torrent en utilisant son compte premium. Je ne sais pas si cela fonctionne maintenant, et vous pouvez rechercher en ligne. Je voudrais écrire un article sur elle si quelqu'un demander. Donc laisser un commentaire ci-dessous. Conclusion - Mon préféré a toujours été Boxopus, simplement parce qu'il offre illimitée la vitesse de téléchargement. Bien qu'il y ait une restriction de taille, mais je principalement utilisé pour le téléchargement de torrent faible taille. Je ne dois pas quitter mon navigateur pour télécharger tout torrent. Il suffit d'ajouter un lien magnétique et attendre le torrent pour télécharger. Surfer sur Internet jusqu'à ce qu'il soit téléchargé. Téléchargez-le et profiter. Simple.
Tempora est le nom d'un programme de surveillance électronique du GCHQ, qui permet à l'agence britannique d'intercepter les données transitant par les câbles en fibre optique entre l'Europe et les États-Unis.
À la suite des révélations d’Edward Snowden publiées par le Guardian et à la mise en évidence pour l’opinion publique du programme Tempora, les parlementaires britanniques demandent des comptes au gouvernement. Le Government Communications Headquarters (GCHQ) assure respecter scrupuleusement la loi, un porte-parole déclarant : « Nous
ne faisons pas de commentaires sur les questions touchant au
renseignement. Nos agences de renseignement continuent à agir en
respectant un strict cadre légal »240.
* Au Canada: Levitation est un projet de surveillance de masse par lequel le gouvernement canadien collecte des données de communication dans divers pays à travers l'Europe, l'Amérique du Nord et l'Afrique du Nord1.Levitation est le nom de code du projet entamé depuis la mi-2012 par le Centre de la sécurité des télécommunications Canada (CSTC), l'équivalent canadien du National Security Agency (NSA) américain.Les analystes du CSTC utilisent un programme informatique appelé Atomic Banjo2 pour recueillir entre 10 et 15 millions de téléchargements (downloads) et téléversements (uploads) par jour sur les sites de téléchargement gratuit.
Un document confidentiel a été révélé au public concernant le projet Levitation le 26 janvier 2015 par Edward Snowden.Parmi les 375 millions de données enregistrées mensuellement, le CSTC trouve environ 350 téléchargements suspects,
ce qui est moins de 0.0001% des données collectées. Le Canada partage
les informations recueillies avec d'autres pays alliés, dont l'Espagne, le Brésil, l'Allemagne et le Portugal. Le CSTC n'a fourni aucune preuve de l'efficacité du projet dans l'arrêt ou la prévention d'actes terroristes.
Tamir Israël, avocat sur la politique Internet à l'Université d'Ottawa, explique que le projet Levitation utilise un algorithme
pour suivre et identifier un individu qui a téléchargé ou consulté des
documents suspects ou reliés à des activités à allure terroriste. Le
programme surveille d'abord un fichier ou document à allure suspecte et
lorsqu'un ordinateur accède à ce fichier le programme note l'adresse IP de l'appareil et entame une recherche plus avancée. L'adresse IP de l'appareil donne l'identité du fournisseur d'accès à Internet
qui alimente cette adresse. Le CSTC contacte ce fournisseur pour
connaître l'identité de la personne qui utilise l'adresse IP. Par la
suite, le CSTC amasse des informations sur cette personne. Le
gouvernement utilise aussi le programme Mutant Broth, une banque de données administrée par les espions électroniques britanniques du Government Communications Headquarters
(GCHQ). En entrant l'adresse IP dans la banque de données, il est
possible de voir les activités en ligne de l'appareil 5 heures avant
l'accès au fichier et 5 heures après 11.Les données privées, ainsi que toutes les activités en ligne de
l'individu sont alors emmagasinées dans une banque de données pour des
analyses plus poussées. Ces informations peuvent être échangées avec
d'autres agences de surveillance gouvernementales ou privées.
Le , Edward Snowden affirme au Guardian
que les autorités et les services secrets britanniques espionneraient
les liaisons téléphoniques et informatiques transitant par des câbles sous-marins de télécommunications utilisant la fibre optique1,2,3 qui relient les États-Unis à l'Europe.
Baptisé Tempora, ce projet testé en 2008 serait en place depuis la fin 20111. Selon Edward Snowden, Tempora a deux principaux composants appelés « Mastering the Internet(en) » (MTI) et « Global Telecoms Exploitation(en) »
(GTE), visant à collecter le plus grand volume possible de données
issues du trafic internet et des télécommunications sur ces câbles4. Plus de deux cents câbles sous-marins de télécommunications seraient concernés, ce qui pourrait représenter jusqu'à 21 pétaoctets de données par jour.
Les données interceptées seraient ainsi conservées dans une zone
tampon durant trente jours, ce qui permettrait au GCHQ d'y « puiser »
les données (courriels, messages Facebook, historiques de recherches d'internautes, etc.)1.
Certains résultats de ces écoutes seraient transmis à l'Agence nationale de la sécurité américaine, la NSA5.
En ,
300 analystes du GCHQ et 250 analystes de la NSA avaient été assignés
pour trier les données collectées par le programme Tempora.
Berlin, correspondant. Les Allemands qui n'avaient
déjà pas apprécié Prism, le programme d'espionnage mis en place par
l'administration américaine, se méfient également beaucoup de "Tempora",
son équivalent britannique et le font savoir.
Vendredi 21 juin, le Guardian avait révélé, sur la foi de
documents encore une fois dévoilés par l'Américain Edward Snowden, dont
la présence à Moscou a été confirmée lundi par le président russe
Vladimir Poutine, que les services de renseignements britanniques
avaient accès aux câbles transatlantiques à fibres optiques par lesquels
transitent les communications téléphoniques et Internet. Grâce à des
accords secrets passés avec les entreprises qui exploitent ces câbles,
les services secrets de Sa Majesté partagent les données avec leurs
homologues américains.
Selon le journal, cette opération baptisée "Tempora", qui aurait
commencé il y a dix-huit mois, permet aux services britanniques de
stocker les données durant trente jours. Alors que la presse allemande
multiplie les articles sur le sujet, le gouvernement d'Angela Merkel
s'est à son tour fait entendre.
Le , la société Apple nie avoir eu connaissance du programme « DROPOUT JEEP » qui donne à la NSA accès aux contenus présents sur les iPhones (messages vocaux, listes de contact, textos, fichiers, historique de géolocalisation) ainsi qu’à leur matériel (microphone et appareil photo)197.
Le , quatre anciens responsables et collaborateurs de la NSA (William Binney, Thomas Drake, Edward Loomis et J. Kirk Wiebe), en collaboration avec d’autres vétérans des services de renseignement américains (Veteran Intelligence Professionals for Sanity(en)) comme Daniel Ellsberg, adressent au président Barack Obama une note publique détaillée, expliquant comment — de leur point de vue — les dirigeants de la NSA ont « bâclé la collecte et l’analyse des renseignements avant les attaques du 11 septembre 2001,
couvert leurs propres erreurs, et violé les droits constitutionnels du
peuple américain, tout en gaspillant des milliards de dollars et en
trompant le public »198,199,200.
En , un artiste américain, Jim Dessicino, réalise une statue à l’effigie d’Edward Snowden204 de 2,7 mètres205. Elle est exposée pendant quelques heures le vendredi dans le parc d’Union Square à Manhattan, en face d’une statue d’Abraham Lincoln, avant que des policiers ne demandent à son créateur de la déménager en l’absence d’autorisation205.
Daniel Ellsberg, responsable de la fuite des Pentagon Papers dans les années 1970 pendant la guerre du Viêt Nam, déclare qu’Edward Snowden a eu raison de fuir pour éviter son emprisonnement aux États-Unis : « Bon
nombre de gens nous comparent, Edward Snowden et moi, et lui reprochent
d'avoir quitté le pays et de chercher asile à l'étranger plutôt que de
se présenter devant un tribunal comme je l'ai fait. Je pense qu'ils ont
tort. Mon histoire remonte à une autre époque, et les États-Unis
n'étaient pas ce qu'ils sont aujourd'hui »249.
Autres lanceurs d'alerte concernant les programmes de surveillance de la NSA :
La plupart des internautes qui téléchargent des films, séries télé,
musique sur des sites Internet de piratage savent bien que ce n'est pas
une pratique légale, mais peu de gens savent à quoi ils s'exposent en
contournant les lois sur les droits d'auteur.
Depuis le 1 janvier 2015, une règlementation liée à ce type
d'activité est entrée en vigueur au Canada, il s'agit du «régime d'avis
et avis».
Le régime d'avis et avis stipule que suite à une plainte des
détenteurs des droits d'un contenu, les fournisseurs de service Internet
et les moteurs de recherches ont l'obligation d'envoyer un avis de
violation aux abonnés fautifs.
L'envoi d'un avis de violation des droits d'auteur
C'est en se basant sur l'adresse IP de l'internaute fourni par le
détenteur de droits que l'avis est acheminé par le fournisseur. Ce
dernier n'a pas le droit de fournir des informations personnelles et
aucune amende ou poursuite ne peut figurer dans cet avis, il s'agit
seulement d'un avertissement visant à dissuader l'internaute.
Par contre, la situation pourrait se compliquer si le détenteur de
droits obtient une ordonnance du tribunal l'autorisant à entamer des
poursuites.
Dans ce cas, le fournisseur de service n'est nullement tenu responsable puisqu'il vous a averti par l'envoi d'un avis.
Il faut savoir que ces avis doivent obligatoirement contenir certains
éléments et les sanctions auxquelles les internautes fautifs peuvent
être exposés en cas de poursuite judiciaire sont beaucoup moins
importantes qu'aux États-Unis.
Voici ce que les Canadiens qui reçoivent un avis de violation de
droits de la part de leur fournisseur de service Internet doivent
savoir:
Le détenteur des droits ne connait pas l'identité de l'internaute, seulement son adresse IP.
Le détenteur des droits doit obtenir une ordonnance du tribunal pour
entamer des poursuites et ne peut exiger le paiement d'une amende sans
celle-ci.
Au Canada, la peine maximale pour les particuliers est de 5000$ et
20 000$ pour une infraction de nature commerciale (comparativement à 150
000$ aux États-Unis).
Des frais d'administration pourraient être exigés par votre
fournisseur de service Internet pour l'envoi de l'avis, mais cette
disposition de la loi n'a pas encore ratifiée.
Le compte de l'abonné n'est pas susceptible d'être supprimé.
L'avis doit inclure le titre de l'œuvre protégée par le droit
d'auteur (film, émission, chanson), l'adresse IP utilisée pour le
téléchargement illégal ainsi que la date et l'heure où la violation
présumée a eu lieu.
La violation touche uniquement le téléchargement de contenu, et non la diffusion en continu (streaming).
De plus, les conditions actuelles du régime d'avis et avis ne
concernent pas les connexions VPN ou RVP (Réseau Privé Virtuel), ces
services permettant aux internautes de cacher leur adresse IP réelle
afin de pouvoir accéder à des contenus réservés à certaines zones
géographiques.
Par contre, rien ne prouve que les RVP ne seront pas éventuellement soumis à la même règlementation. Chronique sur le service RVP Hola
Attention aux faux avis!
Depuis l'entrée en vigueur de cette loi, des compagnies américaines
font parvenir des avis aux fournisseurs de services canadiens destinés à
leurs abonnés; des avis qui ne respectent pas les dispositions de la
loi canadienne.
Ceux-ci ne respectent pas les critères mentionnés plus haut: on y
indique une somme à payer s'élevant à 150 000$ et on mentionne aussi que
les services Internet seront coupés si la situation n'est pas résolue.
Exemple d'avis frauduleux:
Subject: Unauthorized Use of Copyrights RE: Date: Fri, 2 Jan 2015 00:00:00 -0600 (CST) From: DMCA@DigitalRightsCorp.com To: abuse@isp.com
**NOTE TO ISP: PLEASE FORWARD THE ENTIRE NOTICE***
Re: Unauthorized Use of Copyrights Owned Exclusively by BMG Rights Management (US) LLC
Reference#:
Dear Sir or Madam:
Your ISP has forwarded you this notice. Your ISP account has been
used to download, upload or offer for upload copyrighted content in a
manner that infringes on the rights of the copyright owner. Your ISP service could be suspended if this matter is not resolved. You could be liable for up to $150,000 per infringement in civil penalties.
The file BMG Artist - BMG Song.mp3 was infringed upon by a computer at IP Address 192.-.-.- on 2015-01-02 00:00:00.0 GMT.
We represent the copyright owner. This notice is an offer of settlement. If
you follow the link below and login to the Rightscorp, Inc. automated
settlement system, for $20 per infringement, you will receive a legal
release from the copyright owner.
Follow this link or copy and paste into your browser: https://secure.digitalrightscorp.com/settle/
Rightscorp, Inc. represents the following ‘copyright owner(s)' BMG
Rights Management (US) LLC (‘BMG'). BMG is the exclusive owners of
copyrights for BMG Artist musical compositions, including the musical
compositions listed below. It has come to our attention that ISP
Internet Services Provider is the service provider for the IP address
listed below, from which unauthorized copying and distribution
(downloading, uploading, file serving, file ‘swapping' or other similar
activities) of BMG's exclusive copyrights listed below is taking place.
This unauthorized copying and/or distribution constitutes copyright
infringement under the U.S. Copyright Act. Pursuant to 17 U.S.C. 512(c),
this letter serves as actual notice of infringement. We hereby demand
you immediately and permanently cease and desist the unauthorized
copying and/or distribution (including, but not limited to downloading,
uploading, file sharing, file ‘swapping' or other similar activities) of
recordings of BMG Artist compositions, including but not limited to
those items listed in this correspondence.
BMG will pursue every available remedy including injunctions and
recovery of attorney's fees, costs and any and all other damages which
are incurred by BMG as a result of any action that is commenced against
you. Nothing contained or omitted from this letter is, or shall be
deemed to be either a full statement of the facts or applicable law, an
admission of any fact, or a waiver or limitation of any of BMG's rights
or remedies, all of which are specifically retained and reserved. The
information in this notification is accurate.
We have a good faith belief that use of the material in the manner
complained of herein is not authorized by the copyright owner, its
agent, or by operation of law. I swear, under penalty of perjury, that I
am authorized to act on behalf of the owner of the exclusive rights
that have been infringed. While BMG is entitled to monetary damages from
the infringing party under 17 U.S.C. Section 504, The BMG believes that
it may be expeditious to settle this matter without the need of costly
and time-consuming litigation.
In order to help you avoid further legal action from BMG, we have
been authorized to offer a settlement solution that we believe is
reasonable for everyone. To access this settlement offer, please copy
and paste the URL below into a browser and follow the instructions for
the settlement offer:
https://secure.digitalrightscorp.com/settle/
Very truly yours,
Christopher Sabec CEO Rightscorp, Inc. 3100 Donald Douglas Loop, North, Santa Monica, CA 90405 Telephone: (310) 751-7510
** For any correspondence regarding this case, please send your emails to DMCA@DigitalRightsCorp.com and refer to Notice ID:
If you need immediate assistance or if you have general questions please call the number listed above.
Infringement Source: Torrent Timestamp: 2015-01-02 00:00:00.0 GMT Infringers IP Address: 192.-.-.-- Infringers Port: 12345 Listing of infringement(s) (Title/Filename/Timestamp/Hash): BMG Artist BMG Song | BMG Artist - BMG Song.mp3 | 2015-01-02 00:00:00.0 | SHA1 |
Les internautes qui reçoivent ces avis se croient dans le pétrin,
mais en réalité, le message est une fausse accusation qui ne respecte
pas la loi canadienne stipulant que le tribunal doit autoriser la
poursuite avant toute demande de sanction.
D'ailleurs, il est recommandé d'ignorer ces avis en n'y répondant pas
et de ne pas tenter de régler l'affaire à l'amiable avec la compagnie
américaine derrière l'avis.
Il s'agit d'un stratagème pour obtenir les informations personnelles
des internautes ayant téléchargé illégalement des contenus et de leur
soutirer de l'argent frauduleusement.
En conclusion
Un avis de violation des droits d'auteur suite à un téléchargement illégal n'est donc qu'un avertissement.
Celui-ci est envoyé par le fournisseur de service Internet à la
demande du détenteur des droits qui n'a en sa possession que l'adresse
IP de la personne fautive.
Pour obtenir les informations de cette dernière ou exiger le paiement
d'une amende, le détenteur de droits doit absolument obtenir une
ordonnance du tribunal.
Si vous recevez un avis en bonne et due forme, il est évidemment
préférable de le prendre au sérieux et de mettre fin aux téléchargements
illégaux. Si une ordonnance du tribunal venait à être obtenue, vous
seriez alors passible d'une poursuite avec une sanction pouvant s'élever
à 5000$.
Un avis qui est donc tout de même à prendre au sérieux, mais dont les
conséquences sont beaucoup moins lourdes que chez nos voisins!
Après une mise à jour du client uTorrent, des utilisateurs se sont rendu compte que celui-ci avait installé sur leur machine Windows
et à leur insu, un malware. Ce malware baptisé EpicScale tourne en
tâche de fond sur l'ordinateur pour miner des cryptomonnaies (Bitcoin, LiteCoin, DogeCoin...etc). Et vous vous en doutez, ça fait ramer l'ordi !!
Cette
installation forcée n'a pas eu lieu sur l'intégralité des 150 millions
de clients uTorrent présents dans le monde mais ça vaut quand même le
coup de vérifier, surtout que pour pas mal d'antivirus, cet outil est
légitime (et donc non détecté).
Malheureusement, en plus de
l'installation en mode fourbe, la désinstallation de cette merde n'est
pas propre. Alors si vous êtes vous aussi infecté, voici comment faire.
Rendez-vous tout d'abord dans les paramètres, Ajout/Suppression de programme et désinstallez le machin baptisé "EpicScale Application"
Ensuite,
ouvrez un explorateur de fichier en ayant pris soin d'activer
l'affichage des fichiers cachés, et rendez-vous dans le répertoire C:\ProgramData\. Supprimez le sous-dossier EpicScale.
Faites une vérif aussi dans les dossiers C:\Program Files et C:\Program Files (x86) et supprimez les répertoires EpicScale si vous en trouvez.
Lancez ensuite l'éditeur de base de Registre (Exécuter -> Regedit). Rendez-vous ensuite dans la clé de registre "HKEY_CURRENT_USER\Software" et supprimez "EpicScale".
Même chose ici : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (et supprimez la clé EpicScale si elle s'y trouve).
Voilà, en toute logique, vous devriez êtes débarrassé de ce truc. Source
Maelstrom est un navigateur issu du projet du même nom initié par
Bittorrent, celui-ci se base sur deux éléments bien connus. Sa
particularité, c’est l’utilisation du protocole Peer-to-peer pour
l’affichage des pages web, protocole qui est la spécialité de la firme.
Après BitTorrent, le client de synchronisation Sync et la messagerie
Bleep, l’équipe s’attaque aux navigateurs.
Jusqu’ici
uniquement en version Alpha, Maestrom s’ouvre au public avec une
version bêta prometteuse. Ce projet qui a été dévoilé en décembre
dernier est unique en son genre, ce navigateur permet des échanges chiffrés et décentralisés par le biais du P2P. « Offrir une alternative plus efficace, plus évolutive et plus rentable que le HTTP », voilà l’objectif de BitTorrent avec son navigateur maison.
Dans le fond, on retrouve un navigateur au fonctionnement et au design complètement déjà vu puisque celui-ci se base sur Chromium, tout comme Google Chrome
(on espère que le FBI ne traque pas ces usagers,car Chrome ou Google est une propriété de l'État impérialiste) qui lui ressemble comme deux gouttes d’eau. Certes il n’y a pas de
changement radical, mais cela permet aussi d’avoir une certaine
stabilité, de plus, l’accès au Chrome Web Store est disponible pour le
téléchargement des extensions, c’est très pratique.
Ce
n’est pas parce qu’un site est banni par la justice que celui-ci
devient réellement inaccessible. Il existe des moyens techniques simples
pour contourner ce blocage.
Le 4 décembre dernier, le TGI de Paris a ordonné aux
opérateurs Orange, Bouygues, Free et SFR d’empêcher leurs internautes
d’accéder au site thepiratebay.se ainsi qu’à certains de ses sites
miroirs. Cette décision faisait suite à une plainte de la Société civile
des producteurs photographiques (SCPP), qui voit d’un mauvais œil le
partage de contenu musical protégé par le droit d’auteur. Mais comment
ce blocage sera-t-il mis en œuvre concrètement ? Et peut-on le
contourner ? En un mot : oui, et c'est d'ailleurs tellement simple que
ce genre de censure n'a que très peu d'intérêt. Voici quelques éléments
pour y voir plus clair.
Comment les FAI bloquent-ils les sites jugés illégaux ?
Lorsqu’une
décision de justice ordonne le blocage d’un site, le choix technique
est généralement laissé aux FAI. D’après l’Association de fournisseurs
d’accès (AFA), c’est exclusivement le blocage DNS qui est utilisé, pour
des raisons pratiques et de coûts. Le DNS, c’est l’annuaire du web. Ce
système permet de transposer une URL (www.01net.com par exemple) en adresse IP (173.31.6.199 par exemple), utilisable par les routeurs pour acheminer les données du Net.
Lorsqu’un internaute veut accéder à un site web, son navigateur va
généralement récupérer la bonne adresse IP au travers du résolveur DNS
de son FAI. Un résolveur DNS est un logiciel qui se charge de répondre à
une requête DNS, soit directement (parce qu’il connait déjà l’URL),
soit indirectement (en interrogeant le registre concerné, tel que .COM,
.FR ou .SE). C’est au niveau de ce résolveur que le FAI va mettre en
œuvre le blocage ordonné par la justice. Lorsque son client voudra
accéder à un site bloqué, ce logiciel ne lui fournira pas l’adresse IP
recherchée, mais l’aiguillera sur un message de type « Attention, ce
site a été bloqué ou n’existe pas ».
Une fois mis en œuvre, un blocage DNS est-il effectif partout ?
Non.
Tout d’abord, un blocage de site ordonné par la justice française n’est
valable qu’en France. A l’étranger, le site visé pourra donc être
accessible. Par ailleurs, tous les FAI français ne sont pas forcément
concernés par une décision de blocage. Dans le cas de The Pirate Bay,
seuls quatre opérateurs ont été sommés de mettre en œuvre le blocage :
Orange, Bouygues, Free, et SFR. Si vous êtes client de Numéricable ou
d’un FAI associatif, vous n’êtes pas concerné.
Enfin, le blocage n’est effectif que sur les sites qui sont nommés
par la décision de justice. Pour contourner cette mesure, il suffit donc
que quelqu’un crée un site miroir. C’est d’ailleurs ce que vient de
faire le Parti Pirate français pour The Pirate Bay. Pour bloquer ce nouveau site, il faudra lancer une nouvelle procédure judiciaire.
Les internautes peuvent-ils contourner un blocage DNS ?
Oui,
et il existe même plusieurs façons de le faire. La première est
simple, mais pas forcément pratique: changer de FAI. Pour continuer à
télécharger leurs torrents favoris, les fans de The Pirate Bay
pourraient ainsi s’abonner à Numéricable ou à French Data Network, qui
ne sont pas concernés par la décision de justice.
Une autre solution un peu plus compliquée consiste à changer de
résolveur DNS. Cela peut se faire soit au niveau du routeur d’accès,
soit au niveau du terminal. Tous les routeurs d’accès ne permettent pas
de configurer un serveur DNS. Il faut se reporter à la notice. Sur un
terminal, cela dépend du système d’exploitation. Pour Windows 7, par
exemple, il faut aller dans « Panneau de configuration -> Réseau
et Internet -> Connexion au réseau local -> Propriétés ->
Protocole Internet version 4 -> Propriétés ». Puis il faut cocher la case « Utiliser l’adresse de serveur DNS suivante : » et insérer les adresses IP qui vont bien.
Sur Mac OS X, il faut aller dans « Préférences système -> Réseau -> Avancé -> DNS ». On peut alors renseigner les adresses IP du nouveau résolveur.
Sur iOS ou Android, on ne peut pas changer de DNS pour une
connexion cellulaire : c’est l’opérateur mobile qui décide, un point
c’est tout. En mode Wifi, en revanche, c’est possible. Il faut aller
dans les menus de paramètres. Pour avoir plus d’informations, voici une
note de blog intéressante de Stéphane Bortzmeyer.
D’accord, mais quel résolveur DNS choisir ?
Il existe plusieurs résolveurs DNS qui sont libres d’accès, par exemple Google Public DNS
(8.8.8.8 / 8.8.4.4), OpenDNS (208.67.222.222 / 208.67.220.220) ou celui
de French Data Network (80.67.169.12). Mais choisir un nouveau DNS est
aussi une question de confiance. Que fera Google des données de
connexion qu’il recevra ? Pourront-elles être siphonnées par les
autorités américaines, par le biais du Patriot Act ? Mon nouveau DNS
n’est-il pas soumis à son tour à une procédure de filtrage ou de
blocage ? Ce sont là de vraies questions.
C’est pourquoi certains paranoïaques, qui ne font confiance à
personne, optent pour une autre solution : créer son propre résolveur
DNS. Dans ce cas, on est dépendant de personne. Mais cette solution est
assez technique et dépasse le cadre de cet article. Les plus téméraires
pourront commencer par cette autre note de blog de Stéphane Bortzmeyer. source.:
***************************
ou bien:
Comme je me refuse catégoriquement à conseiller à qui que ce soit
d’utiliser les DNS de Google, sachant ce que cette société fait des
informations qu’elle recueille sur vous et comment elle piétine
allègrement votre vie privée, comme par ailleurs OpenDNS n’est plus
indépendant, je vous propose d’utiliser les services d’OpenNIC, qui ne
garde aucune trace de votre surf, et est totalement libre de toute
influence (pour ne pas dire plus) de quelque gouvernement que ce soit.
La seule différence que j’ai pu observer par rapport à l’ICANN, c’est que ces DNS ne résolvent pas les adresses ayant .tk
pour extension. Dans la mesure où la quasi totalité des sites qui
utilisent cette extension sont peu recommandables, cela ne me semble pas
être un point bloquant. Si vous avez cependant besoin de vous rendre
sur un site ayant une telle extension, il vous faudra passer par son
adresse IP.
Il va sans dire que si vous préférez utiliser d’autres services
que ceux d’OpenNIC (ceux de la FDN, par exemple, que je n’ai pas osé
vous recommander de peur qu’ils ne tiennent pas l’afflux de charge),
c’est à votre convenance. Il vous suffit de remplacer les adresses IP
par celles qui auront votre préférence.
Commencez par vous rendre sur cette page : https://www.opennicproject.org/nearest-servers/,
et copiez deux des quatre adresses IP qui vous sont proposées (une
adresse IP est une série de quatre nombres compris entre 0 et 255).
Si rien ne s’affiche, c’est vraisemblablement un de vos modules complémentaires
qui bloque l’exécution des javascripts, il vous faut le désactiver temporairement.
Si malgré cela, vous n’obtenez toujours aucune adresse IP,
choisissez-en deux parmi les quatre ci-dessous, vous ne perdrez au pire
que quelques millisecondes, et ce seulement à votre première visite sur
un site.
Si vous utilisez Windows :
1) Si vous êtes sous Windows XP, cliquez sur le Menu
Démarrer, puis sur le panneau de configuration. Choisissez « Connexions
réseau et internet », puis « Connexions réseau ».
2) Si vous êtes sous Windows Vista, cliquez sur le Menu
Démarrer, puis sur le panneau de configuration. Choisissez « Réseau et
internet », puis « Centre Réseau et partage », puis « Gérer les
connexions réseau ».
3) Si vous êtes sous Windows 7, cliquez sur le Menu
Démarrer, puis sur le panneau de configuration. Choisissez « Réseau et
internet », puis « Centre Réseau et partage », puis « Modifier les
paramètres de la carte ».
4) Si vous êtes sous Windows 8, cliquez sur le Bureau.
Cliquez avec le bouton droit de votre souris sur l’icône du réseau de la
barre des tâches (en bas à droite), puis « Modifier les paramètres de
la carte » une fois que le Centre réseau et partage s’est ouvert.
Vous devez avoir en principe au moins deux connexions différentes
(une filaire sans doute nommée Ethernet ou Lan, et une WiFi). Choisissez
l’une des deux, cliquez dessus avec le bouton droit de votre souris, et
sélectionnez « Propriétés » (il me semble que sous Windows 8, il faut
cliquer avec le bouton gauche, et choisir le bouton « Propriétés » dans
la fenêtre qui s’ouvre).
Une fenêtre s’ouvre. Dans le cadre central, cliquez (simple clic)
sur « Protocole internet version 4 (TCP/IPv4) », puis cliquez sur
« Propriétés ».
Dans la nouvelle fenêtre qui s’ouvre (onglet « Général »), changez
l’option « Obtenir les adresses des serveurs DNS automatiquement » pour
sélectionner à la place « Utiliser l’adresse de serveur DNS suivante ».
À l’emplacement « Serveur DNS préféré », saisissez :
178.32.122.65
À l’emplacement « Serveur DNS auxiliaire », saisissez :
37.187.0.40
Validez en cliquant sur « OK ».
Faites exactement la même chose pour votre(vos) autre(s) connexion(s).
Votre navigateur ayant en mémoire toutes les correspondances
URL/adresse IP des sites que vous avez visités, et celles-ci ayant été
établies par le DNS de votre FAI, il vous faut maintenant les effacer.
Fermez-le, puis ouvrez une invite de commande (cmd.exe), et tapez :
ipconfig /flushdns
Pensez aussi à redémarrer aussi votre client BitTorrent
C’est tout, vous utilisez maintenant OpenNIC.
Si les changements n’ont pas été pris en compte, un redémarrage de Windows résoudra le problème.
Si vous utilisez Mac :
Ouvrez le Menu Pomme et cliquez sur « Préférences système ». Dans la fenêtre qui s’ouvre, choisissez « Réseau ».
Choisissez la première connexion de la liste à gauche, et cliquez sur le bouton « Avancé ».
Cliquez sur l’onglet « DNS », et ajoutez en tête de la liste des
serveurs DNS ceux d’OpenNIC (vous pouvez même supprimer les autres si
vous ne pensez plus les utiliser) :
178.32.122.65
37.187.0.40
Validez en cliquant sur « OK ».
Votre navigateur ayant en mémoire toutes les correspondances
URL/adresse IP des sites que vous avez visités, et celles-ci ayant été
établies par le DNS de votre FAI, il vous faut maintenant les effacer.
Ouvrez un terminal (vous le trouverez dans applications / utilitaires)
Si vous utilisez OS X Yosemite 10.10.4, tapez :
sudo killall -HUP mDNSResponder
Si vous utilisez OS X Yosemite 10.10 à 10.10.3, tapez :
sudo discoveryutil mdnsflushcache
Si vous utilisez OS X Mavericks, Mountain Lion, ou Lion, tapez :
sudo killall -HUP mDNSResponder
Si vous utilisez Mac OS X 10.6, tapez :
sudo dscacheutil -flushcache
Pensez aussi à redémarrer aussi votre client BitTorrent
C’est tout, vous utilisez maintenant OpenNIC.
Si les changements n’ont pas été pris en compte, un redémarrage du système résoudra le problème.
Si vous utilisez Linux :
1) Si vous utilisez un gestionnaire de bureau, vous devez avoir
une icône du réseau dans votre barre des tâches (si vous n’en avez pas
et ne désirez pas la mettre, ou si vous n’avez pas installé de barre des
tâches, vous pouvez toujours vous rendre dans les paramètres du système
— choisissez Netwok Manager — ou passer aux étapes 2 ou 3 ci-dessous).
Cliquez dessus (bouton gauche ou droit selon votre environnement) et
choisissez l’option « Propriétés » (qui peut être « Modifier », sous
Xfce notamment).
Choisissez votre première connexion et cliquez sur « Modifier » ou « Options » (cela dépend de votre distribution).
Rendez-vous dans les paramètres IPv4.
Si la « Méthode » est « Automatique (DHCP) », changez-la pour
« Adresses automatiques uniquement (DHCP) ». Sinon, n’y touchez pas.
178.32.122.65, 37.187.0.40
Validez, et faites la même chose pour vos autres connexions.
Videz maintenant votre cache DNS.
Ouvrez un terminal, et tapez :
sudo /etc/init.d/dns-clean force-reload
Pensez aussi à redémarrer aussi votre client BitTorrent
C’est tout, vous utilisez maintenant OpenNIC. Si les changements
n’ont pas été pris en compte, un redémarrage résoudra le problème
(redémarrer les connexions réseau devrait suffire).
2) Si vous utilisez une distribution Debian ou dérivée de Debian
(comme Ubuntu), le changement via le network manager peut n’être pas
suffisant. Dans ce cas, il vous faut éditer vos fichiers de
configuration.
et allez à la ligne.
Enregistrez les modifications et fermez le fichier.
S’il est écrit dans le fichier (ce sera le cas sur les variantes d’Ubuntu) :
« # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN »
il faut alors écrire les lignes en question dans « /etc/resolvconf/resolv.conf.d/base » :
Il y a le même message dans ce dernier fichier que dans
resolv.conf, mais il ne faut pas en tenir compte, ce que vous écrivez ne
sera pas écrasé (ce texte est simplement lu pour être recopié dans
resolv.conf à chaque réécriture de ce dernier).
Ensuite, il faut faire une mise à jour de resolvconf :
sudo resolvconf -u
Et votre fichier /etc/resolv.conf contient bien les lignes : nameserver 178.32.122.65
nameserver 37.187.0.40
Videz maintenant votre cache DNS.
Ouvrez un terminal, et tapez :
sudo /etc/init.d/dns-clean force-reload
Pensez aussi à redémarrer aussi votre client BitTorrent
C’est tout, vous utilisez maintenant OpenNIC. Si les changements
n’ont pas été pris en compte, un redémarrage résoudra le problème
(redémarrer les connexions réseau devrait suffire).
3) Si vous utilisez une distribution ayant un dossier
« /etc/sysconfig » (en général celles utilisant des paquets rpm), et que
vous préférez éditer vos fichiers de configuration, vous êtes concerné
par ce point 3. Attention, je n’ai pas pu tester cette
procédure. Elle fonctionnait autrefois sous OpenSuse, mais je ne
garantis pas que les emplacements et les noms n’aient pas changé.
Enregistrez les changements, et, toujours dans le terminal, tapez :
sudo /sbin/rcnetwork restart-all-dhcp-clients
pour redémarrer les connexions réseau.
Videz maintenant votre cache DNS.
Ouvrez un terminal, et tapez :
sudo /etc/init.d/dns-clean force-reload
Pensez aussi à redémarrer aussi votre client BitTorrent
C’est tout, vous utilisez maintenant OpenNIC. Si les changements
n’ont pas été pris en compte, un redémarrage résoudra le problème
(redémarrer les connexions réseau devrait suffire).
Pour
installer son application sur les iPhone non jailbreakés, Popcorn Time a
mis au point un logiciel capable d’installer n’importe quelle
application sans passer par l’App Store d'iOS. L’objectif : mettre un
terme au verrou d’Apple.
Mise à jour de 19h55
Comme ils l'avaient annoncé, les
développeurs de Popcorn Time ont lancé ce mercredi une appli permettant
de voir illégalement tous les films et séries sur un appareil tournant
sous iOS et sans jailbreak. L'appli est en anglais et pèse 33 Mo.
Bien évidemment, en téléchargeant cette application, vous risquez d'éventuelles poursuites. La Hadopi veille.
Première publication à 11h53
Popcorn Time, le Netflix pirate, veut ébranler l’écosystème fermé d’Apple
En l’espace d’un peu plus d’un an,
Popcorn Time est devenu un incontournable de la consommation illégale de
films et séries. Au point que Reed Hastings, le patron de Netflix,
estime qu’il faudrait un service unique et mondial pour concurrencer
une telle offre. C’est cette application qui, après avoir fait ses
premiers pas sur Android et appareils iOS jailbreakés,
va débarquer sur les iPhone et iPad non jailbreakés. Comment ? Apple
aurait-il perdu la raison et autorisé une telle application sur son App
Store ? Bien entendu que non.
Un installeur magique
Pour
fêter son premier anniversaire, avec un léger retard, Popcorn-Time.se
va donc lancer un installeur spécifique qui ne passe ni par l’App Store,
ni par un jeu de profil. Pour réussir ce petit tour de force, les
développeurs de Popcorn Time ont trouvé une solution simple afin de ne
pas rebuter les utilisateurs et de rester fidèles à la facilité
d’utilisation de leur outil.
Captures d'écran de l'installation de Popcorn Time.
Le propriétaire d’un
iPhone ou d’un iPad devra tout d’abord télécharger l’installeur iOS
depuis la page dédiée du site depuis son ordinateur. Il devra ensuite
connecter son iDevice à sa machine et n’aura plus qu’à suivre les étapes
décrites dans l’installeur. Ici encore, rien de compliqué, il suffit de
faire confiance à son ordinateur depuis son iPad ou iPhone, puis de
passer ce dernier en mode Avion quand l’installeur le demande et enfin
de patienter jusqu’à ce que l’installation soit terminée.
Une fois installée, l’application
permettra évidemment de regarder des films et vidéos. Elle sera
également capable de diffuser ces contenus vers un Chromecast ou une
Apple TV, comme la version disponible pour les ordinateurs.
Un installeur pour dynamiter un modèle
Si
l’objectif premier des développeurs de Popcorn Time est bien entendu
d’apporter leur application au plus grand nombre, l’enjeu est bien plus
grand à long terme. Avec cet installeur pour iOS et la méthode
développée pour y arriver, les développeurs entendent mettre à bas
l’écosystème fermé du système d’exploitation mobile d’Apple, qui impose
de passer sous les fourches caudines de l’App Store.
Les développeurs de Popcorn Time ont mis en place un site dédié à leur installeur pour "libérer" iOS.
Il est donc possible
et probable que de nombreuses applications non approuvées par Apple
trouvent leur chemin sur les appareils sous iOS non jailbreakés dans les
mois à venir, avec toutes les questions de sécurité que cela pose
évidemment. Apple devrait d’ailleurs très certainement tout tenter pour
empêcher le bon fonctionnement de cet installeur qui crée de fait une
brèche dans son pré carré.
Nos confrères de TorrentFreak
ont, en tout cas, eu l’occasion de tester l’installeur et affirme qu’il
fonctionne parfaitement. Seul bémol pour l’instant, il ne fonctionne que
sur Windows, mais une version pour Mac OS X devrait être mise à
disposition dans les prochains mois. Pas besoin d’être devin pour savoir
qu’on ne la verra pas apparaître sur le Mac App Store, mais sur nos
Mac, l'utilisateur est encore libre d'installer ce qu'il veut ! Source.:
Dernièrement la justice française a décide de
bloquer les sites Piratebay et t411 (à l'heure où sont écrites ces
lignes, la demande a été faite, la justice n'a pas encore rendu de
verdict). Le site NextImpact en parle : piratebay-bloque-suspendu-t50048.html
D'ici quelques jours, piratebay.se ne devrait donc plus être accessible en France et peut-être aussi t411.me Le
filtrage sera effectué par les FAI (Fournisseurs d'accès Internet) et
se fera au niveau des résolutions DNS des adresses concernées.
Cette page explique comment fonctionne ce filtrage.
DISLAIMER : je vous rappelle que le téléchargement d'oeuvre soumis à des droits d'auteurs est interdit et répréhensible par la loi.
Qu'est ce que le filtrage DNS ?
Pour comprendre ce qu'est le filtrage DNS, il faut avoir quelques notions sur le fonctionnement d'un réseau. Toutes
les machines d'un réseaux se voient attribuer une adresse IP (un peu
comme une plaque d'immatriculation) qui permet de l'identifier sur le
réseau et surtout de la contacter. Ces adresses sont sous la forme de chiffre par exemple : 192.168.1.1 Vous l'aurez remarqué, ces adresses IPs ne sont pas faciles à retenir.
A chaque de ces adresses correspondent une ou plusieurs adresses IPs. Le travail du service DNS est de faire fonctionner ces correspondances.
Dès lors quand vous tapez http://www.malekal.com
- une requête DNS est faite afin de connaître l'adresse IPs qui
correspond à cette adresse afin de contacter le serveur malekal.com Exemple ci-dessous où on demande l'adresse IP correspondant à http://www.google.fr et http://www.malekal.com
Le
filtrage DNS consiste donc à empécher de faire correspondre l'adresse
littéral à l'adresse IP afin de rendre la connexion vers le serveur
impossible. En général, l'adresse retournée est 0.0.0.0 ou 127.0.0.01
ou un serveur géré par l'administration qui effectue le blocage afin de
rediriger les internautes vers un serveur à eux pour afficher une page
spécifique.
Notez que ces modifications de DNS peuvent parfois
être effectuées par un hébergeur de son propre chef, par exemple, si un
serveur est la victime d'une attaque DDoS qui perturbe très fortement le
service de l'hébergeur, il peut arriver que l'adresse ciblée soit
modifier pour que les ordinateurs zombies qui participent à l'attaque ne
le ciblent plus.
Est-il possible de contourner un filtrage DNS ?
Dans le cas d'un filtrage DNS décidé par un pays suite à une décision justice, il est possible de le contourner. Le
filtrage se faisant sur les serveurs DNS des FAI, il suffit d'utiliser
des serveurs publiques où le filtrage DNS n'a pas été effectué. Mais il est tout à fait possible techniquement de bloquer une adresse au niveau mondiale, par exemple, dans le cas d'un malware.
Les deux services publiques et gratuits les plus connus sont : GoogleDNS et OpenDNS.
Il existe deux manières de changer ses DNS :
Soit au niveau de la configuration du routeur, ceci devrait s'appliquer
à tous les ordinateurs qui utilisent ce routeur. Dans le cas d'une boix
en général, ce filtrage n'est pas possible, vous n'avez pas la main.
Dans la configuration réseau de chaque ordinateur.
La page suivante explique comment modifier manuellement (second paragraphe) les serveurs DNS de chaque interface réseau : reinitialiser-les-serveurs-noms-dns-t48312.html Si vous avez du Wifi et filaire, il faut le faire sur la carte Wifi et réseau local.
Les adresses DNS des serveurs OpenDNS : 208.67.222.222 et 208.67.220.220
Les adresses DNS des serveurs GoogleDNS : 8.8.8.8 et 8.8.4.4
Notez
qu'OpenDNS permet grâce à ces DNS d'agir en contrôle parental et
bloquer l'accès à sites sites selon la thématique, se reporter à cette
page : opendns-controle-parental-t48437.html#p377305
Première
règle élémentaire de sécurité : on réfléchit puis on clic et pas
l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça
vient d'un inconnu, on n'accepte pas
L'équipe de BitTorrent continue ses travaux sur sa
messagerie instantanée privée. Celle-ci peut désormais être utilisée par
tout le monde en version expérimentale.
La société BitTorrent multiplie ses initiatives. En parallèle de la
conception de son client de synchronisation garantissant une meilleure
confidentialité des transferts de fichiers, les développeurs souhaitent
proposer une messagerie instantanée sécurisée.
« La communication avec ses amis, sa famille et ses collègues est plus facile que jamais, mais à quel prix ? », explique Jaehee Lee, chef produit chez BitTorrent.« L'Internet
fait la promotion du libre échange de l'information, mais nous
sacrifions souvent la vie privée en contre-partie de cette facilité ».
Après avoir invité quelques internautes pour tester une mouture alpha de
sa messagerie Bleep sur Windows au mois de juillet, BitTorrent a décidé
d'ouvrir ce programme. Par ailleurs Bleep annonce la disponibilité
d'édition alpha OS X et Android. Bleep propose d'envoyer des messages
texte ainsi que d'effectuer des conversations audio.
Une fois installé, le logiciel invitera l'utilisateur à créer un compte
via une adresse email ou un numéro de téléphone. L'internaute pourra
également se connecter de manière anonyme. Dans ce dernier cas, « cela veut dire qu'aucune donnée personnelle n'est requise
», explique BitTorrent. L'ajout d'un contact est effectué en
mentionnant l'adresse email ou le numéro de téléphone de la personne. Il
est également possible de générer une clé publique ou un code QR. Une
option propose de récupérer ses contacts de Gmail.
Côté sécurité, l'équipe précise que chaque message est chiffré et
uniquement stocké sur la machine de l'utilisateur. Puisque les échanges
sont de type pair à pair, il n'y a donc pas de serveur tiers faisant
office de zone tampon afin d'acheminer plus tard un message vers un
contact déconnecté. A la réception d'un message, ce dernier sera envoyé
sur l'ensemble des terminaux rattachés.
Bien entendu il s'agit d'une alpha. L'application présente donc sans surprise quelques problèmes et quelques omissions.
Première rédaction de cet article le 8 janvier 2012 Dernière mise à jour le 9 janvier 2012
La sortie, le 30 décembre 2011, du décret
n° 2011-2122 relatif aux modalités d'arrêt de l'accès à une
activité d'offre de paris ou de jeux d'argent et de hasard en ligne
non autorisée, décret qui permet à l'ARJEL de demander le blocage d'un site de paris
ou de jeux en ligne, a ramené sur le devant de la scène la question
du blocage via le DNS. En effet, le décret dit
explicitement « Lorsque l'arrêt de l'accès à une offre de paris ou de
jeux d'argent et de hasard en ligne non autorisée a été ordonné, [...]
les [FAI] procèdent à cet arrêt en utilisant le
protocole de blocage [sic] par nom de domaine (DNS) ». Il existe
plusieurs façons de comprendre cette phrase. Si le FAI décide de
mettre en œuvre cet arrêt en configurant ses résolveurs DNS pour
mentir, un moyen simple
de contourner cette censure sera alors pour les utilisateurs de
changer de résolveur DNS. Est-ce simple ? Est-ce réaliste ? Des
logiciels peuvent-ils aider ?
D'abord, un petit rappel de vocabulaire, car j'ai déjà lu pas mal
d'articles sur le sujet, où l'auteur est plein de bonne volonté et
veut vraiment aider les autres à contourner la censure, mais où il ne
connait pas vraiment le DNS et où il utilise un
vocabulaire approximatif, voire complètement faux. Il y a
deux sortes de serveurs DNS : la première, ce
sont les
serveurs faisant autorité, qui sont ceux qui
contiennent les données (par exemple, les serveurs de
DENIC ont la liste de tous les noms de domaine en
.de, des serveurs de la société NS14
font autorité pour le domaine shr-project.org, etc).
L'ARJEL ou un autre censeur ne peut pas
toujours agir sur eux car ils peuvent être situés en dehors de la
juridiction française.
Et il y a les résolveurs DNS. Ils ne
connaissent au démarrage aucune donnée et servent uniquement de
relais et de caches
(stockage temporaire de données). Ils sont typiquement gérés par votre
FAI ou bien par le service informatique de
votre boîte. Ce sont eux qui sont indiqués à la machine cliente (en
général par le protocole DHCP), qui les
utilisera à chaque fois qu'elle aura une question (c'est-à-dire pas
moins d'une centaine de fois pour la seule page d'accueil de
CNN).
Si on veut censurer en France l'accès à un site de jeu en ligne,
par le protocole DNS,
c'est un bon endroit pour attaquer. Il en existe d'autres, mais que je
garde pour d'autres articles. Modifier le comportement du résolveur
est facile (les logiciels ont déjà ce qu'il
faut pour cela) et certains FAI le faisaient déjà pour des raisons financières.
Mais c'est aussi une technique de censure relativement facile à
contourner : l'utilisateur de la machine cliente peut changer la
configuration de son système pour utiliser d'autres résolveurs que
ceux de son FAI, par exemple ceux de
Telecomix, qui promettent de ne pas censurer. C'est cette
technique qui est discutée dans cet article.
Si vous lisez les forums un peu au hasard, vous trouverez souvent
des allusions à cette méthode, de la part de geeks
vantards qui affirment bien haut « rien à foutre de leur censure à la
con, je change mon DNS car je suis un top-eXpeRz et je surfe sans
filtrage ». La réalité est plus complexe. Prenons l'exemple d'une
machine Ubuntu (il y a peu près les mêmes
problèmes sur Windows ou
Mac OS X). La liste des résolveurs DNS utilisés figure dans le fichier /etc/resolv.conf. Suffit-il
d'éditer ce fichier, comme on le lit souvent (et bien à tort) ?
Déjà, il faut rappeler au frimeur de forum que la grande
majorité des utilisateurs de l'Internet n'ont même pas idée qu'ils
peuvent choisir (et je ne parle pas seulement du résolveur DNS, mais
aussi du navigateur, du système d'exploitation, etc). Si on veut que la solution soit
accessible à tout le monde, pas seulement à quelques
geeks auto-proclamés, elle doit être
simple.
Même sur Ubuntu, tout le monde ne sait
pas éditer un fichier système (surtout qu'il faut être
root).
Le frimeur à grande gueule qui écrit sur
forum.blaireaux.com/index.php découvrira vite,
s'il essayait ce qu'il prêche, qu'éditer
resolv.conf n'est pas la
bonne méthode, car le client DHCP effacera ses
modifications à la prochaine connexion. Il faut modifier la
configuration dudit client DHCP (cela varie énormément selon le
système et le logiciel installé ; sur ma
Debian, en ce moment, c'est
/etc/resolvconf/resolv.conf.d/head).
Sur certains systèmes d'exploitation, changer un réglage aussi
banal est très difficile. Par exemple, sur
Android (merci à Aissen pour les informations), les serveurs DNS utilisés sur le
réseau mobile ne sont pas modifiables et, sur le
Wi-Fi, on ne peut les changer que si on coupe
DHCP. Comme la publicité fait tout son possible pour migrer les
utilisateurs vers les accès Internet sur téléphone mobile, bien plus
contrôlés et moins libres, l'avenir est inquiétant.
Une fois qu'on sait quel fichier éditer et comment, reste la
question, que mettre dans ce fichier ? Il existe plusieurs résolveurs
publics situés en dehors du pouvoir de l'ARJEL, et le plus souvent
cité est OpenDNS. Intéressant paradoxe : pour
échapper à la censure et garder sa liberté de citoyen, on utilise un
résolveur menteur, qui pratique lui-même la
censure (et parfois se trompe). Utiliser
OpenDNS, c'est se jeter dans le lac pour éviter d'être mouillé par la
pluie. Sans compter leurs autres pratiques, comme l'exploitation des données personnelles (le
résolveur DNS utilisé sait tout de vous... chaque page Web visitée lui
envoie au moins une requête...). À noter qu'on peut avoir aussi un
résolveur local à sa machine, ce point est traité un peu plus loin.
À noter que tous les cas ne peuvent pas être couverts dans un
article. Par exemple, on peut aussi envisager de changer les réglages
DNS sur la box si elle sert de relais DNS pour le
réseau local vers les « vrais » résolveurs.
Pour résoudre tous ces problèmes, on peut écrire des
documentations (exemples à la fin de cet article). Mais la plupart des
utilisateurs auront du mal à les suivre et je pense donc que la bonne
solution est la disponibiité d'un logiciel qui automatise tout
cela. Quel serait le cahier des charges d'un tel logiciel ?
Tourne sur les systèmes utilisés par M. Toutlemonde
(Windows, Android,
Ubuntu, etc).
Indépendant de l'application (le DNS ne sert pas que pour le
Web) et marche donc avec tous les services (c'est pourquoi je n'ai pas
discuté dans cet article des extensions Firefox comme MAFIAAFire
ou DeSOPA
- ce dernier ayant en outre un mode de fonctionnement très bizarre).
Simple à utiliser.
Vient avec une liste pré-définie de bons résolveurs. Je
préférerais que cette liste n'inclue pas les résolveurs menteurs comme
ceux d'OpenDNS. En tout cas, il est impératif qu'on puisse ajouter les
résolveurs de son choix.
M. Toutlemonde va certainement avoir des problèmes pour décider s'il
doit se servir de « Telecomix » ou « Comodo » ou « Level-3 » pour ne
citer que quelque uns des résolveurs publics les plus fameux. Il
faudrait donc que le logiciel teste ces résolveurs automatiquement,
pour leurs performances, bien sûr (la plupart des articles trouvés sur
le Web sur le thème « comment choisir son résolveur DNS ? » ne
prennent en compte que leur vitesse, pas leur sincérité, contrairement
à cet article) mais aussi pour leur obéissance à la censure. Le
logiciel devrait venir avec une liste de domaines peut-être censurés
(wikileaks.org, etc) et tester les réponses des
résolveurs candidats. Ce n'est pas facile à faire car il faut aussi
connaître les bonnes réponses, et elles peuvent changer. Peut-être le
logiciel devrait-il interroger des résolveurs de confiance pour avoir
cette information ? Le fait de tester pourrait même permettre de
choisir automatiquement un résolveur, ce qui serait certainement
meilleur pour M. Toutlemonde.
Autre cas vicieux (merci à Mathieu Goessens), celui des résolveurs DNS qui, en violation
des bonnes pratiques, contiennent des données spécifiques qu'on ne
trouve pas dans le DNS public. C'est le cas de pas mal de portails captifs de
hotspots, par
exemple. dnssec-trigger gère ce
problème en ayant un mode spécial, manuellement activé,
« Hotspot sign-on ». Mais il y a pire : certains
FAI (notamment Orange) utilisent des données
non publiques pour certains services réservés aux clients
(VoIP, serveur SMTP de
soumission, etc) donc une solution qui gère la connexion initiale ne
suffit pas. La seule solution dans ce cas est d'avoir un mécanisme
d'aiguillage qui envoie les requêtes pour certains domaines à certains
résolveurs.
Un tel logiciel est vulnérable à un blocage du port
53. Si cette mesure se répand, il faudra aussi que le logiciel
teste s'il peut atteindre des résolveurs publics et des serveurs faisant autorité, ou bien s'il
faut passer à d'autres méthodes comme de
tunneler le DNS sur TLS,
port 443, comme le permet déjà Unbound, dans sa
version de développement. D'autres attaques suivront alors (par
exemple des FAI qui annonceront les adresses
8.8.8.8 et 8.8.4.4 sur leur
propre réseau, pour se faire passer pour Google
Public DNS, profitant du fait que ce service n'est pas
authentifié).
Compte-tenu de ce cahier des charges, quels sont les logiciels qui
conviennent aujourd'hui ? Il n'en existe aparemment qu'un seul, DNS Jumper (je ne suis pas
sûr d'avoir mis un lien vers le site officiel, ce logiciel n'a pas de
références bien précises et, son source n'étant
pas distribué, on peut être inquiet de ce qu'il fait). DNS Jumper
tourne sur Windows, assure les quatre premières
fonctions de mon cahier des charges mais pas l'avant-dernière : il ne
vérifie pas que le résolveur est digne de confiance. Il est décrit,
par exemple, dans « Easily
Switch Between 16 DNS Servers with DNS Jumper »
(l'article est un peu ancien, le logiciel s'est perfectionné depuis),
ou, en français, dans « DNS Jumper - Changez
rapidement de serveurs DNS ».
Les autres logiciels restent à écrire (un truc comme DNS Helper ne
compte pas, puisqu'il ne permet de changer... que pour les DNS de
Google). Mais que les censeurs ne se réjouissent pas, les logiciels
vont vite sortir, écrire un tel programme n'est pas un exploit
technique, et la demande est forte, avec le décret ARJEL déja cité
pour la France, SOPA pour les États-Unis, etc.
Quelques petits détails techniques pour finir : on peut
parfaitement installer un serveur DNS résolveur sur sa propre
machine (enfin, sur un ordinateur portable, pas sur un
smartphone). La résolution DNS sera alors
entièrement sous le contrôle d'un logiciel qu'on gère, fournissant
ainsi le maximum de sécurité. Le processus
n'est pas très compliqué sur Unix, ni même sur
Windows (merci à Gils Gayraud et Mathieu Bouchonnet pour leur aide
sur Windows). On peut le rendre encore plus simple avec des logiciels
astucieux comme dnssec-trigger, qui ne teste
pas la censure (son but est tout autre) mais pourrait servir de point
de départ à un paquetage simple d'installation, vraiment utilisable
par M. Toutlemonde (ce n'est pas encore le cas). Par contre, un tel
résolveur local a des conséquences négatives sur l'infrastructure du
DNS : comme il n'y a plus de cache partagé (avec le résolveur/cache du
FAI, une requête pour www.bortzmeyer.org reste en
mémoire et bénéficie à tous les clients du FAI),
les serveurs faisant autorité verront leur charge s'accroître.
Pour éviter cet inconvénient, une des solutions serait pour le
résolveur local de faire suivre les requêtes aux résolveurs du FAI (de
tels résolveurs sont nommés forwarders). Mais cela
implique de détecter lorsque le résolveur du FAI ment, pour le
court-circuiter dans ce cas. DNSSEC fournit une
piste intéressante pour cela mais, début 2012, les résolveurs ayant
cette fonction forwarder
(BIND et Unbound) n'ont
pas de tel service de détection et de contournement.
Pire encore, on peut combiner le résolveur local (ou le remplacer)
avec des fichiers statiques locaux (/etc/hosts
sur Unix, C:\WINDOWS\system32\drivers\etc\hosts
sur Windows) mais la maintenance de tels fichiers serait un
cauchemar.
Cela ne veut pas dire que cela n'arrivera pas : dans ce maelstrom
d'attaques et de contre-attaques, les solutions les plus mauvaises
seront certainement déployées par certains acteurs et le futur est sombre pour le système de résolution de noms.
Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)