📰 La Revue de TheRaphit.com Article n° 10 [25 janvier 2025] [Article au hasard 🎲] [Précédent] [Suivant]

DNS menteur et politiciens incompétents...
... Ou l'inverse ?

[Censored]


[Le DNS menteur, c'est quoi ?] [Ca fonctionne comment ?]

[Que faire pour le contourner ?]






Vous pensiez que la censure n'était plus d'actualité ?

Que les fournisseurs d'accès sont désormais des sociétés matures, sérieuses et professionnelles qui ont autre chose à faire ? Que les gouvernements ont cessé d'avoir peur d'Internet, puisque 95 % des individus qui les constituent en sont complètement addict ?

Quelle illusion mes bons amis ! Bienvenue donc dans le merveilleux monde de la censure version 21ème siècle, toujours « pensée » par des gens persuadés que leur priorité absolue, c'est de faire la police du Web.

Vraiment, en presque 30 ans, rien n'a changé... Nouvelle recette certes, mais même tambouille !

Le DNS menteur, c'est quoi ?



Le DNS (Domain Name System) est le système d'annuaire d'Internet, qui vous permet de contacter un équipement/serveur/whatever (de manière générique, on dit un hôte) connecté au réseau en utilisant un nom dont on peut se souvenir facilement. Il s'agit d'une base de données distribuée, c'est à dire que chaque entité hébergeant des hôtes (un domaine) maintient des serveurs DNS listant tous ses hôtes, avec leurs adresses IP associées et autres informations.

C'est l'un des plus vieux protocoles d'Internet, il date de 1982.

A son grand âge lui est associée une conception venue d'une époque où les débits étaient très très faibles. DNS intègre ainsi des mécanismes de cache et de relais afin de centraliser l'information DNS au sein d'une même organisation : entreprise, hébergeur ou fournisseur d'accès Internet. Un serveur DNS cache se charge d'interroger les serveurs DNS des différents domaines sur Internet pour le compte des utilisateurs de l'organisation, puis conserve l'information en mémoire un certain temps afin d'économiser de la bande passante.

Lorsqu'il demande une information à son serveur DNS cache, l'utilisateur n'a aucun moyen de savoir si ce serveur lui a réellement communiqué la bonne information, en ayant effectivement interrogé à un moment ou à un autre le serveur DNS du propriétaire du domaine qu'il cherchait à joindre.

Dit autrement : l'utilisateur n'a aucun moyen de savoir si son serveur DNS cache est honnête.

Il peut y avoir quelques bonnes raisons de modifier les réponses obtenues lors des requêtes DNS, par exemple pour rediriger le collaborateur d'une entreprise directement vers un intranet en tapant simplement www.mon-entreprise.com dans son navigateur comme n'importe quel visiteur externe. Facile et simple à retenir. Dans la même idée, un fournisseur d'accès Internet peut rediriger directement un abonné qui visite son site vers son espace client.

Néanmoins il peut y avoir surtout plein de mauvaises raisons, notamment empêcher l'accès à un service Internet, ou du moins tenter de le faire d'une manière particulièrement stupide.

C'est dans ce dernier contexte que l'on parle alors de DNS menteur.

Comment est-ce implémenté ?



Cette terminologie de DNS menteur n'a d'ailleurs rien d'officielle : c'est généralement la dénomination utilisée par les sites qui se sont fait censurer par ce moyen.

Mettons qu'une entreprise souhaite interdire l'accès à mon site. Ouais hein tant qu'à faire à écrire des trucs, je vais expliquer comment bloquer l'accès à mon propre site histoire de bien me tirer une balle dans le pied. Ah quoi, comment ? Les coulisses me soufflent que ce site n'a rien à vendre ? Que je n'ai pas fait d'opération de sponsoring débile avec une société de boisson chimique lyophilisée, garantie 0 % d'ingrédients naturels ? Et que donc je m'en contrefiche ? Ah oui c'est vrai.

Le serveur DNS de l'entreprise va d'abord être configuré pour intercepter les requêtes vers mon domaine theraphit.com en s'en prétendant comme étant le détenteur. Sur le logiciel BIND (un des plus vieux logiciels serveurs DNS existants), cela se fait comme ceci :
zone "theraphit.com" {
        type master;
        file "theraphit-censored.db";
}
C'est désormais le fichier theraphit-censored.db, local au serveur, qui contient les « informations » sur les noms d'hôte de mon domaine, tel que vus par les utilisateurs de ce serveur DNS. Le fichier en question pourra alors contenir une ligne ressemblant à ceci :
www     IN  A      127.0.0.1
Ainsi la machine cliente de ce serveur DNS, et qui souhaite accéder à www.theraphit.com, sera invitée à se connecter à l'addresse IP 127.0.0.1 pour accéder au site, c'est à dire directement sur elle-même. A moins qu'il y ait un serveur HTTP sur celle-ci, voici donc ce que verra son utilisateur :


[Capture d'écran navigateur]


Il pourra ainsi croire à une panne du site, notamment si le reste de sa navigation ne lui semble pas perturbée.




Il est possible d'être plus subtil (ou insidieux, suivant le point de vue) en redirigeant l'utilisateur vers le site de l'entreprise, vers son fournisseur d'accès, voire même très cyniquement sur une page spéciale indiquant que ce site est innacessible parce que le visiter c'est maaaâââââlllll. Comme vous le voyez, ce n'est pas très difficile, il ne faut pas être bien malin pour implémenter ça, le DNS menteur c'est au bas de l'échelle de la subtilité et de la maîtrise technique.

C'est beaucoup plus facile d'implémenter un blocage de ce type plutôt que de faire passer le trafic qu'on veut filtrer par un firewall (difficilement faisable au niveau de tout un fournisseur d'accès moderne vu les débits), ou même en manipulant le routage. Les serveurs DNS cache sont généralement en petit nombre, et la méthode peut même s'automatiser.


Comme Le_Gouvernement™ aime bien protéger les braves citoyens des dangers de l'URL,
des délinquants du HTTP, des terroristes du pixel et autres trafiquants de HTML, ils
se sont mis depuis une dizaine d'années à demander aux fournisseurs d'accès d'implémenter
du DNS menteur, pour le plus grand bien commun de tous. Comme c'est généreux, et si désintéressé...


Maintenant vous allez me dire : pourquoi les fournisseurs d'accès implémentent du DNS menteur, lorsqu'il prend l'idée au gouvernement de bloquer un site politiquement incorrect ?

Bon je passe rapidement sur le cas de Orange, dont l'état est actionnaire. Une entreprise applique la politique voulue par ses actionnaires, et même si c'est de la grosse merde, ça me paraît logique. Libre ensuite au consommateur d'aller voir ailleurs s'il ne veut pas utiliser Le_fournisseur_officiel_de_le_Gouvernement™, la concurrence est là pour ça.

Pour les autres, eh bien il faut savoir malheureusement qu'ils sont aux ordres. Il ne suffit pas d'avoir de l'argent pour poser des antennes ou de la fibre optique, il faut avoir aussi des autorisations. Et pour les obtenir, il faut être coopératif. Il y a bien eu, par le passé, quelques fournisseurs d'accès indépendants à Internet qui n'en n'avaient strictement rien à foutre de la bien-pensence et qui étaient juste là pour faire leur métier, en respectant le principe de la neutralité d'Internet. Mais c'est un peu comme les homepages, ils ont désormais disparu.

Euh pause... Et si on n'utilise PAS les serveurs DNS de son fournisseur d'accès ?



Vous avez relevé le point crucial, et c'est là qu'on va commencer à rigoler un peu.

Ouais bon jusqu'à présent c'était un peu chiant, le cours magistral sur le DNS, la configuration de BIND, bah OK quoi. « Moi j'suis venu pour la rigôlad et les politiciens débiles, pour me marrer quoi ! Il est où le fun ? » Ne vous inquiétez pas, j'y arrive !




Il est très simple d'utiliser des serveurs DNS publics, en lieu et place de serveurs DNS que l'on soupçonne d'être menteurs.

Par exemple le fameux 8.8.8.8 (et son secondaire le 8.8.4.4) du service correspondant chez Google. Je ne vous mets pas le lien par hasard, si vous consultez cette page officielle, vous constaterez que Google vante l'intérêt de son service comme vous permettant d'obtenir « le résultat attendu. » Accessoirement vous y retrouverez leur guide de configuration DNS pour plusieurs systèmes d'exploitation.

A ce qu'ils en disent, Google semble donc peu enclin à implémenter du DNS menteur. Néanmoins ces grandes multinationales savent se mettre aux ordres si ça rejoint leurs intérêts, car il ne faut pas oublier qu'elles sont là avant tout pour faire des gros $ous.

Si Google est le Grand Satan pour vous, la société Cloudflare dispose également de son propre service de DNS public, à l'adresse 1.1.1.1. Accompagnant ce service, il y a aussi une application - voir le site one.one.one.one - notamment utile pour changer de serveur DNS lorsqu'on utilise un réseau mobile (4G, 5G, ...) la nature de ces réseaux intégrant généralement directement les serveurs DNS à la configuration de la connexion. C'est très 20ème siècle ça d'ailleurs, à l'image des « kits » des FAI de l'époque.

Cette application existe aussi pour ordinateur desktop tel qu'un PC sous Windows, mais si vous savez configurer vous-même les serveurs DNS, vous pouvez bien sûr utiliser 1.1.1.1 et 1.0.0.1 directement.




A mon humble avis, on peut difficilement faire plus simple comme méthode de contournement, et tout ça est gratuit. Il n'y a même pas besoin de payer pour un service de VPN too moisax.

Mais ce n'est même pas ça le plus drôle. Le plus drôle, c'est qu'une bonne partie des utilisateurs qu'on souhaite « protéger » par cette censure n'auront en réalité pas besoin de changer quoi que ce soit à leur configuration pour ne pas être gênés par le blocage. La plupart des routeurs conçus pour le home networking (on m'a dit qu'au 21ème siècle ça s'appelle des box) intègrent directement une fonction de serveur DNS. La bande passante est abondante, et les contraintes de puissance CPU sur les équipements installés chez les clients n'ont plus rien à voir avec les débuts d'Internet.

Mais ça les politiciens incompétents ne l'ont toujours pas compris. A moins que ce ne soient les politiciens qui sont des menteurs, et les opérateurs qui sont de gros incompétents (plus probablement : de gros flemmards).


Je crois qu'en matière de débilité profonde et d'incompétence totale, on n'avait
pas fait aussi fort depuis le « CD-ROM relié à un site Internet » de la pub Intel...
Ah sans hésiter, on peut affirmer c'est du lourd, du bien gras...

... Au sens propre, vu que c'est payé très cher par le contribuable pour aller s'engrosser à la cantine de l'Assemblée Nationale.


Evidemment peu de temps après avoir fait, comme ils disent, une « requête de blocage » d'un site qui ne convenait pas à leurs altesses, ils vont s'empresser de dégaîner devant les caméras des journalistes complices leur téléphone dernier cri payé par le contribuable, sur lequel ils n'ont rien changé, pour pouvoir bien se pavaner : « regardez, maintenant le site des vilains pas bô, il est tout québlo ! »

Ils sont vraiment tromôvai, je vais m'étouffer à force de rire.




Spécimen (non-rare) de politicien très satisfait de sa censure par DNS menteur


Mais alors pouquoi insistent-ils ??

Comme toute la politique d'aujourd'hui. Pour faire les cadors, pour faire les mecs vachement concernés, et qui ont le pouvouarre de protéger le citoyen innocent des méchants sites Web plein de pixels. Et aussi parce qu'ils ne comprennent strictement rien à Internet, bien qu'ils y passent 15 heures par jour pour obtenir des likes, et qu'ils pensent pouvoir le contrôler (spoiler : non). Pour se faire mousser en somme, comme 99,9 % de tout ce qu'ils font.

Le plus dramatique dans tout ça ce n'est pas cette pseudo-censure, mais le fait qu'ils en soient si fiers.
La Revue de TheRaphit.com

[Compteur]
Nombre de visiteurs
depuis le 13 mai 1997.

[Accueil] [C'est quoi ?]
TheRaphit's Web Site - La dernière homepage du Web


[(Tout)2 Evangelion] Webzine : La Revue [Manga Pink Zone] [Mathématiques]

[Nouveautés] [Zone de téléchargement]


Site créé le 16 janvier 1997
©1997-2025 by TheRaphit
www.theraphit.com