Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-05 Par sujet Spyou
Le 05/01/2012 07:30, Dominique DERRIER a écrit :
 - Ajouter une configuration DNS (pour retourner une adresse invalide ?) 
 - Mettre une boite noire qui intercepte les requêtes DNS et modifie la 
 réponse en fonction d'une liste me semble un peu complexe.
 (et je ne parle pas d'une analyse sur la couche 7 ...)  C'est plus efficace 
 ... mais cela demande du traitement (sans parler de SSL/VPN/...)

Il était également question d'injections BGP, solution qui, malgré l'évident 
surblocage,
permettrait également de ne pas avoir à communiquer la liste et que les mises à 
jour
soient gérées de façon centrale.

 Pour les Fai, est-ce que cela ne concerne que les Fai de l'internaute 
 standard (particuliers) / les Opérateur télécom (plus global) ?
 Bref... j'ai le sentiment que l'application ne me semble pas aussi simple que 
 cela et qu'elle ne bloquera malheureusement pas ceux qui veulent être dans 
 l'illégalité.

Mais comme la communication de la-dite liste est dans la loi, j'imagine que 
n'importe quel
opérateur inscrit en tant que réseau ouvert au public auprès de l'ARCEP pourra 
réclamer de
l'avoir pour être en conformité avec la loi. On peut donc s'attendre à ce 
qu'elle soit
leakée dans la foulée. Un bon point pour la transparence ... un bon point aussi 
pour les
amateurs d'images et de vidéos du genre.

A moins que tout ceci ne soit traité confidentiellement entre les 6 ou 7 plus 
gros, un peu
comme ce qui se fait pour les assignations ARJEL, et qu'il ne s'agisse en fait 
que de
lever des paravents pour dire ben si quand même regardez, on a pris le 
problème du
pédoporn sur le net à bras le corps .. y'a plus personne qui peut aller voir 
ces sites ..
bon, sauf ceux qui le veulent vraiment, mais ça, on y peut rien !


Déplorable, comme prévu.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-05 Par sujet Spyou
Le 05/01/2012 09:44, Stephane Bortzmeyer a écrit :
 On Thu, Jan 05, 2012 at 09:41:40AM +0100,
  Spyou r...@spyou.org wrote 
  a message of 47 lines which said:
 
 Il était également question d'injections BGP, solution qui, malgré
 l'évident surblocage, permettrait également de ne pas avoir à
 communiquer la liste
 
 ? Les pairs BGP la connaîtront, la liste. 

Une liste d'IP, oui. Pas forcément évident de remonter aux noms de domaines 
permettant
d’accéder aux contenus :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-05 Par sujet Thomas Mangin
 Il était également question d'injections BGP, solution qui, malgré
 l'évident surblocage, permettrait également de ne pas avoir à
 communiquer la liste
 
 ? Les pairs BGP la connaîtront, la liste. 

Pas si les routes sont marquées avec no export.

Les problemes de l'utilisation de BGP pour l'interception de sites sont bien 
expliques par Richard Clayton
http://www.cl.cam.ac.uk/~rnc1/cleanfeed.pdf

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-04 Par sujet Cyprien Nicolas
Stephane Bortzmeyer wrote:
 On Mon, Jan 02, 2012 at 09:24:56PM +0100,
  Patrick Maigron patrick.maig...@institut-telecom.fr wrote 
  a message of 56 lines which said:
 
 Et en effet ce serait bien que quelqu'un quelque part gère une liste
 à jour des noms bloqués et par quels FAI...
 
 Au moins dans le cas de la LOPPSI (loi n° 2011-267 du 14 mars 2011
 http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT23707312fastPos=2fastReqId=1451328571categorieLien=cidoldAction=rechTexte),
 la liste est secrète (pour éviter que des citoyens ne
 puissent vérifier qu'elle est effectivement limitée aux raisons
 officielles). L'article 4 de la dite LOPPSI ne le mentionne pas
 explicitement mais elle n'impose pas non plus de publicité, donc on
 peut raisonnablement penser que c'est la solution la plus restrictive
 qui sera adoptée par la place Beauveau.

Moi qui pensais naïvement que le gouvernement ne voulait pas tenir un
annuaire public des sites pédopornographique...

Que la liste soit secrète, je peux le comprendre pour le point
précédent, mais il faudra bien qu'une des autorités en charge prévienne
au moins les FAI principaux qu'il faut filtrer tel nom de domaine (s'ils
en restent au « protocole de blocage DNS »). Donc ces annuaires
existeront au moins chez ces FAI.

Reste à voir s'ils ont la volonté de vérifier les listes qui leurs
seront soumises ou non.

-- 
Cyprien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-04 Par sujet Thomas Mangin
On 4 Jan 2012, at 08:25, Cyprien Nicolas wrote:

 Que la liste soit secrète, je peux le comprendre pour le point
 précédent, mais il faudra bien qu'une des autorités en charge prévienne
 au moins les FAI principaux qu'il faut filtrer tel nom de domaine (s'ils
 en restent au « protocole de blocage DNS »). Donc ces annuaires
 existeront au moins chez ces FAI.

Exact.

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-04 Par sujet Raphaël Jacquot

On 04.01.2012 09:25, Cyprien Nicolas wrote:

Que la liste soit secrète, je peux le comprendre pour le point
précédent, mais il faudra bien qu'une des autorités en charge 
prévienne
au moins les FAI principaux qu'il faut filtrer tel nom de domaine 
(s'ils

en restent au « protocole de blocage DNS »). Donc ces annuaires
existeront au moins chez ces FAI.


et toutes les personnes s'abonnant chez les FAI non principaux seront 
présumées coupables de pédonazisme ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-04 Par sujet Patrick Maigron
Le 04/01/2012 14:04, Raphaël Jacquot a écrit :
 On 04.01.2012 09:25, Cyprien Nicolas wrote:
 Que la liste soit secrète, je peux le comprendre pour le point
 précédent, mais il faudra bien qu'une des autorités en charge prévienne
 au moins les FAI principaux qu'il faut filtrer tel nom de domaine (s'ils
 en restent au « protocole de blocage DNS »). Donc ces annuaires
 existeront au moins chez ces FAI.
 
 et toutes les personnes s'abonnant chez les FAI non principaux seront
 présumées coupables de pédonazisme ?

La LOPPSI ne parle pas des internautes, seulement des obligations des
FAI. Par contre la consultation d'images pédoporno est traitée ailleurs
dans le code pénal bien sûr.

Les autorités devraient effectivement envoyer la liste aux FAI
(l'autorité administrative notifie aux personnes mentionnées au 1 du
présent I les adresses électroniques des services de communication au
public en ligne contrevenant aux dispositions de cet article, auxquelles
ces personnes doivent empêcher l'accès sans délai...). Je suppose avec
un engagement de confidentialité.

La loi sur ce filtrage sera effective à compter du 15 mars. Le décret
fixant les modalités et le financement n'est pas encore sorti (pas de
bol, du retard comme pour les jeux en ligne !). Le député Lionel Tardy
vient d'adresser une question écrite à ce sujet au ministre de
l'intérieur la semaine dernière :
http://questions.assemblee-nationale.fr/q13/13-125602QE.htm

Selon PC Inpact, il y aurait eu des discussions en décembre avec des
scénarios de filtrage au niveau URL et pas seulement domaine. A suivre...
http://www.pcinpact.com/news/67976-blocage-pedopornographique-loppsi-decret-tardy.htm

Patrick.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-04 Par sujet Dominique DERRIER
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Patrick Maigron
Envoyé : mercredi 4 janvier 2012 23:47
À : frnog@frnog.org
Objet : Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

Le 04/01/2012 14:04, Raphaël Jacquot a écrit :
 On 04.01.2012 09:25, Cyprien Nicolas wrote:
 Que la liste soit secrète, je peux le comprendre pour le point
 précédent, mais il faudra bien qu'une des autorités en charge prévienne
 au moins les FAI principaux qu'il faut filtrer tel nom de domaine (s'ils
 en restent au « protocole de blocage DNS »). Donc ces annuaires
 existeront au moins chez ces FAI.
 
 et toutes les personnes s'abonnant chez les FAI non principaux seront
 présumées coupables de pédonazisme ?

La LOPPSI ne parle pas des internautes, seulement des obligations des
FAI. Par contre la consultation d'images pédoporno est traitée ailleurs
dans le code pénal bien sûr.

Les autorités devraient effectivement envoyer la liste aux FAI
(l'autorité administrative notifie aux personnes mentionnées au 1 du
présent I les adresses électroniques des services de communication au
public en ligne contrevenant aux dispositions de cet article, auxquelles
ces personnes doivent empêcher l'accès sans délai...). Je suppose avec
un engagement de confidentialité.

La loi sur ce filtrage sera effective à compter du 15 mars. Le décret
fixant les modalités et le financement n'est pas encore sorti (pas de
bol, du retard comme pour les jeux en ligne !). Le député Lionel Tardy
vient d'adresser une question écrite à ce sujet au ministre de
l'intérieur la semaine dernière :
http://questions.assemblee-nationale.fr/q13/13-125602QE.htm

Selon PC Inpact, il y aurait eu des discussions en décembre avec des
scénarios de filtrage au niveau URL et pas seulement domaine. A suivre...
http://www.pcinpact.com/news/67976-blocage-pedopornographique-loppsi-decret-tardy.htm

Patrick.


Merci Patrick, pour toutes ces précisions... mais je n'arrive pas imaginer 
comment techniquement les FAI vont faire.

- Ajouter une configuration DNS (pour retourner une adresse invalide ?) 
- Mettre une boite noire qui intercepte les requêtes DNS et modifie la réponse 
en fonction d'une liste me semble un peu complexe.
(et je ne parle pas d'une analyse sur la couche 7 ...)  C'est plus efficace 
... mais cela demande du traitement (sans parler de SSL/VPN/...)

Dans les deux cas se pose la question de la mise à jour (fréquence/taille/...).

Pour les Fai, est-ce que cela ne concerne que les Fai de l'internaute standard 
(particuliers) / les Opérateur télécom (plus global) ?
Bref... j'ai le sentiment que l'application ne me semble pas aussi simple que 
cela et qu'elle ne bloquera malheureusement pas ceux qui veulent être dans 
l'illégalité.

Dominique


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-03 Par sujet David MARCIANO
C'est la FRC Sarko Debit ;)

D
--Message d'origine--
De: Jérôme Nicolle
Expéditeur : frnog-requ...@frnog.org
À: Raphaël Durand
Cc: frnog@frnog.org
Objet: Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Envoyé: 2 janv. 2012 13:54

Celà dit, on pourrait commencer la capillotraction en définissant
protocole de blocage par nom de domaine.

Bortz, c'est quelle RFC ?

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-03 Par sujet Christophe

Bien le bonsoir,

Arf, Bien que la remarque est pertinente, j'aurais tendance à dire qu'il 
n'y a pas trop de soucis à se faire de ce côté .


Tout Geek qui se respecte, a dans son entourage (si il ne le gère pas 
lui même) , son propre serveur DNS .
De ce fait , même si le vilain opérateur bloque le port 53 , sur autre 
chose que ses propres DNS (comme c'est souvent malheureusement le cas 
avec le 25) , y'a toujours des solutions, avec des VPN bien sentis .
On ne va tout de même pas se laisser abattre avec ce genre de mesure qui 
va à l'encontre même du principe du DNS.


@+
Christophe.

David MARCIANO a écrit :

C'est la FRC Sarko Debit ;)

D
--Message d'origine--
De: Jérôme Nicolle
Expéditeur : frnog-requ...@frnog.org
À: Raphaël Durand
Cc: frnog@frnog.org
Objet: Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Envoyé: 2 janv. 2012 13:54

Celà dit, on pourrait commencer la capillotraction en définissant
protocole de blocage par nom de domaine.

Bortz, c'est quelle RFC ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-02 Par sujet Raphaël Durand

On Fri, 9 Dec 2011 00:45:48 +0100, Benjamin BAYART wrote:



Si tu veux un DNS non filtré, je préconise aptitude install bind :)
Ça, pour le moment, ce n'est pas filtré. Mais ça viendra :(


02012011 [Update] - 
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT25062583dateTexte=categorieLien=id


Maintenant oui.

--
Raphaël Durand
www.ultrawaves.net
Les mails postés depuis cette boite personnelle n'engagent en aucune 
façon mon employeur.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-02 Par sujet Jérôme Nicolle
Plop,

Le 02/01/12 09:57, Raphaël Durand a écrit :
 02012011 [Update] -
 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT25062583dateTexte=categorieLien=id
 
 
 Maintenant oui.

Et pour un FAI qui ne fourni pas de service DNS, mentionnant juste
apt-get install bind9 dans la doc, ça se passe comment ?



-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-02 Par sujet Thomas Samson
2012/1/2 Jérôme Nicolle jer...@ceriz.fr:
 Plop,

 Le 02/01/12 09:57, Raphaël Durand a écrit :
 02012011 [Update] -
 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT25062583dateTexte=categorieLien=id


 Maintenant oui.

 Et pour un FAI qui ne fourni pas de service DNS, mentionnant juste
 apt-get install bind9 dans la doc, ça se passe comment ?


Et quelles autres entités que les FAI sont concernées ?
les personnes mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004
(donc LCEN: 
http://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT00801164idArticle=LEGIARTI06421546dateTexte=categorieLien=cid
)
I.-1. Les personnes dont l'activité est d'offrir un accès à des
services de communication au public en ligne informent leurs abonnés
de l'existence de moyens techniques permettant de restreindre l'accès
à certains services ou de les sélectionner et leur proposent au moins
un de ces moyens.

donc je conclus que les personnes mentionnées sont Les personnes dont
l'activité est d'offrir un accès à des services de communication au
public en ligne

Ce qui peut etre vu comme bien plus large qu'un FAI grand public classique...

-- 
Thomas SAMSON
BOFH excuse #208:Your mail is being routed through Germany ... and
they're censoring us.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-02 Par sujet Spyou
Le 02/01/2012 12:16, Thomas Samson a écrit :
 Et quelles autres entités que les FAI sont concernées ?

Les entités concernées sont avant tout celles qui sont assignées au TGI
par l'ARJEL ... Pas besoin de se prendre le choux avant d'avoir reçu
l'invitation :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-02 Par sujet Raphaël Durand

On Mon, 02 Jan 2012 11:49:24 +0100, Jérôme Nicolle wrote:

Plop,

Le 02/01/12 09:57, Raphaël Durand a écrit :

02012011 [Update] -

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT25062583dateTexte=categorieLien=id


Maintenant oui.


Et pour un FAI qui ne fourni pas de service DNS, mentionnant juste
apt-get install bind9 dans la doc, ça se passe comment ?


Dans ce cas il rejette la responsabilité sur l'utilisateur qui fournit 
le suivi DNS, qui aura lui-même à répondre aux o


Je ne suis pas juriste mais voici l'analyse que j'ai du texte :

Lorsque l'arrêt de l'accès à une offre de paris ou de jeux d'argent et 
de hasard en ligne non autorisée a été ordonné dans les conditions 
définies par l'article 61 de la loi du 12 mai 2010 susvisée, LES 
PERSONNES mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004 
susvisée procèdent à cet arrêt en utilisant le protocole de blocage par 
nom de domaine (DNS)


Voyons donc qui sont ces personnes mentionnées dans ledit article :

I.-1. Les personnes dont l'activité est d'offrir un accès à des 
services de communication au public en ligne 


2. Les personnes physiques ou morales qui assurent, même à titre 
gratuit, pour mise à disposition du public par des services de 
communication au public en ligne, le stockage de signaux, d'écrits, 
d'images, de sons ou de messages de toute nature ...


Reste à savoir si la fourniture d'un service de DNS entre dans ce cas 
là, mais à mon avis le législateur ne s’embarrasse pas de ces subtilités 
techniques.
Bref, il semblerait que l'utilisateur soit responsable du service qu'il 
fournit. (comme dans beaucoup de cas)
Dans le cas où tout opérateur de DNS serait concerné , la situation 
ubuesque serait de mettre en œuvre un DNS inutilisé, et demander des 
indemnisations à chaque demande de filtrage.


Bref, wait and see.

--
Raphaël Durand
www.ultrawaves.net
Les mails postés depuis cette boite personnelle n'engagent en aucune 
façon mon employeur.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-02 Par sujet Jérôme Nicolle
Celà dit, on pourrait commencer la capillotraction en définissant
protocole de blocage par nom de domaine.

Bortz, c'est quelle RFC ?

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-02 Par sujet Cyprien Nicolas
Raphaël Durand wrote:
 Je ne suis pas juriste mais voici l'analyse que j'ai du texte :
 
 (...)
 PERSONNES mentionnées au *1 du I de l'article 6 de la loi du 21 juin 2004*
 susvisée procèdent à cet arrêt en utilisant le protocole de blocage par
 nom de domaine (DNS)
 
 Voyons donc qui sont ces personnes mentionnées dans ledit article :
 
 I.-1. Les personnes dont l'activité est d'offrir un accès à des
 services de communication au public en ligne 
 
 2. Les personnes physiques ou morales qui assurent, même à titre
 gratuit, pour mise à disposition du public par des services de
 communication au public en ligne, le stockage de signaux, d'écrits,
 d'images, de sons ou de messages de toute nature ...

 Reste à savoir si la fourniture d'un service de DNS entre dans ce cas
 là, mais à mon avis le législateur ne s’embarrasse pas de ces subtilités
 techniques.

Le 1 du I ne comprend pas le 2 du I, excluant donc les hébergeurs.
De même que le champ Public concernés dudit décret vise explicitement
les FAI.

Je comprends que les hébergeurs n'ont pas besoin de filtrer.

-- 
Cyprien (qui n'est pas juriste non plus)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-02 Par sujet Spyou
Le 02/01/2012 14:34, Cyprien Nicolas a écrit :
 Le 1 du I ne comprend pas le 2 du I, excluant donc les hébergeurs. De
 même que le champ Public concernés dudit décret vise explicitement
 les FAI. Je comprends que les hébergeurs n'ont pas besoin de filtrer. 

Encore une fois, il n'y a que les personnes assignées devant le TGI de
Paris qui doivent filtrer.

Le décret ne concerne que la méthode (blocage DNS) et la rémunération
(sur justificatifs) des personnes assignées *et* dont l'activité est de
fournir un accès.

Si l'ARJEL assigne un hébergeur (par exemple offrant du VPN) le juge
peut très bien ordonner un blocage également.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-02 Par sujet ポール・ロラン
Bonjour,

On Mon, 02 Jan 2012 12:32:27 +0100
Raphaël Durand raphael.dur...@ultrawaves.net wrote:

 Je ne suis pas juriste mais voici l'analyse que j'ai du texte :

La mienne est plus simple : au lieu de passer en 2012, nous sommes revenus
dans les annees 70-80 (du siecle precedent !) ou on cherchait a avoir
toujours le fichier /etc/hosts le plus a jour possible... 

Comme ca, plus de probleme pour identifier le protocole de blocage des
DNS... mais un bel exemple de grand n'importe quoi en ce debut d'annee...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2012-01-02 Par sujet Patrick Maigron
Le 02/01/2012 14:50, Spyou a écrit :
 Encore une fois, il n'y a que les personnes assignées devant le TGI de
 Paris qui doivent filtrer.
 
 Le décret ne concerne que la méthode (blocage DNS) et la rémunération
 (sur justificatifs) des personnes assignées *et* dont l'activité est de
 fournir un accès.

Tout à fait, la loi sur les jeux d'argent qui permet à l'ARJEL de
demander le blocage des sites illégaux existe depuis 2010, c'est juste
le décret sur la méthode et la rémunération qui vient de sortir.

D'ailleurs certains avaient fait remarquer à l'époque que la majorité
des décrets étaient sortis très rapidement après la loi (donc avant le
mondial 2010) mais que pour rembourser les FAI ils n'avaient pas eu le
temps...

La loi a déjà été appliquée, sur deux cas seulement il me semble
(StanJames et 5Dimes), donc avant ce décret. Dans ces deux cas les FAI
concernés étaient Bouygues Telecom, Darty Télécom, Free, Numericable,
Orange, SFR et Auchan Telecom (assignés devant le TGI de Paris puis
devant bloquer le site).

Une évolution notable sur la méthode : dans ces deux cas le juge
demandait de mettre en œuvre toutes mesures propres à empêcher l’accès
aux sites (donc au choix IP, DNS, DPI...). Quelques mois plus tard il y
a eu un jugement du même type dans l'affaire Copwatch (voir le blog de
Spyou pour les détails), et cette fois le juge a pris en compte le fait
que le DPI serait complexe et coûteux et demandait un blocage par IP ou
DNS uniquement.

Maintenant le décret précise que ce sera par le DNS pour les jeux en
ligne (donc pas par DPI). Voir ici la réaction de Stéphane, qui doit
sûrement être accroc aux jeux d'argent :
http://www.bortzmeyer.org/arjel.html

Pour le remboursement aux FAI ça me paraît très vague, chacun demande ce
qu'il veut (sur justificatifs) et c'est le CGIET qui vérifie. Pour
l'HADOPI il me semble que c'est encore pire et qu'on attend toujours ?

Je m'interroge sur le moment où on met fin au blocage. Je ne suis pas
sûr que l'ARJEL mette autant d'empressement à demander le retrait des
filtres que leur ajout. Par exemple StanJames a fini par bloquer son
site aux internautes français (enfin ceux qui se présentent avec une IP
devant être en France). Donc on devrait dire aux FAI de retirer le
filtre DNS correspondant. Ce sera fait par qui et comment ? ...

Et en effet ce serait bien que quelqu'un quelque part gère une liste à
jour des noms bloqués et par quels FAI...

Patrick.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2011-12-10 Par sujet Benjamin BAYART
Le Fri, Dec 09, 2011 at 08:44:44AM +0100, Stephane Bortzmeyer:
 
  Je ne peux qu'approuver, mais les cas sont différents. Le port 25 en
  filtré par le réseau. Le DNS est filtré par un service. Ça n'a rien à
  voir.
 
 Pas d'accord. OK, techniquement, l'un est en couche 4, l'autre en
 7. Mais c'est juste un détail technique. Dans les deux cas, c'est de
 l'infrastructure (i.e. ce qui est nécessaire pour rendre un service
 mais qui n'est pas un service en soi, sauf si on s'est abonné à
 l'Internet pour faire du traceroute et du dig). Dans les deux cas,
 c'est géré par le FAI. Dans les deux cas, c'est filtré par lui.

Je ne suis pas d'accord. Ou plus exactement, je ne suis que très
partiellement d'accord.

Je ne suis pas tenu d'utiliser les DNS de mon FAI, tout comme je ne
suis pas tenu d'utiliser son infrastructure de mail, tout comme je ne
suis pas tenu d'utiliser son serveur web pour installer mes pages
perso. Par contre, s'il touche aux couches 3/4, je ne peux plus rien
faire, sauf changer de fournisseur, là où c'est possible.

Je t'accorde que pour l'utilisateur moyen, qui a déjà du mal à différencier
le réseau de son navigateur, tout ça, c'est bien pareil.

Mais quand on va sur cette voie là, qu'on suppose que l'utilisateur
est idiot, et qu'on range tout dans un large blob étiqueté réseau,
avec dedans les services, les infras, le routage, alors on rend les
débats illisibles. On se met à dire que le DNS-resolver du FAI doit
être neutre. Que du coup son mail aussi (et donc l'anti-spam doit
être sous contrÔle fin de l'utilisateur). Que du coup le moteur de
recherche de Google aussi. Que du coup les sites de services aussi
doivent être neutre. Que donc le Figaro est prié de relayer les
thèses du NPA en leur accordant autant de place et de sérieux que
celles de l'UMP. Et la conclusion, c'est que ton blog est une chaîne
de télévision, tout comme TF1, et que le CSA est légitime à te
contrÔler. Et au final tu es tenu de n'exprimer que des opinions
neutres, qui sont priées d'être conformes aux moyennes constatées
par les sondeurs.

L'erreur dans ce raisonnement est le point de départ: les utilisateurs
sont assez intelligents pour choisir des services qui leur conviennent.
Donc la neutralité des services n'a pas une grande importance, elle
relève tout au plus de l'assistance aux personnes qui ne se sont pas
encore bien adaptées à l'environnement numérique, et n'aura plus grande
importance sous peu. Par contre, les utilisateurs et les services
dépendent tous les deux du réseau, qui est une ressource commune
essentielle et non-remplacable localement.

Je fais une différence énorme entre la couche 3/4, sur laquelle ton
FAI détient de fait un monopole local (on peut tranquilement considérer
que d'avoir deux FAI chez soi relève du fantasme, sauf à distribuer
des AS 64 bits à tout le monde...); et les couches au-dessus où ton
FAI ne détient aucun monopole naturel.

  Si tu veux un DNS non filtré, je préconise aptitude install bind
 
 Plusieurs remarques à ce sujet. D'abord, je mets ma casquette
 d'employé de l'AFNIC : si tout le monde fait cela, il va falloir
 augmenter les impôts pour nous payer de nouveaux serveurs. En effet,
 comme il n'y aura plus de caches partagés, les serveurs faisant
 autorité souffriront davantage.

Oui. Plus le réseau sera abimé par les margoulins, plus les gens se
passeront des services des malfaisants, ce qui augmentera l'entropie
du réseau. On l'a vu déjà: la lutte acharnée contre le P2P, par les FAI
pour épargner 3 sous de bande passante, par les cultureux pour assurer
leur rente viagère, ont aidé au développement du streaming/ddl plus
ou moins mafieux. On a remplacé un protocole léger, et peu contraignant
pour le réseau par ce qu'on a trouvé de plus affreux à transporter,
créant des instabilités toujours plus grandes.

Internet, quand on le laisse se développer normalement, sans créer
de centre, est naturellement assez stable. Quand on lutte contre ce
fonctionnement, on le rend instable. En pourissant les DNS caches
répartis, on augmente la charge sur les serveurs centraux, et donc
on rend l'ensemble moins stable.

Reste que, ce n'est pas la même chose que de porter atteinte à la
neutralité du réseau. On peut trouver deux comportement malfaisants
chez les mêmes acteurs (ici, les FAI) sans pour autant devoir donner
le même nom aux deux comportements.

 Mettre sur le résolveur de ta machine des forwarders vers des caches
 partagés (Telecomix ?) aiderait.

Oh, moi, j'utilise le DNS de FDN. Il fonctionne, et il ne ment pas.
Après, on a le FAI qu'on mérite :p


B.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2011-12-09 Par sujet Pierre Emeriaud
Le 9 décembre 2011 08:54, Stephane Bortzmeyer bortzme...@nic.fr a écrit :

 Bien d'accord. Ceci dit, le service DNS de Free a des tas d'autres
 faiblesses :


il a aussi au moins un avantage par rapport à $AUTRE_RESOLVER :

petrus@seth:~$ dig +short google.com 
2a00:1450:400c:c01::93

petrus@seth:~$ dig +short youtube.com 
2a00:1450:400c:c01::be


Les réseaux ipv6 ne sont pas encore tous whitelistés au niveau de chez Google.

L'ipv6 est maintenant activé par défaut chez Free en dégroupé. On peut
critiquer les choix technologiques, mais ça marche, et maintenant Mme
Michu consulte des vidéos de chats sur youtube en utilisant ipv6.



- pierre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2011-12-09 Par sujet Yves KONDOSZEK
Le Fri, 9 Dec 2011 08:45:28 +0100, Stephane Bortzmeyer
bortzme...@nic.fr a écrit :

  Chez moi, c'est yum install bind, 
 
 Décidement, tout le monde aime les failles de sécurité et les patches
 à appliquer en urgence...

Bah c'est-à-dire que je veux pas troller mais niveau failles de
sécurité, je me souviens d'une époque où aptitude install openssl
faisait rire ceux qui utilisaient yum install openssl.

Ah beh si tiens, j'ai trollé, mais on est vendredi, c'est permis.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2011-12-09 Par sujet Yves KONDOSZEK
Le Fri, 9 Dec 2011 08:54:34 +0100, Stephane Bortzmeyer
bortzme...@nic.fr a écrit :

 1) Pas moyen de configurer le serveur DHCP de la Freebox pour
 distribuer d'autres serveurs de noms que ceux de Free (si on installe
 un résolveur local, il faut aussi mettre un serveur DHCP local, ou
 bien reconfigurer toutes les machines)

C'est faux en ce qui concerne la Freebox v6, au moins avec le dernier
firmware.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2011-12-09 Par sujet Damien Fleuriot


On 12/9/11 12:45 AM, Benjamin BAYART wrote:
 Le Thu, Dec 08, 2011 at 05:09:36PM +0100, Paul Rolland:

 Et la ou ca serait vraiment bien, parce que chez Free, vous savez le faire,
 c'est une option dans l'admin pour faire du Opt-In/Opt-Out sur les
 fonctions de filtrage que vous mettez en place. On l'a pour le mail, ce qui
 permet d'avoir un serveur a la maison, et de faire sur smtp-out comme un
 grand, pourquoi pas aussi le DNS et les autres... en esperant qu'il n'y en
 ait pas d'autre !
 
 Je ne peux qu'approuver, mais les cas sont différents. Le port 25 en
 filtré par le réseau. Le DNS est filtré par un service. Ça n'a rien à
 voir.
 
 Si tu veux un DNS non filtré, je préconise aptitude install bind :)
 Ça, pour le moment, ce n'est pas filtré. Mais ça viendra :(
 


1/ Par le DHCP, diriger les gens qui ont opté pour le filtrage sur des
serv DNS qui ont le filtrage d'activé.

2/ Envoyer les adresses de nameservers sans filtrage pour les autres.

3/ ???

4/ Profit !


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2011-12-09 Par sujet Ronan Keryell
 On Fri, 9 Dec 2011 08:44:44 +0100, Stephane Bortzmeyer 
 bortzme...@nic.fr said:

Stephane http://www.bortzmeyer.org/port53-filtre.html

Stephane Unbound permet de faire du DNS-over-TLS (non normalisé)
Stephane vers un serveur extérieur, pour contourner les filtres
Stephane (c'est dans les toutes dernières versions, pas sur la
Stephane Debian stable que tu utilises).

Je pense qu'il faut à la base arrêter de tuer Internet.
C'était mieux avant (quand nous utilisions tous les 2 Internet dans les
années 80... :-) ).

Doit-on vraiment revenir au bon vieux hosts.txt
(http://tools.ietf.org/html/rfc952 pour ceux qui ont oublié ou plus
probablement ici n'ont jamais connu) face à tous ces délires de filtrage
et de résolution de faux problèmes imaginaires pour le bonheur de
l'utilisateur comme dans toute dictature qui se respecte ?

Stop ! On s'arrête !
-- 
  Ronan KERYELL  |\/  Phone:  +1 408 844 4720
  Wild Systems / HPC Project, Inc.   |/)  Cell:   +33 613 143 766
  5201 Great America Parkway #3241   Kronan.kery...@hpc-project.com
  Santa Clara, CA 95054  |\   skype:keryell
  USA| \  http://hpc-project.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2011-12-08 Par sujet ポール・ロラン
Bonjour,

On Thu, 8 Dec 2011 16:59:27 +0100
Stephane Bortzmeyer bortzme...@nic.fr wrote:

 On Thu, Dec 08, 2011 at 04:49:26PM +0100,
  Damien Fleuriot m...@my.gd wrote 
  a message of 40 lines which said:
 
  Alors là j'ai envie de dire, en quoi le filtrage DNS par l'ISP répond à
  cette problématique ?
 
 L'explication de Frédéric Gander est très incomplète. L'attaque par
 changement ne nécessite pas de VPN (cf. mon article). 

Effectivement, merci a Stephane et a Frederic pour leurs explications
respectives.

Maintenant, et sans vouloir lancer des trolls velus par avance, je suis
vraiment desole que tout cela se fasse sans informer l'utilisateur final,
qui se trouve aussi etre client...

Et la ou ca serait vraiment bien, parce que chez Free, vous savez le faire,
c'est une option dans l'admin pour faire du Opt-In/Opt-Out sur les
fonctions de filtrage que vous mettez en place. On l'a pour le mail, ce qui
permet d'avoir un serveur a la maison, et de faire sur smtp-out comme un
grand, pourquoi pas aussi le DNS et les autres... en esperant qu'il n'y en
ait pas d'autre !

Apres tout, j'aimerais bien savoir a quelles portions d'Internet je peux
avoir acces et la ou c'est filtre...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2011-12-08 Par sujet Radu-Adrian Feurdean

On Thu, 8 Dec 2011 16:59:27 +0100, Stephane Bortzmeyer
bortzme...@nic.fr said:

 L'explication de Frédéric Gander est très incomplète. L'attaque par
 changement ne nécessite pas de VPN (cf. mon article). 

Non, mais le VPN c'est la cerise sur le gateau pour l'attaquant. Ca
rapporte des clients.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2011-12-08 Par sujet Benjamin BAYART
Le Thu, Dec 08, 2011 at 05:09:36PM +0100, Paul Rolland:
 
 Et la ou ca serait vraiment bien, parce que chez Free, vous savez le faire,
 c'est une option dans l'admin pour faire du Opt-In/Opt-Out sur les
 fonctions de filtrage que vous mettez en place. On l'a pour le mail, ce qui
 permet d'avoir un serveur a la maison, et de faire sur smtp-out comme un
 grand, pourquoi pas aussi le DNS et les autres... en esperant qu'il n'y en
 ait pas d'autre !

Je ne peux qu'approuver, mais les cas sont différents. Le port 25 en
filtré par le réseau. Le DNS est filtré par un service. Ça n'a rien à
voir.

Si tu veux un DNS non filtré, je préconise aptitude install bind :)
Ça, pour le moment, ce n'est pas filtré. Mais ça viendra :(

B.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?

2011-12-08 Par sujet ポール・ロラン
Bonjour,

On Fri, 9 Dec 2011 00:45:48 +0100
Benjamin BAYART baya...@edgard.fdn.fr wrote:

 Je ne peux qu'approuver, mais les cas sont différents. Le port 25 en
 filtré par le réseau. Le DNS est filtré par un service. Ça n'a rien à
 voir.
Ca a a voir puisque qq'un decide pour moi de ce que je vois d'Internet, la
ou je voudrais de la transparence, soit sur les paquets, soit sur les
traitements (paquets/services) qui sont faits.

A quand une charte de la transparence chez nos FAI ?
 
 Si tu veux un DNS non filtré, je préconise aptitude install bind :)
 Ça, pour le moment, ce n'est pas filtré. Mais ça viendra :(
Chez moi, c'est yum install bind, c'est fait depuis pas mal de temps...
et j'espere que ca ne sera jamais filtre !

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/