A place to cache linked articles (think custom and personal wayback machine)
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

index.md 23KB

4 vuotta sitten
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272
  1. title: Censure administrative du Web en France, un premier regard technique
  2. url: http://www.bortzmeyer.org/censure-francaise.html
  3. hash_url: d364c29236912a63c6218b7d61a0c975
  4. <div class="para"><p>Prenons l'exemple de <code>http://islamic-news.info/</code>
  5. dont, je suppose, d'après son nom de domaine, qu'il s'agit d'un site
  6. de propagande <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Islamisme" title="Consultez l'article &quot;Islamisme&quot; de l'encyclopédie libre Wikipedia">intégriste</a></b> (je n'ai pas pu le
  7. consulter, pas à cause de la censure française, facile à contourner,
  8. mais parce qu'il semble en panne). Si on essaie de le consulter depuis
  9. un <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Fournisseur%20d'acc%C3%A8s%20%C3%A0%20Internet" title="Consultez l'article &quot;Fournisseur d'accès à Internet&quot; de l'encyclopédie libre Wikipedia">FAI</a></b> français typique, on obtient à la place
  10. une page Web avec une main rouge menaçante (une référence historique
  11. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/La%20Main%20rouge%20(groupe%20arm%C3%A9)" title="Consultez l'article &quot;La Main rouge (groupe armé)&quot; de l'encyclopédie libre Wikipedia">très
  12. malencontreuse</a></b>, pour une décision étatique, il aurait mieux valu utiliser une
  13. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Main%20de%20justice" title="Consultez l'article &quot;Main de justice&quot; de l'encyclopédie libre Wikipedia">main de justice</a></b>) et un texte TOUT EN
  14. MAJUSCULES « VOUS AVEZ ÉTÉ REDIRIGÉ
  15. VERS CE SITE OFFICIEL
  16. CAR VOTRE ORDINATEUR
  17. ALLAIT SE CONNECTER
  18. À UNE PAGE DONT
  19. LE CONTENU PROVOQUE
  20. À DES ACTES
  21. DE TERRORISME
  22. OU FAIT PUBLIQUEMENT
  23. L'APOLOGIE
  24. D'ACTES DE TERRORISME ». Comment est-ce réalisé ?</p></div>
  25. <div class="para"><p>Les différents textes officiels sur ces mesures de censure
  26. n'imposaient pas aux FAI une technique particulière mais les
  27. conditions de mise en œuvre (liste noire de <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Nom%20de%20domaine" title="Consultez l'article &quot;Nom de domaine&quot; de l'encyclopédie libre Wikipedia">noms de
  28. domaine</a></b> « Les adresses électroniques figurant sur la liste [noire] comportent soit un nom de domaine (DNS), soit un nom d'hôte caractérisé par un nom de domaine précédé d'un nom de serveur », obligation de rediriger vers « CE SITE OFFICIEL »
  29. situé au <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Minist%C3%A8re%20de%20l'Int%C3%A9rieur%20(France)" title="Consultez l'article &quot;Ministère de l'Intérieur (France)&quot; de l'encyclopédie libre Wikipedia">ministère de l'Intérieur</a></b>), fait que la
  30. solution la plus simple est de mettre en place un résolveur <a href="dns-menteur.html" title="Consultez ce blog à propos de &quot;dns-menteur&quot;">DNS menteur</a>. Ce résolveur est la machine
  31. qui répond normalement aux requêtes <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Domain%20Name%20System" title="Consultez l'article &quot;Domain Name System&quot; de l'encyclopédie libre Wikipedia">DNS</a></b> de
  32. l'utilisateur, en lui donnant l'<b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/adresse%20IP" title="Consultez l'article &quot;adresse IP&quot; de l'encyclopédie libre Wikipedia">adresse IP</a></b> du
  33. serveur à contacter. (Au passage, une explication plus grand public du
  34. DNS avait été faite <a href="http://owni.fr/2012/07/05/internet-par-la-racine/">par Andréa
  35. Fradin</a>.)
  36. Essayons avec <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Dig%20(programme%20informatique)" title="Consultez l'article &quot;Dig (programme informatique)&quot; de l'encyclopédie libre Wikipedia">dig</a></b> depuis une machine au
  37. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Japon" title="Consultez l'article &quot;Japon&quot; de l'encyclopédie libre Wikipedia">Japon</a></b>, pour voir la vraie adresse IP :
  38. </p><pre>
  39. % dig +short A islamic-news.info
  40. 37.59.14.72
  41. </pre><p>
  42. Et depuis un FAI français (<b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Free%20(entreprise)" title="Consultez l'article &quot;Free (entreprise)&quot; de l'encyclopédie libre Wikipedia">Free</a></b>, mais on verra
  43. plus loin qu'il n'est pas le seul) :
  44. </p><pre>
  45. % dig +short A islamic-news.info
  46. 90.85.16.52
  47. </pre><p>
  48. L'adresse obtenue est différente, il y a bien un résolveur DNS menteur. Si on utilise un résolveur DNS
  49. public comme <a href="google-dns.html" title="Consultez ce blog à propos de &quot;google-dns&quot;">Google Public DNS</a>, on a
  50. également la vraie adresse IP :
  51. </p><pre>
  52. % dig @8.8.4.4 +short A islamic-news.info
  53. 37.59.14.72
  54. </pre><p>
  55. Est-ce bien ce trompeur <code>90.85.16.52</code> qui est le
  56. site officiel servant la « main rouge » ? Testons-le en
  57. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Hypertext%20Transfer%20Protocol" title="Consultez l'article &quot;Hypertext Transfer Protocol&quot; de l'encyclopédie libre Wikipedia">HTTP</a></b>. Il y a plusieurs méthodes pour cela mais
  58. j'ai utilisé une des plus simples, mettre dans mon fichier local
  59. <code>/etc/hosts</code> l'adresse de ce site pour un nom
  60. bidon :
  61. </p><pre>
  62. % cat /etc/hosts
  63. ...
  64. 90.85.16.52 front-liberation-potamocheres.example
  65. </pre><p>
  66. Et, en visitant
  67. <code>http://front-liberation-potamocheres.example/</code>,
  68. j'ai bien la page à la main rouge. On peut bien sûr tester
  69. directement <code>http://90.85.16.52/</code> mais des astuces
  70. techniques utilisées par le ministère font que cela ne marche pas
  71. toujours si le champ <code>Host:</code> indique une adresse IP, et qu'on récupère parfois un 403
  72. <i class="foreign" xml:lang="en">Forbidden</i>. Si vous ne voulez pas modifier votre
  73. <code>/etc/hosts</code> comme moi, vous pouvez vous servir des
  74. noms créés par Pierre Beyssac, <code><a href="http://interieur0.eu.org/"><code>http://interieur0.eu.org/</code></a></code>, <code><a href="http://interieur1.eu.org/"><code>http://interieur1.eu.org/</code></a></code> ou <code><a href="http://interieur2.eu.org/"><code>http://interieur2.eu.org/</code></a></code>.</p></div>
  75. <div class="para"><p>Si vous voulez tester avec d'autres
  76. noms de domaine censurés, vous pouvez essayer
  77. <code>jihadmin.com</code>,
  78. <code>is0lamnation.blogspot.fr</code>,
  79. <code>mujahida89.wordpress.com</code>, ou
  80. <code>alhayatmedia.wordpress.com</code> (sans que j'en
  81. recommande leur contenu, œuvre des crapules intégristes !).</p></div>
  82. <div class="para"><p>Notez que cela veut dire que le ministère de l'Intérieur est au
  83. courant de mon intérêt pour <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Potamoch%C3%A8re" title="Consultez l'article &quot;Potamochère&quot; de l'encyclopédie libre Wikipedia">cet
  84. animal</a></b> : avec ce système, l'utilisateur est redirigé,
  85. <b class="emphasis">à son insu</b>, vers un
  86. serveur Web du ministère de l'Intérieur, qui aura accès, via le champ HTTP
  87. <code>Host:</code> (<a href="7230.html" class="rfc" title="Consultez l'analyse du RFC 7230">RFC 7230</a>, section 5.4) au nom originellement demandé. Lourde responsabilité pour le FAI
  88. qui, en configurant son résolveur DNS pour rediriger, fait cette
  89. redirection, il envoie ses clients vers un site qui saura si on aime
  90. les potamochères, le djihad ou les photos pédophiles.</p></div>
  91. <div class="para"><p>Voici, vue avec <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Wireshark" title="Consultez l'article &quot;Wireshark&quot; de l'encyclopédie libre Wikipedia">tshark</a></b>, la
  92. requête HTTP qu'envoie votre machine au serveur géré par le ministère
  93. de l'Intérieur, où on voit bien le champ <code>Host</code> :
  94. </p><pre>
  95. Internet Protocol Version 4, Src: 192.168.2.1 (192.168.2.1), Dst: 90.85.16.52 (90.85.16.52)
  96. Transmission Control Protocol, Src Port: 56532 (56532), Dst Port: http (80), Seq: 450, Ack: 311, Len: 468
  97. Hypertext Transfer Protocol
  98. GET / HTTP/1.0\r\n
  99. Host: front-liberation-potamocheres.example\r\n
  100. User-Agent: Mozilla/5.0 (X11; Linux i686; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.4.0\r\n
  101. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n
  102. Accept-Language: en-US,en;q=0.5\r\n
  103. Accept-Encoding: gzip, deflate\r\n
  104. Pragma: no-cache\r\n
  105. Connection: keep-alive\r\n
  106. \r\n
  107. [Full request URI: http://front-liberation-potamocheres.example/]
  108. </pre><p>
  109. On voit également que <b class="emphasis">votre</b> adresse IP source
  110. apparait mais on y voit moins (c'est dans le reste de la connexion)
  111. que votre navigateur Web envoie également bien d'autres informations
  112. qui peuvent vous identifier, et qui sont peut-être également
  113. journalisées. (Voir le <a href="https://panopticlick.eff.org/">Panopticlick</a> pour une
  114. impressionnante démonstration.)
  115. Donc, ce « SITE OFFICIEL » part d'une bonne intention (rendre la
  116. censure explicite, comme <a href="censure-a-dubai.html" title="Consultez ce blog à propos de &quot;censure-a-dubai&quot;">à Dubaï</a>)
  117. mais a des conséquences très dangereuses. Pour s'amuser un peu, dans
  118. ce monde de brutes, on peut d'ailleurs utiliser cette propriété pour
  119. envoyer un message bien senti à ceux qui lisent ces <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Historique%20(informatique)" title="Consultez l'article &quot;Historique (informatique)&quot; de l'encyclopédie libre Wikipedia">journaux</a></b>, avec
  120. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/cURL" title="Consultez l'article &quot;cURL&quot; de l'encyclopédie libre Wikipedia">curl</a></b> (attention, cela se fera avec
  121. <b class="emphasis">votre</b> <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/adresse%20IP" title="Consultez l'article &quot;adresse IP&quot; de l'encyclopédie libre Wikipedia">adresse IP</a></b> : le but
  122. est de prendre position, pas de se cacher) :
  123. </p><pre>
  124. % curl -o /dev/null -H "Host: Halte a la censure administrative du Web" \
  125. -H "X-Charlie: Je suis Charlie" \
  126. http://90.85.16.52/\?$RANDOM
  127. </pre></div>
  128. <div class="para"><p>Une solution technique pour éviter que vos utilisateurs soient
  129. redirigés à leur insu vers un serveur HTTP qui va noter leur adresse
  130. et peut-être d'autres informations, est de bloquer les accès à ce
  131. serveur. Une requête <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/whois" title="Consultez l'article &quot;whois&quot; de l'encyclopédie libre Wikipedia">whois</a></b> montre que ce
  132. serveur est dans la plage <code>90.85.16.32/27</code> (notez
  133. que rien n'indique de lien avec le ministère de l'Intérieur, on a
  134. juste un nom, à <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Metz" title="Consultez l'article &quot;Metz&quot; de l'encyclopédie libre Wikipedia">Metz</a></b>). Pour bloquer cette
  135. plage, si on utilise <a href="filtrage-avec-shorewall.html" title="Consultez ce blog à propos de &quot;filtrage-avec-shorewall&quot;">Shorewall</a>, ce sera dans
  136. <code>/etc/shorewall/blacklist</code> quelque
  137. chose comme :
  138. </p><pre>
  139. # 2015-03-16: may do logging of visitors (French censorship system)
  140. 90.85.16.32/27
  141. </pre><p>
  142. Si vous utilisez directement <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Netfilter" title="Consultez l'article &quot;Netfilter&quot; de l'encyclopédie libre Wikipedia">Netfilter</a></b>, ce sera
  143. une commande du genre :
  144. </p><pre>
  145. # iptables --insert OUTPUT --destination 90.85.16.32/27 --jump REJECT
  146. </pre></div>
  147. <div class="para"><p>Notez que la <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Commission%20nationale%20de%20l'informatique%20et%20des%20libert%C3%A9s" title="Consultez l'article &quot;Commission nationale de l'informatique et des libertés&quot; de l'encyclopédie libre Wikipedia">CNIL</a></b> avait formulé <a href="http://legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000030236542&amp;dateTexte=&amp;oldAction=dernierJO&amp;categorieLien=id">un
  148. avis sur ce point</a>, et noté que « [les textes officiels ne] permet ni la collecte ni l'exploitation, par l'<b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Office%20central%20de%20lutte%20contre%20la%20criminalit%C3%A9%20li%C3%A9e%20aux%20technologies%20de%20l'information%20et%20de%20la%20communication" title="Consultez l'article &quot;Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication&quot; de l'encyclopédie libre Wikipedia">OCLCTIC</a></b>, des données
  149. de connexion des internautes qui seraient redirigés vers la page
  150. d'information du ministère de l'intérieur. Elle [la CNIL] rappelle que si des
  151. traitements de données à caractère personnel spécifiques étaient
  152. alimentés par ces données, ils devraient être soumis à l'examen
  153. préalable de la commission. » Bref, la CNIL ne se mouille pas. Pas
  154. d'avis concret, du genre « l'adresse
  155. IP source et le champ <code>Host:</code> ne devront
  156. <b class="emphasis">pas</b> être journalisés", ce qui serait la moindre
  157. des choses, et laisserait quand même le ministère de l'Intérieur faire des
  158. statistiques sur le nombre de visiteurs des sites censurés. (Note
  159. technique au passage, si vous utilisez <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Apache%20HTTP%20Server" title="Consultez l'article &quot;Apache HTTP Server&quot; de l'encyclopédie libre Wikipedia">Apache</a></b>,
  160. la directive pour journaliser l'adresse IP source est
  161. <code>%h</code> - ou <code>%a</code> - et celle pour le champ
  162. <code>Host:</code> est <code>%v</code>. Ce sont ces deux
  163. directives qu'il faudrait retirer du <code>LogFormat</code> du ministère
  164. pour ne pas fliquer les utilisateurs. Cf. <a href="http://httpd.apache.org/docs/2.2/fr/mod/mod_log_config.html#logformat">la
  165. documentation d'Apache</a>.)</p></div>
  166. <div class="para"><p>Le décret cité au début comprend plusieurs motifs de censure, et on
  167. note que l'hébergeur a prévu des sites Web différents, avec des
  168. messages différents, selon le motif. Comparez les messages en <a href="http://90.85.16.52/"><code>http://90.85.16.52/</code></a> (terrorisme), <a href="http://90.85.16.51/"><code>http://90.85.16.51/</code></a> (pédophilie) et <a href="http://90.85.16.50/"><code>http://90.85.16.50/</code></a> (le reste, non spécifié).</p></div>
  169. <div class="para"><p>Continuons avec d'autres détails techniques : le « SITE OFFICIEL »
  170. est sans doute en place depuis très peu de temps car <a href="dnsdb.html" title="Consultez ce blog à propos de &quot;dnsdb&quot;">DNSDB</a> (qui n'est <b class="emphasis">pas</b> temps réel,
  171. loin de là), n'a pas encore vu de noms se résolvant en
  172. <code>90.85.16.52</code> (DNSDB permet de chercher par le
  173. contenu de la réponse DNS, pas juste par le nom demandé). Il est vrai
  174. que DNSDB a probablement peu ou pas de capteurs en France (je n'ai rien vu
  175. non plus sur les bases équivalentes comme <a href="passivedns-cn.html" title="Consultez ce blog à propos de &quot;passivedns-cn&quot;">PassiveDNS.cn</a>.)</p></div>
  176. <div class="para"><p>Quant au type de serveur <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/HTTP" title="Consultez l'article &quot;HTTP&quot; de l'encyclopédie libre Wikipedia">HTTP</a></b> utilisé, il
  177. prétend être un <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/nginx" title="Consultez l'article &quot;nginx&quot; de l'encyclopédie libre Wikipedia">nginx</a></b> (dans l'en-tête HTTP
  178. <code>Server:</code>) mais il ressemble plutôt à un
  179. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Apache" title="Consultez l'article &quot;Apache&quot; de l'encyclopédie libre Wikipedia">Apache</a></b> : le message d'erreur en cas d'accès
  180. refusé (testez <code>http://90.85.16.51/server-status</code>)
  181. et le fait que les <i class="foreign" xml:lang="en">Etags</i> ont le <a href="http://stackoverflow.com/a/44939/15625">format Apache</a> à
  182. trois champs, pas le <a href="http://trac.nginx.org/nginx/browser/nginx/src/http/ngx_http_core_module.c?rev=942283a53c289397131c9c2d1e0909af869fd4a4#L1802">format
  183. nginx à deux champs</a> (analyse faite par Kim-Minh Kaplan, merci).</p></div>
  184. <div class="para"><p>Quelle est l'ampleur du déploiement de ces DNS menteurs ? Pour
  185. cela, on va utiliser les <a href="https://atlas.ripe.net/">sondes
  186. Atlas</a>, petits ordinateurs placés un peu partout, et
  187. interrogeables via <a href="atlas-udm.html" title="Consultez ce blog à propos de &quot;atlas-udm&quot;">leur API</a>. Avec le programme <a href="https://github.com/RIPE-Atlas-Community/ripe-atlas-community-contrib/blob/master/resolve-name.py">resolve-name.py</a>,
  188. on va interroger les résolveurs DNS des sondes Atlas allemandes, pour
  189. commencer :
  190. </p><pre>
  191. % python resolve-name.py --country=DE islamic-news.info
  192. Measurement #1895738 for islamic-news.info/A uses 499 probes
  193. Probe 4407 failed (trailing junk)
  194. [] : 16 occurrences
  195. [37.59.14.72] : 677 occurrences
  196. Test done at 2015-03-15T16:03:37Z
  197. </pre><p>
  198. Toutes (sauf quelques-unes qui n'ont pas pu résoudre du tout le nom)
  199. trouvent la bonne adresse. (Il y a davantage de résultats que de
  200. sondes car chaque sonde fait plusieurs essais.) Essayons en France :
  201. </p><pre>
  202. % python resolve-name.py --country=FR islamic-news.info
  203. Measurement #1895736 for islamic-news.info/A uses 498 probes
  204. [] : 22 occurrences
  205. [90.85.16.52] : 346 occurrences
  206. [37.59.14.72] : 403 occurrences
  207. Test done at 2015-03-15T15:39:15Z
  208. </pre><p>
  209. À peu près la moitié des sondes Atlas en France voient la
  210. censure. Notez que les sondes Atlas ne sont pas du tout
  211. représentatives : installées par des volontaires, sans doute dans des
  212. réseaux plus <i class="foreign" xml:lang="en"><b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Geek" title="Consultez l'article &quot;Geek&quot; de l'encyclopédie libre Wikipedia">geeks</a></b></i> que la
  213. moyenne, elles ont plus de chances d'avoir un résolveur local non
  214. menteur (voir plus loin, pour cette solution anti-censure).</p></div>
  215. <div class="para"><p>Par défaut, ce programme fait des requêtes de type
  216. <code>A</code> (demande d'une adresse
  217. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/IPv4" title="Consultez l'article &quot;IPv4&quot; de l'encyclopédie libre Wikipedia">IPv4</a></b>). On peut lui demander ce qu'il en est
  218. pour les <code>AAAA</code> (demande d'une adresse
  219. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/IPv6" title="Consultez l'article &quot;IPv6&quot; de l'encyclopédie libre Wikipedia">IPv6</a></b>). Normalement, il ne devrait pas y avoir
  220. de réponse (le nom n'a pas d'adresse IPv6 associé) mais un FAI a
  221. trouvé le moyen de mentir pour IPv6 et quel mensonge :
  222. </p><pre>
  223. % python resolve-name.py -t AAAA -c FR islamic-news.info
  224. Measurement #1895755 for islamic-news.info/AAAA uses 498 probes
  225. [] : 586 occurrences
  226. [::1] : 191 occurrences
  227. Test done at 2015-03-15T20:25:57Z
  228. </pre><p>
  229. Il renvoie, non pas vers la page du gouvernement, mais vers la machine locale...
  230. </p></div>
  231. <div class="para"><p>Et si on regarde par <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Autonomous%20System" title="Consultez l'article &quot;Autonomous System&quot; de l'encyclopédie libre Wikipedia">AS</a></b> et plus par pays :
  232. </p><pre>
  233. % python resolve-name.py --as=3215 islamic-news.info
  234. Measurement #1895737 for islamic-news.info/A uses 133 probes
  235. [90.85.16.52] : 189 occurrences
  236. [37.59.14.72] : 32 occurrences
  237. Test done at 2015-03-15T15:59:52Z
  238. % python resolve-name.py --as=20766 islamic-news.info
  239. Measurement #1895739 for islamic-news.info/A uses 4 probes
  240. [37.59.14.72] : 5 occurrences
  241. Test done at 2015-03-15T16:06:34Z
  242. </pre><p>
  243. Le premier AS est celui d'<b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Orange%20(entreprise)" title="Consultez l'article &quot;Orange (entreprise)&quot; de l'encyclopédie libre Wikipedia">Orange</a></b>, où il semble
  244. que la majorité des sondes voient le résolveur légal. Le second est
  245. celui de <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Gitoyen" title="Consultez l'article &quot;Gitoyen&quot; de l'encyclopédie libre Wikipedia">Gitoyen</a></b>, dont les clients (comme
  246. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/French%20Data%20Network" title="Consultez l'article &quot;French Data Network&quot; de l'encyclopédie libre Wikipedia">FDN</a></b>) ont plus de chances d'utiliser un
  247. résolveur non-menteur. (Notez toutefois que le faible nombre de sondes
  248. doit rendre prudent dans l'analyse.)</p></div>
  249. <div class="para"><p>Et <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Domain%20Name%20System%20Security%20Extensions" title="Consultez l'article &quot;Domain Name System Security Extensions&quot; de l'encyclopédie libre Wikipedia">DNSSEC</a></b> ? Est-ce qu'il résoudrait ce
  250. problème ? Non, car la validation est faite dans le résolveur. S'il
  251. est menteur, le fait de valider ne changera rien. Seul avantage, les gens qui valident avec DNSSEC ne verront pas la page
  252. d'information du ministère de l’intérieur (et ne seront pas
  253. enregistrés par ledit ministère) puisque le mensonge dans
  254. le résolveur entraînera une erreur (<code>SERVFAIL</code> :
  255. <code>Server Failure</code>) sur les domaines signés (ce qui
  256. n'est de toute façon pas le cas de <code>islamic-news.info</code>).</p></div>
  257. <div class="para"><p>À propos de <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/cryptographie" title="Consultez l'article &quot;cryptographie&quot; de l'encyclopédie libre Wikipedia">cryptographie</a></b>, notez que le site
  258. vers lequel on est redirigé n'a <b class="emphasis">pas</b>
  259. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/HTTPS" title="Consultez l'article &quot;HTTPS&quot; de l'encyclopédie libre Wikipedia">HTTPS</a></b>. Cela veut dire que le djihadiste ou le
  260. pédophile prudent, qui n'utilise que HTTPS, ne verra jamais la jolie
  261. main rouge (juste un <i class="foreign" xml:lang="en">timeout</i>).</p></div>
  262. <div class="para"><p>Quelles solutions sont disponibles si on veut quand même voir la
  263. propagande <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Djihadisme" title="Consultez l'article &quot;Djihadisme&quot; de l'encyclopédie libre Wikipedia">djihadiste</a></b> ? La seule solution
  264. propre techniquement est d'avoir <a href="son-propre-resolveur-dns.html" title="Consultez ce blog à propos de &quot;son-propre-resolveur-dns&quot;">son propre résolveur DNS</a>. En
  265. attendant, on peut utiliser un résolveur non-menteur (en supposant
  266. qu'il ne soit pas <a href="turquie-dns-frnog.html" title="Consultez ce blog à propos de &quot;turquie-dns-frnog&quot;">détourné</a> et que le <a href="port53-filtre.html" title="Consultez ce blog à propos de &quot;port53-filtre&quot;">port 53</a> ne soit pas filtré). Dans tous les cas, il
  267. est sûr que la <a href="resolution-de-demain.html" title="Consultez ce blog à propos de &quot;resolution-de-demain&quot;">stabilité et la
  268. sécurité de l'Internet</a> vont en souffrir. Sinon, on peut aussi
  269. s'auto-radicaliser un peu plus et franchement passer à
  270. <b><a class="wikipedia" hreflang="fr" href="http://fr.wikipedia.org/wiki/Tor%20(r%C3%A9seau)" title="Consultez l'article &quot;Tor (réseau)&quot; de l'encyclopédie libre Wikipedia">Tor</a></b> pour naviguer sur le Web.</p></div>