C'était en 2019, le site de partage d'articles scientifiques Sci-Hub venait d'être censuré en France. Mars 2022, les 4 opérateurs majoritaires (Orange, SFR, Bouygues Telecom et Free) remettent le couvert en configurant leurs DNS menteurs de façon à bloquer l'accès aux sites d'information russes comme rt.com sur décision de Union européenne [1][2]. Ces médias diffusent du "contenu à leur façon", ça n'est pas le sujet ici.
La bien-pensance des opérateurs de contenu outre-Atlantique a même précédé la décision légale, en agissant dès le 28 février [3]. On y retrouve les groupes de pressions idéologiques habituels : Facebook, Instagram, Google, Youtube.
Pourtant, donner aux gens les moyens de s'informer (selon diverses sources) aurait été la seule chose la plus intelligente concrète à faire. Alors que donner aux intermédiaires techniques et réseaux sociaux des pouvoirs de police mènera à des dérives dont nous ne voyons aujourd'hui que les prémices (aujourd'hui ils anticipent déjà les décisions juridiques au nom de leur propre ligne politique).
Par conséquent voici un article court sur la reconfiguration de son ordinateur pour pouvoir se connecter aux sites sans censure.
Sommaire
Un mot sur la censure
Si vous attendiez encore un signe démontrant que ces opérateurs sont toxiques, en voici un bon. Au cas où les censures répétées dirigées contre les sites de téléchargement ou Sci-Hub ne vous suffisaient pas car en votre fort intérieur vous jugiez ça comme étant de "bonne guerre", vous constaterez ici une éradication pure et simple de médias qui n'ont pas la ligne idéologique "validée" par un petit comité bien-pensant.
Le 1er mars, Thierry Breton, commissaire européen au marché intérieur, annonce le bannissement de Russia Today et Sputnik de toute l'Union européenne dans la journée et précise que « l'objectif de ces mesures est évidemment de restreindre l'accès des deux grands organes de propagande russe »
Cher M. Breton & Cie, le problème est que dans le "camp du bien" on diffuse aussi de la propagande y compris celle en provenance directe de l'État ukrainien et sans temporisation. Il faudrait donc commencer par balayer devant sa propre porte.
Comme je le rappelais dans l'article précédent, des pays "Européens" comme la Grande-Bretagne incitent leurs opérateurs à censurer, y compris par "erreur" sous couvert de puritanisme anti pornographie (voir encadré repris de l'article de 2019).
La censure en Grande-Bretagne : Le futur pour la France ?
Le Royaume-Uni dispose d'une version d'Internet probablement la plus censurée d'Europe. La bien-pensance s'évertue depuis des années à limiter les accès à la pornographie. Les effets secondaires de ces filtrages sont curieusement bien plus visibles que les bénéfices réels; ainsi, des sites sont bloqués alors qu'ils n'ont pas le moindre rapport avec l'objectif initial (sites de téléchargement via torrents, pages officielles de distribution GNU/Linux, etc.)
Si un pays accepte la censure en échange d'un faux sentiment de sécurité, alors le cadre initial ne pourra qu'être dépassé car les outils en place seront forcément utilisés à d'autres fins.
Voir Le filtre anti-porno britannique multiplie les dommages collatéraux ou Loi contre l'accès des mineurs à la pornographie : le Royaume-Uni est l'exemple à ne pas suivre.
Laissons de côté ces malades dégénérés tout juste bons à enfermer. Rappelons toutefois qu'il existe une population qui n'oubliera pas ce qu'ils font au Réseau et une autre population qui n'oubliera pas comment elle aura été traitée pendant cette période...
Le blocage DNS
La maîtrise minimale du système d'information qu'est Internet aujourd'hui est plus que jamais requise.
Personnellement, les affaires liées à t411 puis récemment à Sci-Hub m'ont fait installer mon propre serveur DNS. Ceci a l'avantage d'être instructif et performant puisqu'il se comporte comme cache pour plus de 92% des requêtes DNS réalisées par ma navigation (ce qui représente pas moins de ~1.5 million de requêtes par trimestre). N'oublions pas que les requêtes DNS sont transmises en clair sur le réseau, plusieurs fois par site visité. Ce sont autant d'informations que vous ne voulez pas diffuser pour que quelqu'un puisse dresser un portrait très précis de ce que vous faites sur Internet à une poignée de secondes près.
Dans l'article sur Sci-Hub (que je vous conseille de lire), j'avais conseillé d'utiliser les serveurs DNS d'OpenNic voire ceux de Google ; je présenterai ici les serveurs DNS de Cloudflare qui comme ceux de Google sont simples à retenir et présentent une fonctionnalité intéressante de chiffrement des échanges.
Note : Cloudflare est une entreprise américaine (sic) qui propose des services divers comme un réseau de distribution de contenu (CDN), des services de sécurité et accessoirement mais ce qui nous intéresse ici : des serveurs de noms de domaine.
À propos du bien-fondé de l'utilisation de serveurs DNS privés
Les serveurs DNS dits "racines" sont publics et neutres ; ils sont toutefois peu nombreux et n'ont pas vocation à supporter le trafic DNS mondial. Leurs données sont consultées régulièrement puis mises en mémoire par divers serveurs dont ceux de votre fournisseur d'accès. Ce sont ces derniers qui appliquent la censure chez vous.
Des serveurs d'OpenNic (un Serveur racine du DNS qui se pose comme une alternative à l'ICANN, (Wikipédia - OpenNic), https://servers.opennic.org/), pourront vous fournir un service similaire voire plus transparent que celui de Cloudflare.
Utiliser des serveurs privés pour assurer une fonction aussi importante a pour effet de centraliser l'usage sur un réseau qui se veut décentralisé. C.-à-d. que vous donnez du pouvoir à un acteur qui pourra peut-être se retourner contre vos intérêts. C'est aussi rendre l'infrastructure moins résiliente à la censure ou à d'autres décisions arbitraires.
Aujourd'hui les abonnés Orange, SFR, Bouygues Telecom et Free subissent par exemple un pouvoir injuste et arbitraire de censure dû à leur usage des services privés de leurs opérateurs.
Voir les remarques sage de l'équipe d'Nginx à ce sujet : using-nginx-as-dot-doh-gateway.
Par conséquent l'usage des services DNS de Google ou Cloudflare doit être fait en connaissance de cause et en choisissant le moindre mal. Le mieux étant d'héberger son propre service...
Contourner le blocage
Voici une rapide liste de ce que vous pouvez faire pour outrepasser le blocage. Hormis la première solution, toutes les autres sont envisageables et agissent à plusieurs niveaux : Ordinateur ou Navigateur.
Configuration DNS de la box
C'est la première idée qui vient en tête pourtant cela n'a aucun effet ; dans ce contexte le FAI émet une réponse qui sera toujours prioritaire sur toute autre configuration.
Configuration de la connexion Wifi/Ethernet
Toutes les applications de l'ordinateur en profiteront.
Pour Windows suivre cette capture :
Tuto complet pour les autres plateformes : cnetfrance.fr - Changer ses DNS manuellement Windows, Mac, iOS, Android
Configuration DNS over HTTPS
Cette option est très facile à mettre en place dans n'importe quel navigateur web.
Avec DNS over HTTPS (DoH), les échanges DNS sont encapsulés dans une connexion HTTPS chiffrée. Cela garantit que les attaquants ne peuvent pas falsifier ou modifier les données.
DoH est supporté par la plupart des navigateurs (Firefox, Chromium, Edge, Brave).
Firefox est le seul navigateur réellement préconfiguré pour Cloudflare sur lequel vous n'avez qu'à cliquer sur un bouton [4]. Par ailleurs une charte de bonne conduite a été conçue pour les utilisateurs de Firefox; Pour ce que ça vaut voici son lien, libre à vous de juger de leur bonne foi. https://developers.Cloudflare.com/1.1.1.1/commitment-to-privacy/privacy-policy/firefox/
Les seules implémentations de serveurs Doh sont des résolveurs privés, pas les serveurs faisant autorité. Vous ne pouvez donc pas (pour l'instant) contacter les serveurs DNS primaires par ce biais ; toutefois ceci ne fait pas partie de l'objet de l'article.
Marche à suivre :
- Cliquez sur le menu "hamburger"
Cliquez sur "Paramètres" ou "Préférences" selon votre version.
Allez en bas de l'onglet qui vient de s'ouvrir et cliquez sur le bouton "Paramètres" de la section "Paramètres réseau".
Cochez "Activer le DNS via HTTPS" (Cloudflare est coché par défaut).
Pour les autres navigateurs voici le tuto complet : Cloudflare - Encrypted DNS browsers
Un moyen simple de tester si vous utilisez bien les DNS de Cloudflare est d'utiliser leur outil en ligne : https://1.1.1.1/help
Et/ou ce lien : https://www.Cloudflare.com/ssl/encrypted-sni/
L'URL du service de Cloudflare (auto-configuré) pour les utilisateurs de Firefox est la suivante :https://mozilla.Cloudflare-dns.com/dns-query
Celle de Google est la suivante (source: developers.google.com - public-dns) :https://dns.google/dns-query
Korben a mis en ligne une liste de fournisseurs de DoH sur son blog :
https://korben.info/la-liste-des-fournisseurs-serieux-de-dns-compatibles-dns-over-https-doh.html
Test de la configuration DNS pour les "pros"
En ligne de commande avec l'outil dig.
Résultat selon la nouvelle configuration par défaut (Cloudflare donc), OK :
$ dig rt.com
; <<>> DiG Debian <<>> @1.1.1.1 rt.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5365
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;rt.com. IN A
;; ANSWER SECTION:
rt.com. 155 IN A 91.215.41.4
;; Query time: 17 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Tue Mar 22 01:35:49 CET 2022
;; MSG SIZE rcvd: 51
En interrogeant le DNS menteur de la box, pas OK :
$ dig @192.168.1.1 rt.com
; <<>> DiG Debian <<>> @192.168.1.1 rt.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27924
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;rt.com. IN A
;; AUTHORITY SECTION:
rt.com. 3600 IN SOA nsblk.dns.sfr.net. support.dns.sfr.net. 2022030300 10800 3600 1814400 86400
;; Query time: 28 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Tue Mar 22 01:14:46 CET 2022
;; MSG SIZE rcvd: 96
