Les FAI détournent les requêtes DNS Cloudflare/Google, mettant fin aux solutions de contournement de blocage de sites
-
Escalade dans les moyens (et pas qu’en Italie)
Lorsque les FAI doivent bloquer les sites pirates, la falsification de leurs propres enregistrements DNS est souvent l’arme de choix. Ce type de blocage pouvait être contourné en passant au DNS public proposé par des sociétés telles que Cloudflare et Google (plus pour longtemps, des pays leur imposent déjà des restrictions). Mais des tests effectués cette semaine sur plusieurs FAI en Malaisie révèlent que les requêtes adressées aux serveurs DNS publics de Cloudflare et de Google sont détournées et renvoyées vers les serveurs DNS des FAI locaux (qui eux, bloquent ce qu’ils veulent).
Pour l’internaute moyen, un DNS traduit un nom de domaine en adresse IP pour rendre la navigation aussi simple et peu intrusive que possible. Sous le capot, c’est exactement ce que fait le DNS et pour la majorité des internautes, c’est suffisant.
Pour ceux qui travaillent avec le DNS et comprennent à quel point c’est incroyablement important (et beau), l’idée selon laquelle le DNS est quelque chose qui doit être falsifié, afin que le système mente efficacement, dépasse les limites. Pourtant, grâce à la campagne mondiale de blocage de sites, les serveurs DNS du monde entier, dans des dizaines de pays, mentent constamment à ceux qui les utilisent.
Les programmes de blocage de sites imposent que, lorsque les serveurs DNS gérés par les FAI sont invités à renvoyer les adresses IP de dizaines de milliers de domaines « pirates », les adresses IP renvoyées par ces serveurs DNS (si des adresses IP sont renvoyées) ne seront pas renvoyées ou fausses. Cela signifie que l’utilisateur ne peut pas accéder au domaine ; pas par cette voie du moins.
DNS public – pour la plupart inviolables
Étant donné que la plupart des mesures de blocage sont mises en œuvre par les FAI grand public qui exploitent leurs propres serveurs DNS, les utilisateurs qui passent aux serveurs DNS publics exploités par Cloudflare, Google, Quad9 et bien d’autres peuvent généralement éviter complètement le blocage des FAI. Il existe quelques exceptions selon les pays, et comme les trois éléments ci-dessus ont reçu l’ordre de bloquer un petit nombre de domaines , le passage à leurs serveurs DNS ne débloquera pas tous les domaines, mais seulement l’écrasante majorité.
La pression exercée par la Motion Picture Association (MPA) pour introduire le blocage des sites pirates en Malaisie a conduit à sa mise en œuvre en vertu de l’article 263 de la loi sur les communications et le multimédia de 1998. Les demandes de blocage de sites sont traitées par la Commission malaisienne des communications et du multimédia (MCMC), qui demande aux FAI locaux d’empêcher que leurs systèmes « soient utilisés dans le cadre ou en relation avec la commission d’une infraction », y compris la violation du droit d’auteur.
Les rapports de la MPA sur le programme de blocage de sites en Malaisie ont brossé un tableau régulier de succès, mais, comme d’autres systèmes reposant sur la falsification du DNS chez les FAI, les utilisateurs ont finalement découvert que le passage au DNS public rétablit la connectivité.
Les rapports provenant de Malaisie cette semaine, affectant à la fois Cloudflare et Google DNS, sont bien plus préoccupants que le blocage des FAI ou même les mesures de blocage imposées aux fournisseurs de DNS publics.
Le DNS public menacé et aurait été détourné en Malaisie
L’Internet Monitoring Action Project (iMAP) surveille les interférences sur Internet et les restrictions affectant la liberté d’expression en ligne au Cambodge, à Hong Kong (Chine), en Inde, en Indonésie, en Malaisie, au Myanmar, aux Philippines, en Thaïlande, au Timor-Leste et au Vietnam. Le groupe utilise les systèmes de détection et de reporting de l’Open Observatory Network Interference ( OONI ) et a signalé cette semaine un changement significatif dans le programme de blocage de sites en Malaisie.
“Il a été détecté grâce à des tests automatisés et manuels le 5 août que la redirection transparente par proxy DNS des requêtes DNS vers les serveurs DNS publics de Google et Cloudflare a été mise en œuvre par deux FAI malaisiens Maxis et Time”, rapporte iMAP .
“Les utilisateurs qui ont configuré leurs paramètres Internet pour utiliser des serveurs DNS alternatifs auraient constaté qu’ils ne pouvaient désormais plus accéder aux sites Web officiellement bloqués par MCMC et [recevaient désormais] une erreur d’expiration de délai de connexion.”
Un bref résumé technique d’iMAP révèle ce qui se passe lorsque les utilisateurs tentent d’accéder à des sites à l’aide de Cloudflare et de Google DNS.
• Sur Maxis, les requêtes DNS vers les serveurs Google Public DNS (8.8.8.8) sont automatiquement redirigées vers les serveurs DNS Maxis FAI ;
• Chez Time, les requêtes DNS vers Google Public DNS (8.8.8.8) et Cloudflare Public DNS (1.1.1.1) sont automatiquement redirigées vers les serveurs DNS Time ISP.
« Au lieu des serveurs Google et Cloudflare prévus, les utilisateurs reçoivent les résultats des serveurs DNS des FAI. En plus des sites Web bloqués par MCMC, d’autres adresses renvoyées par les serveurs DNS des FAI peuvent également différer de celles renvoyées par Google et Cloudflare », prévient iMAP.
Problèmes techniques, solutions techniques
Il convient de souligner la gravité de ces affirmations. Les requêtes destinées à Google et Cloudflare DNS sont redirigées vers les FAI locaux, d’une manière qui indique que ces sociétés sont responsables du fait que les utilisateurs se retrouvent à l’adresse IP de la Commission malaisienne des communications et du multimédia (175.139.142.25), plutôt qu’au site Web qu’ils ont demandé.
En un mot, les internautes ne peuvent pas compter sur les serveurs DNS de leurs FAI pour répondre avec précision, et ne peuvent plus non plus compter sur des DNS tiers pour répondre avec précision.
Mais s’il y a une bonne chose à propos d’un blocage aussi agressif, c’est bien celui-ci : comme presque tous les efforts qui s’appuient sur une solution technique pour imposer un blocage, il existe une solution technique pour le neutraliser.
Les détails sont disponibles sur iMAP (et dans l’article ci-dessous) et s’appliquent à toute personne souhaitant améliorer sa confidentialité et sa sécurité en ligne en général, et pas seulement à celles souhaitant éviter que leurs requêtes DNS ne soient détournées.
«Les utilisateurs concernés peuvent configurer les paramètres de leur navigateur pour activer DNS sur HTTPS afin de sécuriser leurs recherches DNS en utilisant une connexion cryptée directe à des serveurs DNS de confiance privés ou publics. Cela contournera également les interférences transparentes du proxy DNS et fournira un avertissement en cas d’interférence », conclut iMAP.
Acceptation tacite
Enfin, il convient de mentionner que la Malaisie n’est pas étrangère à la censure et au contrôle de l’accès à l’information. En vertu de la loi de 1984 sur les presses à imprimer et les publications, l’utilisation ou la possession sans licence d’une presse à imprimer reste un crime. Les mesures de blocage de sites qui vont bien au-delà du blocage des sites pirates ciblent actuellement des milliers de sites Web.
La grande question est de savoir si demander aux pays qui bloquent régulièrement l’accès à l’information d’ajouter encore plus de domaines à des listes déjà volumineuses envoie le bon message.
Pire encore, la participation active est-elle considérée comme une approbation de ce que certains considèrent comme un déni des droits humains fondamentaux ? Sans parler d’un affront au DNS, celui-là même qui sous-tend le droit à la communication et au libre échange d’informations et d’idées.
À quand le DNS crypté et le VPN obligatoire, pour ne pas se faire intercepter par le FAI ?
-
Mise à jour sur la censure d’Internet : proxy DNS transparent mis en œuvre par les FAI malaisiens sur les serveurs DNS publics Cloudflare et Google
Proxy DNS transparent mis en œuvre par les FAI malaisiens sur les serveurs DNS publics Cloudflare et Google
Le 6 août 2024 , un proxy DNS transparent redirigeant les requêtes DNS vers le DNS public de Google et Cloudflare a été mis en œuvre par deux FAI malaisiens Maxis et Time, ce qui empêche les utilisateurs d’accéder aux sites Web officiellement bloqués par MCMC via des serveurs DNS alternatifs.
Premiers résultats
Il a été détecté grâce à des tests automatisés et manuels le 5 août, qu’un proxy DNS transparent redirigeant les requêtes DNS vers les serveurs DNS publics de Google et Cloudflare a été mis en œuvre par deux FAI malaisiens Maxis et Time. Les utilisateurs qui ont configuré leurs paramètres Internet pour utiliser des serveurs DNS alternatifs auraient constaté qu’ils ne pouvaient désormais plus accéder aux sites Web officiellement bloqués par MCMC et obtiendraient une erreur d’expiration de délai de connexion.
Résumé:
- Sur Maxis, les requêtes DNS vers les serveurs Google Public DNS (8.8.8.8) sur l’adresse IP sont automatiquement redirigées vers les serveurs DNS Maxis ISP ; et
- À Time, les requêtes DNS vers Google Public DNS (8.8.8.8) et Cloudflare Public DNS (1.1.1.1) sont automatiquement redirigées vers les serveurs DNS Time ISP.
Au lieu des serveurs Google et Cloudflare prévus, les utilisateurs reçoivent les résultats des serveurs DNS du FAI. En plus des sites Web bloqués par MCMC, d’autres adresses renvoyées par les serveurs DNS des FAI peuvent également différer de celles renvoyées par Google et Cloudflare.
Sécuriser les services DNS
Les utilisateurs redirigés vers des sites Web non authentifiés et des services différents de ceux prévus peuvent présenter un risque de sécurité et entraîner des problèmes techniques inattendus. Les requêtes DNS standard ne sont également pas cryptées et les adresses demandées par les utilisateurs peuvent être consultées et enregistrées.
Les utilisateurs concernés peuvent configurer les paramètres de leur navigateur pour activer DNS sur HTTPS afin de sécuriser leurs recherches DNS en utilisant une connexion cryptée directe à des serveurs DNS de confiance privés ou publics. Cela contournera également les interférences transparentes du proxy DNS et fournira un avertissement en cas d’interférence.
- Navigateur Web Firefox
Les utilisateurs utilisent le navigateur Web Firefox et activent DNS sur HTTPS via les paramètres et l’onglet Confidentialité et sécurité. Activez Max Protection pour utiliser DNS sur HTTP lors du brunissage de tous les sites.
- Navigateur Floorp
Par contre, au lieu de cloudflare qui est sous injonction, utilisez plutôt NextDNS.
- Navigateur Web Chrome
Les utilisateurs utilisant le navigateur Web Chrome peuvent activer DNS sur HTTPS via Paramètres et l’onglet Sécurité. Activez Utiliser un DNS sécurisé , puis sélectionnez l’un des serveurs DNS publics tels que Google ou Cloudflare.
Les mesures de l’article d’origine ont été omises ici
Appel à tests
Le projet Sinar lance un appel à des volontaires pour contribuer à la surveillance et aux tests continus de la censure sur Internet. De plus amples informations peuvent être trouvées ici ou sur notre groupe Telegram .
Pour surveiller cette mise en œuvre particulière de proxys DNS transparents par les FAI en Malaisie, nous encourageons nos bénévoles à configurer leur DNS sur 8.8.8.8 ou 1.1.1.1 avant les tests OONI.
Si ça se fait de manière récurrente en Malaisie, ça se fait probablement en test ailleurs, et même si vous n’êtes pas détournés, c’est un bon moyen de savoir ce que vous allez visiter sur internet.
-
undefined duJambon a fait référence à ce sujet sur