1.1.1.1 : Cloudflare annonce son résolveur DNS rapide, sécurisé et respectueux de la vie privée

1.1.1.1 : Cloudflare annonce son résolveur DNS rapide, sécurisé et respectueux de la vie privée

Cloudflare renforce sa toile

Avatar de l'auteur
David Legrand

Publié dans

Internet

03/04/2018 8 minutes
85

1.1.1.1 : Cloudflare annonce son résolveur DNS rapide, sécurisé et respectueux de la vie privée

Voici un nouveau venu dans le petit monde des résolveurs DNS : après le 9.9.9.9 de Quad9, voici le 1.1.1.1 de Cloudflare. Cette fois encore, le respect de la vie privée est placé au centre des préoccupations, tout comme la rapidité ou la sécurité.

La question du résolveur DNS agite régulièrement le Net. Il s'agit, pour faire simple, du dispositif qui permet d'associer une adresse internet (URL) à l'IP d'un serveur. Comme nous l'évoquions en novembre dernier, à l'occasion de la mise en ligne de Quad9, il s'agit d'un élément d'importance mais souvent sous-estimé par les utilisateurs.

Par défaut, vous utilisez celui de votre opérateur à travers votre box ou votre mobile. Préconfiguré, il envoie l'ensemble des requêtes nécessaires à votre navigation, mais est parfois obligé de donner une fausse réponse. C'est ce qui est utilisé en cas de blocage d'un site, pour la fameuse « main rouge » en France, devenue un point d'exclamation.

On parle alors de DNS menteur. Si les autorités disent toujours avoir de bonnes raisons pour mettre en place de tels blocages, ces dispositifs existent également dans de nombreux pays pour mettre en œuvre la censure du Net. Ainsi, depuis des années il existe des initiatives autour de résolveurs DNS accessibles à tous, sans aucune modification.

Une nouvelle vient d'arriver : 1.1.1.1 de Cloudflare. Mais quels sont ses avantages et ses différences ?

DNS
Crédits : TouiTouit, Michel et le hamster (licence: CC by SA 4.0)

Des alternatives de plus en plus nombreuses

Bien entendu, il y a ceux de Google, les fameux 8.8.8.8 et 8.8.4.4, utilisés par défaut au sein des routeurs maisons (voir notre analyse). Même si la société se défend d'abus, conformément à ses engagements en termes de vie privée, certains préfèrent passer leur chemin pour ne pas dépendre toujours plus du géant américain. 

Autre solution « historique », OpenDNS suscite aussi parfois de la méfiance. La société a néanmoins cessé son activité publicitaire en 2014 et appartient à Cisco depuis 2015.

Autre alternative assez connue et populaire auprès d'une population très technophile en France : FDN. Il s'agit d'un fournisseur d'accès à internet associatif, militant pour les libertés publiques à travers le groupement FFDNles exégètes amateurs ou même RSF. Il fournit gratuitement des résolveurs DNS publics en IPv4 ou IPv6 que chacun peut utiliser et se finance uniquement à travers ses abonnements, adhésions et d'autres services payants

Comme l'a rappelé début 2017 Stéphane Bortzmeyer, spécialiste du sujet, « le lien entre vous et le résolveur public est long et non sécurisé. Même si vous avez une confiance aveugle dans le résolveur public et ceux qui le gèrent, sur le trajet, des tas de choses peuvent aller mal. D'abord, le trafic peut être écouté trivialement [...], le trafic DNS est très bavard (trop), circule en clair, passe par des réseaux supplémentaires (en plus du trafic « normal »), et peut donc poser des problèmes de vie privée. Avec un résolveur DNS habituel, le problème est limité car le résolveur est proche de vous, limitant le nombre de gens qui peuvent écouter. Avec un résolveur public, le nombre d'écoutants potentiels augmente ».

Quad9 avait ainsi travaillé sur une solution exploitant DNSSEC et l'IPv6, en plus de fournir deux services : l'un avec une liste de blocage pour éviter tout malware et un autre sans aucun blocage du genre (mais aussi sans DNSSEC). Une solution attirante et financée par une organisation à but non lucratif :

  • 9.9.9.9 ou 2620:fe::fe - Blocklist, DNSSEC, No EDNS Client-Subnet
  • 9.9.9.10 ou 2620:fe::10 - No blocklist, no DNSSEC, send EDNS Client-Subnet

1.1.1.1 : quand Cloudflare entre dans la danse

Ce premier avril (4/1 en anglais), le géant de la protection anti-DDoS faisait à son tour une annonce : il met à disposition de tous son propre résolveur DNS, accessible depuis l'IP 1.1.1.1 récupérée auprès de l'APNIC, qui a décidé de soutenir le projet. En réalité, ce sont quatre adresses qui peuvent être utilisées :

  • 1.1.1.1 ou 2606:4700:4700::1111
  • 1.0.0.1 ou 2606:4700:4700::1001

Ce n'était ainsi pas une blague, le discours et les choix techniques autour de cette solution présentée comme la plus rapide du moment étant relativement détaillés.

Pour améliorer ses performances, l'équipe a opté pour des dispositifs comme le DNS aggressive negative caching (RFC8198). Mais il ne faut pas oublier que Cloudflare est également utilisé par de très nombreux sites (dont Next INpact pour le moment) afin de leur éviter de nombreuses attaques et faire office de CDN, entre autres services.

C'est notamment là que l'on peut commencer à voir un problème dans l'utilisation d'un résolveur DNS Cloudflare : la question de la centralisation. En effet, la société est déjà responsable de l'accès à de nombreux sites, et pourrait alors être en charge des requêtes des utilisateurs. En cas d'attaque ou de problème avec l'infrastructure, le problème en sera d'autant plus important, Cloudflare constituant un SPOF (Single Point of Failure) de plus en plus important.

Ceux qui critiquent l'utilisation des outils de la société par un nombre croissant de sites ne vont donc sans doute pas voir cette initiative d'un bon œil, même si elle a l'intérêt d'exister. D'autant qu'elle est assez attractive.

Des engagements sur le respect de la vie privée

Bien entendu, en pleine tempête Cambridge Analytica, la question du respect des données personnelles et de la vie privée est largement mise en avant. Le service utilise notamment la DNS Query Name Minimisation (RFC7816), qui consiste à réduire au maximum les informations utilisées. Le tout repose sur la solution logicielle Knot.

« Ce que beaucoup d'internautes ne réalisent pas, c'est que même si vous visitez un site de manière chiffrée — avec le cadenas vert dans votre navigateur — cela n'empêche pas votre résolveur DNS de connaître l'identité des sites que vous visitez. Cela signifie que par défaut, votre FAI, votre opérateur mobile, mais aussi les réseaux Wi-Fi auxquels vous vous connectez connaissent chaque site sur lequel vous allez », indique la société.

La question de la censure mais aussi de la sécurité permise par les alternatives proposées sont aussi évoquées comme un point de départ au projet, qui veut proposer une meilleure solution. 

« Notre business n'a jamais été construit autour du pistage des utilisateurs ou de la vente de publicité. Nous ne voyons pas les données personnelles comme un bien à vendre, mais comme un bien toxique. [...] Nous nous engageons à ne jamais inscrire l'adresse IP à l'origine de la requête et à supprimer toutes les données au bout de 24 heures [...] KPMG auditera notre code et nos pratiques de manière annuelle, et publiera un rapport confirmant que nous respectons nos engagements », précise Cloudflare qui dit ne pas conserver ces informations plus longtemps, et seulement à des fins de debug.

Sécurité, confiance et dépendance

L'autre point qui fâche en général, lorsqu'il s'agit de résolveur DNS, est le fait que les requêtes ne sont pas envoyées de manière chiffrée dans une bonne partie des cas. « Ce protocole a 35 ans et il montre ses limites. Il n'a jamais été pensé en ayant la sécurité et le respect de la vie privée en tête » tance Cloudflare.

La société indique que son résolveur 1.1.1.1 utilise une validation DNSSEC lorsque cela est possible, mais supporte également DNS-over-TLS et DNS-over-HTTPS (expérimental). Deux standards qui permettent de pallier ce problème. 

Au final, la solution apparait donc comme complète et plutôt bien pensée. Elle pose néanmoins l'éternelle question de la confiance en des acteurs tiers pour un élément aussi sensible que les requêtes DNS. On regrettera ainsi qu'il ne soit pas toujours très simple de disposer d'un petit résolveur local pour assurer un cache.

Cela montre bien l'importance de faire évoluer les standards et les solutions logicielles dans les années qui viennent, notamment concernant les DNS. Cloudflare semble mettre toutes les chances de son côté et avoir les moyens de ses ambitions. Mais c'est ici la question de la centralisation qui posera surtout problème.

Ainsi, si la naissance de 1.1.1.1 et ses avantages sont à saluer, il faut espérer que d'autres suivent ce même chemin et que l'utilisateur puisse avoir le choix afin d'assurer une véritable diversité, et éviter un drame en cas de problème. Une décentralisation qui est, après tout, l'une des valeurs fondamentales d'Internet tel qu'il a été pensé et tel qu'il est encore construit aujourd'hui... à quelques plateformes près.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des alternatives de plus en plus nombreuses

1.1.1.1 : quand Cloudflare entre dans la danse

Des engagements sur le respect de la vie privée

Sécurité, confiance et dépendance

Commentaires (85)


A noter que la Livebox 4 utilise cette adresse (1.1.1.1) en interne, bloquant par là même l’utilisation de ce DNS …


Bonjour,



J’ai des résulats un peu bizarres :



1.1.1.1 OK depuis connexion OVH, mais KO depuis connexion SFR Câble.

1.0.0.1 OK (Cloudflare aussi) en DNS depuis SFR Câble.



Même leur sitehttps://1.1.1.1 HS sur SFR Câble, mais OK sur OVH.



Et vous ?


A noter que sur DNS-sur-TLS et DNS-sur-HTTPS, CloudFlare ne fourni aucun tutorial pour utiliser ses techniques peu répandues (et non normalisé pour DNS-sur-HTTPS) et surtout ne fourni aucun moyen d’authentifier le serveur (même pas un condensat du certificat X.509 utilisé). Donc on peut si connecter via le port 853 ou 443, mais parle-t-on au bon serveur… mystère… En l’état donc, tout leur discours sur la vie privée relève au mieux du flan.



Sinon, détail bizarre, la taille max des paquets que leur machin peut envoyer est de 1536 octets contre les 4096 généralement recommandés dans la norme EDNS




Cloudflare est également utilisé par de très nombreux sites (dont Next INpact pour le moment)



Un changement en perspective ?


“Internet par Orange” : c’est une adresse routable publiquement depuis le début, ils n’ont pas à ce la réserver pour leur BiduleBox


Peut-être est-ce uniquement pour les particuliers ?



Je n’ai pas de Livebox V4 Pro sous la main, mais sur FTTH Orange avec Livebox Pro V3, le 1.1.1.1 est OK.


On y réfléchit, mais rien de plus à dire pour le moment ;)


C’est vrai que le protocole aurait besoin d’un bon coup de dépoussiérage.



Le jour où cela sera fait, j’espère que certains penseront à proposer une (ou des) solution(s) simple(s) permettant la mise en place rapide d’un résolveur DNS chez soit (sur Raspberry, etc). Non pas que ce soit extrêmement compliqué actuellement. Même s’il y a Unbound, Bind, Pi-hole, etc, ça demande quand même pas mal de config et ce n’est donc pas forcément accessible à tout le monde (surtout selon ce que l’on ajoute au protocole de base)



Proposer des solutions clé en main en parallèle du protocole serait vraiment un gros plus. Surtout dans le contexte actuel où la vie privée et la réappropriation des données prend de plus en plus d’ampleur.



Le top serait de voir les box directement intégrer leur propre résolveur <img data-src=" />


Sous Debian, Unbound ne demande aucune config particulière. Sous les autres OS, il faut juste activer la QName Minimisation.



En clair, c’est accessible aux gens capables d’installer un logiciel et de changer les résolveurs de leur machine.


La Box DE Michel, et pas la Box à Michel, please… #fracturedeloeil


Tu m’a volé ma remarque <img data-src=" />


Rien de bizarre, on sait depuis des années que le préfixe 1.1.1.0/24 est pourri, utilisé dans plein de documentations écrites par des incompétents, et mis dans plein de configurations par défaut faites par des zozos.https://labs.ripe.net/Members/gih/content-traffic-network-10008


Cloudflare permet d’authentifier le serveur en DNS-sur-TLS par “The certificate presented is for cloudflare-dns.com”



&nbsp;% openssl s_client -connect 1.1.1.1<img data-src=" />53 -showcerts

CONNECTED(00000003)

depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA

verify return:1

depth=1 C = US, O = DigiCert Inc, CN = DigiCert ECC Secure Server CA

verify return:1

depth=0 C = US, ST = CA, L = San Francisco, O = “Cloudflare, Inc.”, CN = *.cloudflare-dns.com

verify return:1





RFC 8310, section 8.1




En cas d’attaque ou de problème avec l’infrastructure, le problème en sera d’autant plus important, Cloudflare constituant un SPOF (Single Point of Failure) de plus en plus important.





Compte tenu de la merde que j’ai eue avec eux récemment (Cloudflare : une fin d’après-midi plus une soirée entière sans rien grâce au fruit et son fail safe en biscuit), ça ne me fait pas envie…



Je pompe mes adresses de DNS sur Opennic pour le moment, et j’en suis plutôt content.


Mmmh sympa, ça va prendre des années à se régler complètement alors…


« C’est vrai que le protocole aurait besoin d’un bon coup de dépoussiérage » Ça fait juste quatre ans que le projet “DNS privacy” à l’IETF a commencé et Cloudflare met en œuvre au moins deux de ses RFC. Mais on accepte des volontaires :-) Ce n’est pas parce que les médias ne s’en étaient pas aperçus que rien n’était fait.



Pour la box déjà toute prête, avec résolveur DNS, il en existe plusieurs, comme la Turris Omnia.


Attention sur OpenNIC Project, j’ai eu plusieurs fois des pannes au fil du temps (au bout de quelques mois par exemple), et à chaque fois il fallait piocher une autre IP dans leur liste pour régler.



Finalement, j’ai fini par arrêter d’utiliser ça…


Quel sont les meilleures DNS pour vous?


Et puis c’est une racine alternative (donc ils ajoutent des TLD bidons) et question vie privée, c’est zéro, le trafic étant en clair (à moins que vous ne fassiez partie de la minorité des utilisateurs d’OpenNIC ,qui ont réussi à déployer dnscrypt).








Etre_Libre a écrit :



Attention sur OpenNIC Project, j’ai eu plusieurs fois des pannes au fil du temps (au bout de quelques mois par exemple), et à chaque fois il fallait piocher une autre IP dans leur liste pour régler.



Finalement, j’ai fini par arrêter d’utiliser ça…







Pour le moment, je n’ai pas eu ce genre de problème avec eux. Mais je ne les utilise pas depuis beaucoup de temps, à voir à l’usage.







Stéphane Bortzmeyer a écrit :



Et puis c’est une racine alternative (donc ils ajoutent des TLD bidons) et question vie privée, c’est zéro, le trafic étant en clair (à moins que vous ne fassiez partie de la minorité des utilisateurs d’OpenNIC ,qui ont réussi à déployer dnscrypt).







C’est bon à savoir. <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Je sens que je vais tester Quad9 ou un autre du même acabit. Cloudflare, trop centraliseur à mon goût…



Le meilleur résolveur ? (“DNS” tout court ne veut pas dire grand’chose.) Le résolveur local, sur une machine que je contrôle.


Oui pardon ;)




Des engagements sur le respect de la vie privée





Et je m’engage à les croire sur parole car j’ai une absolue confiance dans les engagements des sociétés américaines.



Microsoft, Google, Facebook, Cloudflare: c’est l’engagement du respect de la vie privée. <img data-src=" />


Ah oui, j’ai raté ça sur leur site.



Ensuite, oui, openssl m’avait bien donné ça :)


le business model n’est pas le même.

je ne dis pas qu’il faut faire une confiance aveugle à CloudFlare, mais ils ne font pas du blé avec les données des gens.


Peut être que si ils sont autant % de trafic ou autant d’utilisateurs et que dans l’avenir ils sont des soucis financiers, qui te dis qu’ils le feront pas?


C’était pas une critique hein, mais un constat de la situation actuelle…

Et je ne suis pas assez compétent en réseau pour être volontaire ;)









John Shaft a écrit :



Sous Debian, Unbound ne demande aucune config particulière. Sous les autres OS, il faut juste activer la QName Minimisation.



En clair, c’est accessible aux gens capables d’installer un logiciel et de changer les résolveurs de leur machine.





Sous Linux (et encore, ça demande de mettre les mains “dans le cambouis”). Mais quid de Windows ou Mac ? :)

Je parle d’une solution avec une mise en œuvre aisée pour toute personne soucieuse de ses données et sa vie privée, ayant des compétences techniques ou pas. Actuellement ça fait quand même pas mal défaut.



ok mais ça tu peux l’appliquer à absolument n’importe qui… Encore une fois je dis pas que c’est faux, mais bon à un moment si tu fais pas tout tout seul va bien falloir faire confiance à quelqu’un. ^^


Quad9 est une très bonne alternative, et pour ceux qui veulent, il y’a OpenNIC

https://www.opennic.org/


Sous Windows, Unbound s’installe très bien (il est dispo sur le site) et très facilement (c’est ensuite un service qui se lance au démarrage). Le seul défaut est qu’il n’y a pas de système de mise à jours automatique et qu’il faut donc le faire à la main (et penser à le faire - environ une fois par trimestre)



Sous Mac, jamais testé, mais c’est dispo sous HomeBrew, donc ça demande là des efforts considérables pour l’utilisateur de base de macOS (et oui, je trolle :P)


En quoi Quad9 est-il meilleur que Cloudflare ?


Et, de toute façon, c’est absurde de le faire sur la machine terminale, où ça peut être difficile (Network Manager, systemd-resolve) ou impossible (Android non rooté). Ça doit plutôt être fait dans un engin spécialisé, tout fait (Turris Omnia…) annoncé en DHCP.


comme le dit l’article pour éviter de mettre tous les oeufs dans le même panier. Cloudflare concentre déjà une bonne partie du traffic internet, inutile de centraliser encore plus le réseau.

de plus Quad9 gère aussi très bien DNSSEC, même si peu de clients le gèrent pour le moment.


En parlant de confiance, pourquoi faire davantage confiance dans cloudflare que dans les DNS de ton FAI ? Et question subsidiaire, si tu n’as pas confiance dans les DNS de ton FAI pourquoi tu restes chez ce FAI ?



Est-ce pour contourner les blocages DNS imposés par la justice de ton pays ? Et donc, n’as tu pas confiance dans la justice de ton pays ?



etc.


Sauf sur une machine nomade (pour laquelle il faut des plans de replis si les port 53 ou 853 sont bloqués). C’était d’ailleurs pour un ordinateur portable que j’avais testé la version Windows d’Unbound



Mais oui, à la maison un Raspberry Pi et un routeur bien configuré. Ou un Turris, pour les plus fortunés :)








127.0.0.1 a écrit :



En parlant de confiance, pourquoi faire davantage confiance dans cloudflare que dans les DNS de ton FAI ? Et question subsidiaire, si tu n’as pas confiance dans les DNS de ton FAI pourquoi tu restes chez ce FAI ?



Est-ce pour contourner les blocages DNS imposés par la justice de ton pays ? Et donc, n’as tu pas confiance dans la justice de ton pays ?



etc.







En ce qui me concerne, point de vue informatique, ma règle, c’est si j’ai pas entièrement la main dessus, j’ai pas confiance par défaut.



Après, quand je ne peux pas, pour des raisons diverses, avoir la main sur toute la chaîne, je fais appel au prestataire extérieur le moins douteux, tout en ayant sous le coude la possibilité d’en changer, et un oeil sur ce qu’il fait.



Question de pragmatisme tout simplement.



Pourtant on dit bien “la bande à Basile”!








PtiDidi a écrit :



Pourtant on dit bien “la bande à Basile”!





Basile fait partie de sa propre bande alors que Michel de fait pas partie de la Box. <img data-src=" />



Chacun a ses raisons de vouloir contourner les DNS de son FAI (ou un autre). La plupart du temps c’est parce qu’ils mentent effrontément, ou bloquent.

Et on peut vouloir rester chez le FAI en question pour des raisons de coût, de qualité de réseau (autre que le DNS évidemment), de box particulièrement efficace, bref. A quoi servirait de jeter le bébé avec l’eau du bain si l’on peut modifier son DNS?


<img data-src=" />




Ce que beaucoup d’internautes ne réalisent pas, c’est que même si vous visitez un site de manière chiffrée — avec le cadenas vert dans votre navigateur — cela n’empêche pas votre résolveur DNS de connaître l’identité des sites que vous visitez



Même avec le DNS chiffré, il reste le SNI, qui envoie le nom de domain en clair, pour permettre d’héberger plusieurs serveurs SSL sur la même IP.

Le support SSL gratuit de Cloudflare s’appuie d’ailleurs dessus, impossible de se connecter à www.nextinpact.com sans.








Commentaire_supprime a écrit :



Après, quand je ne peux pas, pour des raisons diverses, avoir la main sur toute la chaîne, je fais appel au prestataire extérieur le moins douteux, tout en ayant sous le coude la possibilité d’en changer, et un oeil sur ce qu’il fait.



Question de pragmatisme tout simplement.







Pouvoir choisir son DNS, on est tous d’accord pour dire que c’est bien.



Par contre je n’ai toujours pas compris pourquoi choisir un serveur DNS public plutôt qu’un autre.

Ca m’a l’air plus subjectif que pragmatique. <img data-src=" />









127.0.0.1 a écrit :



Pouvoir choisir son DNS, on est tous d’accord pour dire que c’est bien.



Par contre je n’ai toujours pas compris pourquoi choisir un serveur DNS public plutôt qu’un autre.

Ca m’a l’air plus subjectif que pragmatique. <img data-src=" />







Après, pour les résolveurs DNS, c’est en fonction de ce qu’on peut avoir comme infos.



Pour moi, en ce moment, les critères sont :



-pas une grosse boîte derrière (donc exit Google et OpenDNS, ce dernier dépendant de Cisco) ;



-pas de blocages (les DNS du fruit, tu peux dire adieu à TPB, par exemple) et, si j’arrive à avoir l’info, pas de DNS menteurs ;



-si possible, hors de France dans un pays pas trop chiant point de vue application du droit.



Je rajoute désormais le chiffrement maintenant qu’on a l’initiative de Cloudflare (non conforme au point 1, cela dit en passant).









Commentaire_supprime a écrit :



&nbsp;

&nbsp;&nbsp; -si possible, hors de France dans un pays pas trop chiant point de vue application du droit.&nbsp;

&nbsp;&nbsp;







Pas trop regardant au niveau du droit de sorte qu’une boite qui mettrait un résolveur DNS fraudeur ne serait pas inquiété. C’est un drôle de raisonnement <img data-src=" />



Sinon ceux de FDN sont parfait ne censure pas et ne log pas :)








wanou2 a écrit :



Pas trop regardant au niveau du droit de sorte qu’une boite qui mettrait un résolveur DNS fraudeur ne serait pas inquiété. C’est un drôle de raisonnement <img data-src=" />







Au niveau du droit d’auteur j’aurais dû préciser, P2P inside…



Et chiant dans le genre emmerder les gens pour des pécadilles.



Après, ce n’est pas une condition initiale, mais un plus. Mes DNS actuels sont en France via Opennic, par exemple.



Ceux de FDN ne sont pas souvent saturés ?



Cela reste une petite structure…


J’ai commencé à lister ici les opérateurs compatibles :

&nbsp;http://blogmotion.fr/internet/1-1-1-1-cloudflare-dns-1-0-0-1-17083



pour ceux chez qui 1.1.1.1 ne marche pas il faut utiliser 1.0.0.1


Je vais attendre que NXI sortent leur résolveur DNS avant de changer le mien.



Ça ne devrais plus tarder


Ah je comprend mieux pourquoi ca me disait 3ms de ping <img data-src=" />

Bon 1.0.0.1 donne 15ms, pas mal du tout.



Du coup on va mettre 1.0.0.1 en DNS1 et 8.8.8.8 en second, on va voir ce que cela donne ;)


1.3.3.7 c’est déjà utilisé ou pas ? <img data-src=" />


host 1.3.3.7

Host 7.3.3.1.in-addr.arpa. not found: 3(NXDOMAIN)



Fonce !


Ah malheureusement <img data-src=" />:

inetnum: 1.3.0.0 - 1.3.255.255

netname: CHINANET-GD

descr: CHINANET Guangdong province network

descr: Data Communication Division

descr: China Telecom



&nbsp;


En IPv6, l’adresse peut être uber-geek : 2001:db8:1337:1ee7:42:42:13:37


Ça n’a rien de surprenant, toutes les adresses IPV4 sont attribuées (ou presque) et on sait que les adresses en 1.x.x.X dépendent de l’APNIC( Asie Passific).


Si, c’est un problème récurrent chez eux (du moins sur le DNS “public”, ils me semble qu’il y’en a un autre pour les abonnés FDN). Même chose chez ARN ou LDN, les DNS sont souvent lents (voire ne répondent pas chez les lorrains).



OpenNIC change tous les 4 matins (j’ai eu le coup plusieurs fois, et à chaque fois j’ai mis un certains temps à comprendre que les 2 DNS OpenNIC que j’avais choisi étaient non accessibles).



Du coup, j’ai sauté sur Quad9 quand il est sorti, en mettant ARN en backup.



Actuellement, sur toutes mes machines, j’ai Quad9 en premier, Cloudfare ou ARN en second (ou troisième).


et la fusée à paulo !!!


Petit test d’un iPhone avec carte SIM Bouygues Télécom



&nbsp;J’ai





  • consulté le guide de configuration de Cloudfare mentionné dans l’article,

  • installé l’application iOS DNS Override et acheté l’option DNS Override (pour forcer le trafic mobile et WiFi)

  • sélectionné le DNS de Cloudfare

  • lancé de cette application le “DNS Leak Test” pour retomber sur les DNS de Bouygues Télécom !!!





    Ai-je manqué une étape ou est-ce que c’est Bouygues Télécom qui ne respecte pas la régulation sur l’Internet ouvert (dite net neutralité) ?



    J’ai donc pris un second téléphone avec une carte SIM de Proximus et lancé le “Hotspot Wifi”. L’iPhone s’est connecté dessus. J’ai relancé le test et là miracle, je tombe sur les DNS de Cloudfare.



    Donc ça confirme bien ce que nous savions, lecteurs NextInpactiens, que Bouygues Télécom ne respecte pas la net neutralité et qu’il serait temps que l’Arcep agisse !








Ozwel a écrit :



La Box DE Michel, et pas la Box à Michel, please… #fracturedeloeil







#fracturedeloeil ?



Faut aller au docteur. <img data-src=" />



c’est peut-être juste ton appli qui est pourrie. ^^

et je vois pas le rapport avec la neutralité du net.



plus généralement c’est pas le premier post que je vois qui incrimine un non respect de la neutralité du net sur un sujet qui n’a rien à voir.

visiblement “les gens” ne comprennent pas bien ce qu’est la neutralité du net.


Il soupçonne (peut-être à tort) une interception des requêtes DNS pour que ce soit les serveurs DNS de Bouygtel qui répondent. Dans ce cas, ce serait bien un problème de neutralité du Net.

Après une recherche rapide, il semble avoir raison.








hellmut a écrit :



c’est peut-être juste ton appli qui est pourrie. ^^

et je vois pas le rapport avec la neutralité du net.



plus généralement c’est pas le premier post que je vois qui incrimine un non respect de la neutralité du net sur un sujet qui n’a rien à voir.

visiblement “les gens” ne comprennent pas bien ce qu’est la neutralité du net.





“La dégradation ou le blocage du trafic (ou d’une catégorie spécifique de trafic) est interdite, sauf exceptions strictement définies. Seul un nombre limité de cas de figure permettent de justifier ces pratiques : une obligation légale ou une décision de justice, une atteinte à la sécurité du réseau, une congestion imminente ou exceptionnelle du réseau” (Source : Arcep)



Un opérateur ne peut pas bloquer l’accès aux résolveurs DNS de mon choix.









fred42 a écrit :



Il soupçonne (peut-être à tort) une interception des requêtes DNS pour que ce soit les serveurs DNS de Bouygtel qui répondent. Dans ce cas, ce serait bien un problème de neutralité du Net.

Après une recherche rapide, il semble avoir raison.





Merci pour la source d’information.



Je ne sais pas trop pourquoi ils font ça, à part peut-être en IPv6 (sur Android ils utilisent DNS64 donc leur DNS retourne une IPv6 interne pour les sites IPv4, même si par ailleurs il y a Nat464Xlat qui permet toujours d’utiliser des IPv4 directement).


Pour info, depuis une connexion Free, un tracert vers 1.1.1.1 passe par CogentCo … je vous laisser deviner ce que ça donne en heure de pointe <img data-src=" />

&nbsp;(spoiler : ça en fait le resolver le plus lent de tout ceux que je mesure avec un beau 64 ms de moyenne au lieu de 16 ms en temps normal)

En gros, si vous êtes chez Free, n’utilisez pas 1.1.1.1, préféré quelque chose genre quad9 et son 9.9.9.9 qui sont pas mal :)


CloudFlare est le mal incarné



on prépare une plainte contre eux avec des dommages sérieux ,&nbsp;



Leur cookies obligatoire qui vous suit partout&nbsp;

leur service d’abus pourri ,&nbsp;

le manque d’actions sur du contenu vraiment illicite , (site diffusant ou qui vende des information personnel )

SE cache sur un contrat illicite , disens n’être aucunement responsable du contenu car il ne sont pas hebergeur alors que si tu a été avisé et ne fait rien tu devient responsable&nbsp;



Admin de pcinpact il serais bon d’abandonné cloudflare&nbsp;


Quand je ne peux pas utiliser de resolver perso parce que c’est souvent compliqué à mettre en oeuvre je trouve (en tout cas pour moi), j’utilise pour l’instant 9.9.9.9 considéré par Stéphane Bortzmeyer comme pas trop mal sécurisé, voir son blog :http://www.bortzmeyer.org/quad9.html



quad9 est imparfait, mais me semble le plus proche du sain que l’on appelle de nos vœux pour les DNS








lordofkill a écrit :



CloudFlare est le mal incarné



on prépare une plainte contre eux avec des dommages sérieux , 



Leur cookies obligatoire qui vous suit partout 

leur service d’abus pourri , 

le manque d’actions sur du contenu vraiment illicite , (site diffusant ou qui vende des information personnel )

SE cache sur un contrat illicite , disens n’être aucunement responsable du contenu car il ne sont pas hebergeur alors que si tu a été avisé et ne fait rien tu devient responsable 



Admin de pcinpact il serais bon d’abandonné cloudflare







Ce qui ce “on” ?



J’ai limite plus confiance en des DNS FR style Online ou OVH qu’en Cloudflare et autres services US…



<img data-src=" />








BlackKrystal a écrit :



Si, c’est un problème récurrent chez eux (du moins sur le DNS “public”, il me semble qu’il y’en a un autre pour les abonnés FDN).





En effet. Les résolveurs ouverts correspondent à une action militante de l’association (à l’instar du VPN open bar). Le FAI met d’autres résolveurs à disposition de ses abonnés (xDSL ou VPN).



Un bon tuto pour installer un résolveur DNS sur son serveur dédié ou VPS avec Unbound :&nbsp;https://jesuisadmin.fr/installer-resolveur-dns-unbound/(bien penser à ouvrir le port 53 en UDP avec iptables et supprimer Bind9 s’il était installé).



J’en étais resté à la solution avec Bind9 que je n’avais jamais réussi à faire fonctionner et là avec Unbound cela a fonctionné tout de suite avec le fichier de conf de ce tuto.&nbsp;

Reste à voir comment mieux sécuriser ce résolveur et optimiser la configuration.


Wow j’étais pas du tout au courant de ça. c’est quoi ce bordel?

c’est un putain de scandale! <img data-src=" />


AdGuard (qui filtre les pubs par VPN local) permet d’utiliser un DNS tiers + dnscrypt. C’est encore ce qu’il y a de plus efficace pour contourner les redirections de requêtes DNS illégales de certains opérateurs mobiles. Et ça donne une visibilité facile sur toutes les applis actives (attention, vertige garanti)


Je pense qu’il vaut mieux quitter au plus vite des opérateurs aussi peu respectueux. Taper au portefeuille, il n’y a que ça de vrai.



Sinon, sur le côté illégal, tu peux me citer l’article de loi violé ?








fred42 a écrit :



Sinon, sur le côté illégal, tu peux me citer l’article de loi violé ?





Le règlement publié au JOCE&nbsp;(PDF)



&nbsp;Voir Article 3 (3)



tablette DE Michel .. la base quoi








durthu a écrit :



et la fusée à paulo !!!







Très drôle celle la lol



Ceci etant dit Une question couillonne… Cloudflair c’est mieux ou kif kif que FDN ? Parce que sinon moi j’ me satisfais aisément de ceux la :)



Depuis ma connexion VDSL Free, le 1.1.1.1 et le 1.0.0.1 me donnent entre 17 et 18 ms de ping.


j’ai ceux de fdn en fibre optique depuis 3 ans.

Aucun problème de lenteur et aucun logs…



Donc surement un soucis côté opérateur <img data-src=" />


c’est vrais qu’il vraiment rapide comment c’est financé ?


J’ai un problème avec leur DNS : impossibilité d’envoyer des MMS et certaines fonctionnalités comme Firefox Sync (envoyer la page ouverte au PC par exemple) ne fonctionnent plus non plus…


je confirme j’ai constater une réelle difference de rapidite et de stabilité sur mon pc a chier sous lubuntu&nbsp;



et chez moi ca marche avec numéricable et une co a 2.5mo/s en down et 1mo/s en up le tout en wifi sur un lenovo g50-45