Bouygues, Free, Orange et SFR devront bloquer trois sites ukrainiens

Bouygues, Free, Orange et SFR devront bloquer trois sites ukrainiens

Faute de traitement chirurgical

Avatar de l'auteur
Marc Rees

Publié dans

Droit

22/05/2014 3 minutes
83

Bouygues, Free, Orange et SFR devront bloquer trois sites ukrainiens

Information Next INpact : un cabinet d’avocats avait réclamé devant le TGI de Paris le blocage de quatre URL issues de trois sites ukrainiens. Faute de pouvoir répondre techniquement à cette mesure chirurgicale, Bouygues, SFR, Free et Orange devront pour l’instant empêcher l’accès à l’ensemble de ces sites. La magistrate en charge du dossier a cependant raboté quelque peu la portée de cette mesure dans son ordonnance de référé du 20 mai. 

 

justice palais tgi paris

Un cabinet d’avocats parisiens n’avait pas vraiment apprécié que leurs échanges privés soient diffusés en clair par trois sites ukrainiens, dont Trust.UA. L’article litigieux relatait avec moult détails (SMS, mails, etc.) une procédure d’extradition visant un citoyen d’Europe de l’Est. Le cabinet réclamait du coup en référé le blocage de quatre adresses internet en se fondant sur la loi sur la confiance dans l’économie numérique.

 

En face, les FAI expliquent aux demandeurs qu’ils ne savent pas bloquer techniquement quatre adresses. De sources judiciaires, ils réclament également des mesures limitées dans le temps, puisque ce référé a été lancé en même temps qu’une procédure pénale. Enfin, tous refusent de prendre en charge le coût de ces mesures.

Bloquer 4 URL, un choix compliqué

Dans son ordonnance de référé, la vice-présidente du TGI de Paris, Anne-Marie Sauteraud a reconnu qu’un tel blocage chirurgical visant quatre URL est très difficile techniquement, tout en étant facilement contournable et risqué sur le terrain des libertés individuelles. Bref, des mesures non proportionnées.

 

Le TGI de Paris avait donc le choix : laisser le tout en ligne ou exiger un blocage des trois sites, rendant inaccessibles autant d’informations non illicites. Compte tenu de la gravité des faits (interception et diffusion d’échanges entre avocats, violation de la vie privée, violation du secret professionnel), la magistrate a préféré opter pour le blocage intégral qui devra être actif dans les jours à venir.

Comment relativiser un blocage intégral

Cependant, elle va relativiser le caractère quelque peu expéditif de la mesure : compte tenu du principe de proportionnalité, ces mesures seront limitées dans le temps, en attendant la décision au fond. En outre, il n’y aura pas d’astreinte et les demandeurs devront prendre en charge les coûts de ces mesures. En effet, précise la juge, les FAI ne sont pas responsables de ces contenus et aucun texte ne les oblige à les supporter financièrement. Enfin, les FAI auront le choix de la mesure de blocage, IP ou DNS.

 

Fait notable, les FAI ont estimé le coût du blocage entre 1 000 et 1 500 euros par site. Autre point à souligner, les abonnés Numéricable ou les utilisateurs des services caches (Archive.org, Google, etc.) pourront toujours accéder aux contenus litigieux faute pour ces services de ne pas avoir été appelés à la barre.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Bloquer 4 URL, un choix compliqué

Comment relativiser un blocage intégral

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (83)


Bref, un bel effet Streisand à venir…


Il manque les URL a bloquer dans l’article <img data-src=" />


8.8.8.8

8.8.4.4


Même si la motivation du blocage est, disons, compréhensible (violation du secret de l’instruction), la méthode même du blocage est inepte. Peu importe le but, si la méthode pour l’atteindre est naze, elle est injustifiable.



Après, en plus de NC Numéricâble, OVH est encore une fois oublié.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


Tiens, j’habite en Chine maintenant donc ? J’ai pas reçu le mémo…








Commentaire_supprime a écrit :



Après, en plus de NC Numéricâble, OVH est encore une fois oublié.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





Empêcher les gens d’y aller en Rinault, en Pigeot et en Citroën… Tant pis, on prend une Audi.












Ricard a écrit :



8.8.8.8

8.8.4.4







URL google, caca !



Regardez plutôt ça =&gthttp://www.opennicproject.org



Puis ça =&gt;http://www.wikileaks.org/wiki/Alternative_DNS



A tort et à travers TOR <img data-src=" />








bingo.crepuscule a écrit :



URL google, caca !



Regardez plutôt ça =&gt;http://www.wikileaks.org/wiki/Alternative_DNS





DNS menteur…<img data-src=" />









Ricard a écrit :



DNS menteur…<img data-src=" />







Pas OpenNic. <img data-src=" />









Ricard a écrit :



DNS menteur…<img data-src=" />







tu crois que celui de google est mieux









bingo.crepuscule a écrit :



URL google, caca !



Regardez plutôt ça =&gthttp://www.opennicproject.org



Puis ça =&gt;http://www.wikileaks.org/wiki/Alternative_DNS



Dont tout en bas les DNS Google <img data-src=" />.

Avoue qu’il est plus simple de retenir 8.8.8.8 que le 213.73.91.35 du CCC…









bingo.crepuscule a écrit :



Pas OpenNic. <img data-src=" />





M’a déjà planté plusieurs fois.<img data-src=" />



Edit: Par contre, j’ai toujours utilisé ceux proposés en page d’acceuil, soit disant plus rapides car plus proches de chez moi. Surement une erreur.









trash54 a écrit :



tu crois que celui de google est mieux





D’après Stéphane Botzmeyer… oui.<img data-src=" />

Et j’aurais tendance à lui faire confance quand il sagit de DNS.









CUlater a écrit :



Dont tout en bas les DNS Google <img data-src=" />.

Avoue qu’il est plus simple de retenir 8.8.8.8 que le 213.73.91.35 du CCC…







Forcément, quand on a les moyens de se payer une IP à quatre chiffres similaires… <img data-src=" />



Mais fait donc, si te jeter dans la gueule du loup te plaît… Après tout, tu n’as rien à cacher n’est ce pas ? <img data-src=" /> <img data-src=" />









bingo.crepuscule a écrit :



Forcément, quand on a les moyens de se payer une IP à quatre chiffres similaires… <img data-src=" />



Mais fait donc, si te jeter dans la gueule du loup te plaît… Après tout, tu n’as rien à cacher n’est ce pas ? <img data-src=" /> <img data-src=" />



Tellement rien que j’utilise les DNS de mon FAI <img data-src=" /> <img data-src=" />



Comment faire une bonne pub au site en question ? N’est-ce pas justement en interdisant ces sites … Franchement, c’est n’importe quoi. On entre justement dans un internet censuré. Je ne dis pas que les informations divulguées doivent l’être car il y a certainement de bonnes raisons si ils souhaitent les garder confidentielles… Bloquer ces sites en France, c’est idiot car il existe tellement de contournements pour pouvoir y accéder : VPN, proxy, …



Une attaque DDOS serait plus efficace !!! Sérieusement, à part se retourner contre le propriétaire du site, je ne vois pas ce qu’ils peuvent vraiment faire pour rester dans les règles.








bingo.crepuscule a écrit :



Forcément, quand on a les moyens de se payer une IP à quatre chiffres similaires… <img data-src=" />



Mais fait donc, si te jeter dans la gueule du loup te plaît… Après tout, tu n’as rien à cacher n’est ce pas ? <img data-src=" /> <img data-src=" />







Entre passer par google ou passer par un organisme inconnu dont le seul contact est un chan IRC, hmmmmmmmouais je sais pas je choisirais Google, au moins eux ils ont des trucs à perdre s’ils font des conneries.



Fait notable, les FAI ont estimé le coût du blocage entre 1 000 et 1 500 euros par site.



C’est pas ce qu’on peut appeler cher <img data-src=" /> Et on parle de difficile techniquement ? <img data-src=" />








trash54 a écrit :



tu crois que celui de google est mieux



Disons qu’il n’est pas menteur quoi <img data-src=" />

Il annonce clairement la couleur <img data-src=" />









Commentaire_supprime a écrit :



J’avais un filtre à mettre à jour, c’est fait.







Ah ? On peut faire ça ?

[…]

Mais oui ! Joie, bonheur et allégresse.

Merci Commentaire_supprime





Anne-Marie Sauteraud a reconnu qu’un tel blocage chirurgical visant quatre URL est très difficile techniquement





J’ai un peu de mal à le concevoir. Si j’ai bien compris il suffit d’interdire une adresse par exemple www.pcinpact.fr/révelation/ donc à priori pc inpact serait toujours accessible et si on veut aller sur révélation, on aura une erreur 404.



Désolé des erreurs j’essaie de comprendre et de concevoir la difficulté technique.








Miles Prower a écrit :



Tiens, j’habite en Chine maintenant donc ? J’ai pas reçu le mémo…







Il a été bloqué par ton FAI <img data-src=" />









Commentaire_supprime a écrit :



J’avais un filtre à mettre à jour, c’est fait.





il y a un moment que je l’ai déjà fait!









Miles Prower a écrit :



Tiens, j’habite en Chine maintenant donc ? J’ai pas reçu le mémo…







T’es à la ramasse. Bientôt tout le monde habitera en chine. <img data-src=" />









bingo.crepuscule a écrit :



Mais fait donc, si te jeter dans la gueule du loup te plaît… Après tout, tu n’as rien à cacher n’est ce pas ? <img data-src=" /> <img data-src=" />







Pour vivre heureux, vivons caché ?



J’ai de plus en plus de mal a croire qu’on peut vraiment éviter d’être pisté sur le net en 2014. A moins de se monter une config de paranoiaque TOR / VPN / Proxy et de surfer en mode “text only”, y a toutes les chances que tes activitées soient cataloguées quelque part.



Pour les requêtes DNS que tu souhaites garder secrètes, tape directement l’adresse IP. D’ailleur, je trouve que ca devrait être une option quand on bookmark une page.




Les USA n’ont pas réussi à contenir des fuites béantes, malgré leurs moyens. Dépenser autant de ressources franco-françaises pour trois sites qui se battent, et l’histoire d’un pauvre gusse…



Ca me ferait marrer que les Ukrainiens postent sur Facebook, Twitter ou sur les Google Groups.



Lorsque les victimes sont des magistrats, tout va plus vite que pour le peuple… Justice à deux vitesses, toussa…



Pour ceux qui se poseraient la question (à cause des suppressions), oui un débat autour de la politique de modération n’a pas pas sa place ici. Ceux qui s’interrogent sur ce domaine peuvent m’envoyer un email ou ouvrir un topic dans le forum. Et ce n’est pas la peine non plus de répondre à ce commentaire, ce n’est pas l’endroit <img data-src=" />








FunnyD a écrit :



Pas de rapport avec faire le ouioui, comme tu dis, mais disons que tu vomis de la merde par écrit à chaque post, tu fais systematiquement dans le hors sujet, dans l’agression, dans la politisation de chaque sujet, en bref, je suis surpris que tu n’ai pas encore été banni; pourtant, tu t’y emploies.



Quant au “Inutile de me répondre”, j’aime bien ne pas obéir <img data-src=" />







FunnyD est la preuve vivante avec son ami que je ne citerai pas humm, en fait si ActionFighter, que NXi ne “censure” pas au grès de l’orientation du vent… <img data-src=" />









Commentaire_supprime a écrit :



Même si la motivation du blocage est, disons, compréhensible (violation du secret de l’instruction), la méthode même du blocage est inepte. Peu importe le but, si la méthode pour l’atteindre est naze, elle est injustifiable.



Après, en plus de NC Numéricâble, OVH est encore une fois oublié.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





Nerim également.









bingo.crepuscule a écrit :



URL google, caca !



Regardez plutôt ça =&gthttp://www.opennicproject.org



Puis ça =&gt;http://www.wikileaks.org/wiki/Alternative_DNS





Merci <img data-src=" />.









raffoul a écrit :



…Une attaque DDOS serait plus efficace !!! Sérieusement, à part se retourner contre le propriétaire du site, je ne vois pas ce qu’ils peuvent vraiment faire pour rester dans les règles.





Mais une attaque DOS est illégale non ?









Winderly a écrit :



Mais une attaque DOS est illégale non ?







Aujourd’hui ce serait plutôt une attaque windows. <img data-src=" />





<img data-src=" />









Ricard a écrit :



8.8.8.8

8.8.4.4





si ils bloquent correctement, complet comme copwatch en 2011, ca s’arrete pas au DNS : ils bloquent aussi l’ip du site, donc googledns te donnera la bonne ip, mais ton fai la bloquera ;)



seule solution, proxy. Mais la on estime que tu ne visite plus un site interdit, mais un proxy :p









Vincent_H a écrit :



Pour ceux qui se poseraient la question (à cause des suppressions), oui un débat autour de la politique de modération n’a pas pas sa place ici. Ceux qui s’interrogent sur ce domaine peuvent m’envoyer un email ou ouvrir un topic dans le forum. Et ce n’est pas la peine non plus de répondre à ce commentaire, ce n’est pas l’endroit <img data-src=" />







Sachant que ceux qui hurlent le plus à la censure à cause de leurs propres excès propagandistes deviennent les pires des censeurs une fois qu’ils ont le pouvoir…



Merci pour le bon travail de police sur ce site, ingrat et pas facile, et toujours critiqué… par ceux qui abusent de leur liberté d’expression au détriment de celle des autres !









Cara62 a écrit :



FunnyD est la preuve vivante avec son ami que je ne citerai pas humm, en fait si ActionFighter, que NXi ne “censure” pas au grès de l’orientation du vent… <img data-src=" />





C’est clair <img data-src=" />









metaphore54 a écrit :



…on aura une erreur 404…







ce serait plutôt 451

http://en.wikipedia.org/wiki/HTTP_451









trekker92 a écrit :



si ils bloquent correctement, complet comme copwatch en 2011, ca s’arrete pas au DNS : ils bloquent aussi l’ip du site, donc googledns te donnera la bonne ip, mais ton fai la bloquera ;)



seule solution, proxy. Mais la on estime que tu ne visite plus un site interdit, mais un proxy :p





Si…. Pour le moment, changer ses DNS suffit largement dans 95% des cas.<img data-src=" />









Ricard a écrit :



Si…. Pour le moment, changer ses DNS suffit largement dans 95% des cas.<img data-src=" />





suffit dans largement des cas, mais ne devrait pas suffir. Bloquer un site complet, c’est à la fois par dns et par firewall



Pas concerné. J’suis chez http://www.aquilenet.fr/

<img data-src=" />


WTF ? C’est en russe <img data-src=" />


Il serait possible de préciser le nom des plaignants ?




En effet, précise la juge, les FAI ne sont pas responsables de ces contenus et aucun texte ne les oblige à les supporter financièrement.





Intéressant, encore un jugement qui va à l’encontre de certaines demande, du genre de celle faites par les ayants droits pour le blocage de sites qu’ils jugent illicites.




En outre, il n’y aura pas d’astreinte et les demandeurs devront prendre en charge les coûts de ces mesures. En effet, précise la juge, les FAI ne sont pas responsables de ces contenus et aucun texte ne les oblige à les supporter financièrement.





C’est nouveau ça, non ? Je ne crois pas que ce soit le premier blocage, mais il me semble que c’est la première fois qu’un juge déclare que les coût ne doivent pas être assumés par les FAI… <img data-src=" />

Pour Allostreaming, qui avait payé ?









trekker92 a écrit :



seule solution, proxy. Mais la on estime que tu ne visite plus un site interdit, mais un proxy



Qui estime ça ? La justice ?









bingo.crepuscule a écrit :



URL google, caca !



Regardez plutôt ça =&gthttp://www.opennicproject.org



Puis ça =&gt;http://www.wikileaks.org/wiki/Alternative_DNS





Pourquoi mettre ceux de Google a la fin si ils sont si mal que ca ? <img data-src=" />

vraie interrogation, dire que c’est caca et après donner le lien d’une page qui les donne, c’est un peu comique <img data-src=" />









le-gros-bug a écrit :



WTF ? C’est en russe <img data-src=" />







Encore heureux, en ukrainien je ne m’en sortirais pas. Mais bon, tout en étant très intéressant, c’est qu’en même un peu long <img data-src=" />









le-gros-bug a écrit :



WTF ? C’est en russe <img data-src=" />







J’aime beuacoup le :



????????? ??????: ??? ?? ????? ???? ?????? ??????? ???????? ??????? ? ???????







Une question apparaît: qui se paye des juristes occidentaux chers et pourquoi ?










Vser a écrit :



J’aime beuacoup le :





Une question apparaît: qui se paye des juristes occidentaux chers et pourquoi ?












C’est pour etre sur qu’ils ne seront pas corrompus car déjà bien payer<img data-src=" />









Ricard a écrit :



8.8.8.8

8.8.4.4



Sinon,



# apt-get install unbound



# echo “nameserver 127.0.0.1” &gt; /etc/resolv.conf









bingo.crepuscule a écrit :



Forcément, quand on a les moyens de se payer une IP à quatre chiffres similaires… <img data-src=" />



Mais fait donc, si te jeter dans la gueule du loup te plaît… Après tout, tu n’as rien à cacher n’est ce pas ? <img data-src=" /> <img data-src=" />







C’est surtout que les DNS de Google ont été réservés il y a bien plus longtemps que les autres, donc ils pouvaient se permettre une souplesse dans le choix, maintenant en 2014 c’est bien plus restreint !



<img data-src=" />



<img data-src=" />



Edit : Je rajouterai aussi DNS S.S !!



Ok, je sors ! —-&gt; [ ]









Winderly a écrit :



Mais une attaque DOS est illégale non ?







Oui j’ai dis ça pour déconner mais je suis persuadé que ce serait bcp plus efficace, même si c’est interdit en effet.









Ricard a écrit :



M’a déjà planté plusieurs fois.<img data-src=" />



Edit: Par contre, j’ai toujours utilisé ceux proposés en page d’acceuil, soit disant plus rapides car plus proches de chez moi. Surement une erreur.





dommage, moi qui voulait changer de OpenDNS car basé aux US <img data-src=" />









kade a écrit :



Empêcher les gens d’y aller en Rinault, en Pigeot et en Citroën… Tant pis, on prend une Audi.







euh t’es entrain de dire que NC est digne de la qualité d’une Audi ?



<img data-src=" />









Elwyns a écrit :



euh t’es entrain de dire que NC est digne de la qualité d’une Audi ?



<img data-src=" />





Quand j’avais NC (durant 10 ans) le réseau, c’était une Audi.

Le matos (box, décodeur TV), une Twingo.

La hot-line : une Traban.










jaguar_fr a écrit :



dommage, moi qui voulait changer de OpenDNS car basé aux US <img data-src=" />





Faut peut-être chercher des serveurs plus stables que ceux proposés.<img data-src=" />



8.8.8.8








eupalynos a écrit :



Sinon,



# apt-get install unbound



# echo “nameserver 127.0.0.1” &gt; /etc/resolv.conf





Wé. Et tu le bases sur quoi ton Unbound ?<img data-src=" />









Shulk a écrit :



Pas concerné. J’suis chez http://www.aquilenet.fr/

<img data-src=" />





Pas terrible comme FAI. Les liens ne marchent pas.<img data-src=" />









Ricard a écrit :



Pas terrible comme FAI. Les liens ne marchent pas.<img data-src=" />









Effectivement j’ai merdé <img data-src=" /> . www.aquilenet.fr









metaphore54 a écrit :



J’ai un peu de mal à le concevoir. Si j’ai bien compris il suffit d’interdire une adresse par exemple www.pcinpact.fr/révelation/ donc à priori pc inpact serait toujours accessible et si on veut aller sur révélation, on aura une erreur 404.



Désolé des erreurs j’essaie de comprendre et de concevoir la difficulté technique.





Les FAI expliquent qu’il est plus simple pour eux de bloquer un domaine ou une IP que de bloquer précisément quelques pages. Comme en gros ils ont tous leurs propres serveurs DNS, ils n’ont qu’à dégager les sites en cause de ces DNS pour que la résolution devienne impossible et que la décision de justice soit exécutée – en tout cas en ce qui les concerne, c’est-à-dire leurs services et leurs abonnés, car à l’impossible nul n’est tenu –. Je ne suis absolument pas spécialiste de la question, mais il me semble que tu ne peux pas interdire juste une URL dans ta configuration DNS.



Par ailleurs ils avancent que le blocage URL est certes beaucoup moins radical, mais qu’il est extrêmement facile à contourner parce qu’un contenu peut être accessible à de multiples adresses sur un même site par exemple. En réalité je pense que c’est aussi un peu plus complexe à mettre en place, et donc plus coûteux pour eux. Étant donné qu’ils sont contraints d’avoir des salariés qui se consacrent à plein temps à ces blocages (entre les sites de jeu en ligne, les sites pédopornographiques, les blocages judiciairement ordonnés comme en l’espèce… il y a bien plus de boulot que l’on ne croit), ils ont tout intérêt : 1°/ à ce que ce soit le moins complexe, donc le plus rapide et le moins cher possible ; 2°/ à ce qu’une même affaire ne nécessite pas 25 interventions parce qu’un blocage URL a été contourné 24 fois par le site source, d’où la préférence pour la méthode DNS bourrin.



Après personne n’est dupe : il n’y a que les demandeurs dans ces instances qui s’imaginent que leur action puisse être efficace. Nous savons tous qu’il suffit de changer ses DNS, d’utiliser un proxy, un VPN, d’attendre que le site source ait enregistré quelques nouveaux noms de domaine ou tout simplement de profiter des miroirs naturellement générés suite à une mesure de blocage/filtrage (le fameux effet Streisand) pour continuer à consulter le contenu. Nous savons aussi que la seule méthode réellement efficace est la méthode lourde façon USA vs. Megaupload, et que ce n’est pas envisageable. Mais nous savons aussi que pour 95% des internautes de ce pays, qui utilisent les DNS de leur FAI sans même le savoir et dont les connaissances se limitent à appuyer sur le bouton on/off de leur machine, les mesures telles que celle ordonnée dans l’ordonnance de référé ici rapportée sont amplement suffisantes.



En résumé, c’est l’état du droit aujourd’hui. C’est extrêmement imparfait car la façon dont fonctionne internet ne permet aucune réponse véritablement efficace, mais faut-il pour autant que le législateur et les juridictions renoncent à faire quoi que ce soit ? J’ai toujours été hostile par principe à ce genre de mesure, mais je comprends ce qui les motive.



NB: pour ce qui est de l’oubli de Numéricable, il me semble qu’une seconde assignation va leur être délivrée pour demander la même mesure de blocage. Ce n’est pas dramatique car l’erreur va être réparée, avec retard, mais c’est une belle bourde de la part de l’avocat des demandeurs, qui n’est vraiment pas spécialiste des questions liées à internet.


En même temps bien fait pour la gueule des avocats marrons on cas faire attention a leur connexion internet, messagerie, sauvegarde et chiffrement des données sa existe, ah ils sont fort intellectuellement mais cons techniquement…<img data-src=" />



<img data-src=" />








Ricard a écrit :



Wé. Et tu le bases sur quoi ton Unbound ?<img data-src=" />





Ben, sur les DNS root

<img data-src=" />









eupalynos a écrit :



Ben, sur les DNS root

<img data-src=" />





Quelle délicieuse idée…









Ricard a écrit :



Quelle délicieuse idée…



???









eupalynos a écrit :



???





Ben, le DNS n’est qu’une base de donnée distribuée. Se connecter sur un serveur racine ne me semble pas être le plus pertinent.









Ricard a écrit :



Ben, le DNS n’est qu’une base de donnée distribuée. Se connecter sur un serveur racine ne me semble pas être le plus pertinent.



Ditribué et hiérarchique. Unbound est un cache resolver.











eupalynos a écrit :



Ditribué et hiérarchique. Unbound est un cache resolver.











Ricard a écrit :



Nan mais j’entends bien. Mais un serveur racine ne s’occupe que de ses zones, et ne possède donc pas de cache. Le gain de perfs ne doit pas être là.



Oui. Mais dans la config que je propose, c’est unbound qui sert de cache.



Lors d’une première demande, il interroge les serveurs DNS depuis le cache jusqu’au serveur faisant autorité pour le nom demandé puis il conserve cette réponse dans son cache pendant un temps défini par le TTL (Time To Live) de l’enregistrement demandé.



C’est exactement ce que font les serveurs DNS des FAI, de Google…



La différence ici est qu’on est certain de ne pas avoir à faire à un DSN menteur (càd qui renvoi une réponse statique à certaines demande).









eupalynos a écrit :



Oui. Mais dans la config que je propose, c’est unbound qui sert de cache.



Lors d’une première demande, il interroge les serveurs DNS depuis le cache jusqu’au serveur faisant autorité pour le nom demandé puis il conserve cette réponse dans son cache pendant un temps défini par le TTL (Time To Live) de l’enregistrement demandé.



C’est exactement ce que font les serveurs DNS des FAI, de Google…



La différence ici est qu’on est certain de ne pas avoir à faire à un DSN menteur (càd qui renvoi une réponse statique à certaines demande).





Nan mais je sais comment ça fonctionne. J’ai d’ailleurs unbound sur mon serveur perso. Spas le problème. Le soucis, c’est les temps d’accès. Le gain ne doit pas être au rendez-vous.



Edit: D’ailleurs, d’après Botzmeyer, les DNS google ne sont PAS des DNS menteurs.









Ricard a écrit :



Nan mais je sais comment ça fonctionne. J’ai d’ailleurs unbound sur mon serveur perso. Spas le problème. Le soucis, c’est les temps d’accès. Le gain ne doit pas être au rendez-vous.



L’avantage des cache-resolver externe, c’est que, étant utilisés par beaucoup de monde, tu as toutes les chances que ta réponse soit en cache.

Ceci dit, je viens de faire un test depuis un accès ADSL OVH sur une requête de type A que je viens de créer sur une zone dont je contrôle les DNS :





  • temps de réponse 8.8.8.8 : 1ère requête (pas en cache) environ 200 ms ; requêtes suivantes 35 ms

  • temps de réponse de unbound local : environ 85 ms à la première requête, 1 ms pour les suivantes





    Donc, d’un point de vue performance, je préfère unbound en local :-)



    Edit: D’ailleurs, d’après Botzmeyer, les DNS google ne sont PAS des DNS menteurs.



  • Comment en être sûr pour tous les enregistrements ?

  • Jusqu’à quand ?













Ricard a écrit :





Tiens, info qui peut être utile : on peut forcer 8.8.8.8 à vider son cache pour un enregistrement donné : https://developers.google.com/speed/public-dns/cache



Edit : en fait, je pense que ça rafraîchit le cache plutôt que de le vider…









eupalynos a écrit :



Tiens, info qui peut être utile : on peut forcer 8.8.8.8 à vider son cache pour un enregistrement donné : https://developers.google.com/speed/public-dns/cache



Edit : en fait, je pense que ça rafraîchit le cache plutôt que de le vider…





<img data-src=" />