DNS Menteur et le blocage de site internet

Vous ne le savez peut-être pas mais en France, un filtrage d’internet existe notamment à travers un filtrage DNS.
Officiellement, ce dernier a pour but de bloquer les sites djihadistes mais des sites ne respectant pas les droits d’auteurs sont aussi visés.

Voici comment fonctionne ce filtrage DNS ou DNS menteurs, ses limites et contournements.

Introduction

En France, Internet est délivré par des fournisseurs d’accès.
Généralement ces derniers vous proposent des box clé en main qui permettent l’établissement de la connexion internet.
Ces dernières sont configurées et gérées à distance par les FAI, par exemple, ils peuvent effectuer des mises à jour.

Dans la configuration de la connexion internet des box, les serveurs DNS déclarés sont ceux des fournisseurs internet.
Rappelons qu’un serveur DNS se charge de faire la correspondance entre une adresse littérale et une adresse IP.
Cela permet d’identifier le serveur où se connecter à partir de l’adresse littérale.

Ainsi, les fournisseurs d’accès peuvent bloquer l’accès à un serveur via ce mécanisme.
Pour cela, il suffit de ne pas donner la bonne adresse IP lors de l’interrogation DNS.
Ce système de blocage se nomme DNS menteurs ou filtrage DNS puisqu’il renvoie une fausse adresse IP.
C’est d’ailleurs exactement le même principe que le blocage de site par le fichiers HOSTS de Windows.

Loi contre le djihadistes

Techniquement, un FAI peut bloquer l’accès à un site internet ou un service internet. Le principe de neutralité d’internet protège de cela.
Toutefois, parfois, certains FAI le dérogent pour leurs propres intérêts.
Par exemple, Free a pu parfois bloquer les publicités Google pour faire pression sur ce dernier.

En novembre 2014, dans le projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme a mis en place le filtrage DNS ou DNS menteurs.
Initialement, le but est de bloquer les sites internet faisant l’apologie du terrorisme et du djihadistes.
Voici la page du ministère de l’intérieur qui s’affiche lorsque l’on tente d’accéder à un site terrorisme bloqué.

Mais comme c’est souvent le cas avec ce type de lois, d’autres intérêts se sont greffés et notamment les ayants droits utilise cette censure pour demander le blocage de divers sites internet ne respectant pas les droits d’auteurs.

Aujourd’hui, le filtra DNS s’utilise pour bloquer des sites internet.
Cet article de Wikipedia résume l’évolution de la censure sur internet : https://fr.wikipedia.org/wiki/Censure_d’Internet_en_France

Enfin un ancien article existe sur le forum : Filtrage DNS ou DNS Menteurs

Le Filtrage DNS en pratique

Voici un exemple de site internet bloqué par le filtrage DNS ou DNS menteur.
La première commande nslookup tente une résolution DNS, le serveur DNS retourne l’adresse 127.0.0.1.
Cette dernière est une adresse locale et donc la connexion au site internet sera impossible.

Ainsi le site bloqué devient inaccessible.

Dans ce second test, on demande la résolution DNS avec le serveur 8.8.8.8 qui appartient à Google.
Cette fois-ci le résultat est différent et on obtient plus 127.0.0.1 mais bien une adresse IP sur internet réelle.

Avec un DNS résolveurs alternatifs, ici 1.1.1.1 (CloudFlare), la connexion au site internet devient possible.

Les limites

Le paragraphe précédent présente les limites.
Ainsi changer les serveurs DNS et ne pas utiliser celles des fournisseurs d’accès permet de passer outre ce type de filtrage.

Les utilisateurs de VPN ne seront pas non plus affectés puisque ce dernier utilise ses propres serveurs DNS.

Les grands services internet comme Google, CloudFlare, OpenDNS proposent leurs propres serveurs internet.
On en parle sur l’article suivant.

Enfin une autre alternative est l’utilisation de Simple DNSCrypt qui permet notamment de chiffrer les connexions DNS.


(Visité 779 fois, 2 visites ce jour)
DNS Menteur et le blocage de site internet
Note : 5 (100%) 1 vote

Add Comment