Comment récupérer un Internet (un peu) plus sain
Dans Depuis peu de temps va entrer est entré en vigueur le décret plus que discutable de censure de sites web. Je ne vais pas discuter le la pertinence d’un tel décret, puisque nos « élites » refusent systématiquement toute discussion concernant les bonnes décisions à prendre pour améliorer la situation française (jusqu’à considérer les députés ayant une conscience de « traître » par notre propre sinistre de l’intérieur).
Non, maintenant que les principaux fournisseurs d’accès à Internet, qui regroupent à eux seuls 90% des abonnements fixe, sont contraints de vous mentir suivant les adresses que vous demandez (un peu comme la Chine en fait), et puisque la méthode choisie pour vous mentir est aisément contournable, je sors de mon rythme habituel de publication, car il est temps de récupérer un peu de contrôle.
Petit rappel sur le DNS
Je l’ai probablement déjà dit, et vous le savez déjà peut-être, nos ordinateurs, smartphones, et tout appareil relié à Internet sont identifiés par une adresse IP. Pour pouvoir joindre une machine plus simplement, on a développé un système, le DNS, pour (entre autres) traduire un nom en une adresse IP. C’est comme ça qu’on sait que blog.seboss666.info est une machine qui a l’adresse 91.121.61.180. Le DNS est un système fortement décentralisé, et il existe une quantité très importante de résolveurs, ces machines prévues pour répondre à vos questions.
1 2 3 4 5 6 7 8 9 |
$ dig blog.seboss666.info A (...) ;; ANSWER SECTION: blog.seboss666.info. 12891 IN A 91.121.61.180 ;; Query time: 26 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Thu Feb 5 18:38:06 2015 ;; MSG SIZE rcvd: 64 |
Et pour vous mentir, les fournisseurs vont donc modifier les réponses. S’ils veulent bloquer ce blog, il leur suffira de dire que blog.seboss666.info utilise une autre adresse (typiquement, une adresse qui ne débouche sur rien–ce qui était le cas en Chine, jusqu’à récemment–, ou dans certains cas sur de la pub–déjà vu dans le passé).
Un contournement très facile
Donc lorsque votre bidulebox se « connecte », elle récupère une ou deux adresses de résolveurs, tenus par votre FAI, et vous les transmet. Votre ordinateur va ensuite, à chaque demande de nom, interroger ces résolveurs. Les FAI, qui sont contraints à vous mentir sous prétexte, pour l’instant, de lutte contre le terrorisme et la pédopornographie, manipulent donc les résultats. Si supprimer les dealers des rues empêchaient les gens de se droguer, ça se saurait. Ou dans le cas présent, empêcher les dealers de s’afficher en pleine rue.
Avant qu’ils se mettent à censurer d’autres sites moins sales (sous couvert de la protection de la bonne pensée–vous sentez le glissement ?), il suffit de faire nos demandes de noms à d’autres résolveurs, non contraints par la loi Française (car la Justice est littéralement écartée de l’affaire, joli dans le pays des droits de l’Homme hein ?). Oui, c’est aussi simple que ça. Pour l’instant.
La solution de contournement est facile : forcer vos appareils, en particulier vos bidulebox, à utiliser et vous transmettre les adresses IP de résolveurs sains, comme ceux de fournisseurs d’accès associatifs (l’article est intéressant à plus d’un titre d’ailleurs), voire, dans une moindre mesure, ceux de Google, qui sont hors d’atteinte de la loi Française (et mentent beaucoup moins souvent, voire pas du tout).
Méthode simple : les serveurs DNS d’FDN
FDN est un des plus anciens et plus respectables fournisseurs d’accès à internet français. Particularité, c’est une association, pas une société commerciale, et elle a à cœur la défense d’un Internet propre et neutre. Fait amusant, ils ne sont pas concernés par la nouvelle « loi » sur le blocage des sites sans juge.
Une fois n’est pas coutume, je vais montrer les manipulations sur une Livebox 2 Sagem Orange, mais la procédure est normalement la même pour toutes les box et routeurs qui proposent de gérer un serveur DHCP (le mécanisme qui vous transmet, entre autres choses, les IP des serveurs DNS). Toutefois le réglage du serveur DNS se fait à part sur ce modèle de box.
On ouvre la page d’administration de la Livebox. Typiquement, c’est cette adresse qu’il faut utiliser (vous pouvez y aller, c’est sain). En haut à droite, il faudra entrer les login et mot de passe d’administration. C’est simple comme bonjour, dans 99% des cas : admin/admin. Il faut ensuite se rendre dans ces menus, pour accéder aux réglages DNS :
Normalement, vous avez deux lignes, DNS Primaire, et DNS secondaire. habituellement il n’en utilise qu’un, mais la deuxième adresse est là en secours. Sachez qu’il est même possible d’en définir trois, mais ce n’est pas le cas ici :
On remplace donc ceux qui sont déjà renseignés par ceux qu’FDN indique dans l’article lié plus haut :
- Primaire – 80.67.169.12
- Secondaire – 80.67.169.40
Enregistrez, et normalement, les prochaines requêtes passeront par FDN. Au pire, redémarrez votre bidulebox et roulez jeunesse, car vos propres réglages ne seront pas modifiés avant le prochain renouvellement DHCP.
Cette méthode est pratique, car contrairement à la modification des DNS sur chaque appareil, tous les appareils restent en l’état, et ils en profitent directement, tout simplement. Pratique pour les dispositifs ne permettant pas de modifier de tels paramètres (je cherche encore pour Android, et ce n’est certainement pas le cas sur iOS).
La méthode intermédiaire : modifier les réglages de votre OS
En commentaire, on m’a indiqué qu’apparemment les possesseurs de Livebox sont menottés car la modification n’est plus possible (j’avais donc bien choisi l’illustration). Il est possible du coup d’opérer au niveau de votre connexion réseau, mais il faudra alors la faire appareil par appareil, quand c’est seulement possible.
Windows : les paramètres TCP/IP
Une fois n’est pas coutume, le « maître » a fait une page très claire, alors je vais me contenter de vous donner le lien. Juste vous dire qu’il faut aller jusqu’au bout, au dernier écran, cliquer sur « Utiliser l’adresse de serveur DNS suivante :« , et renseigner les deux adresses indiquées au chapitre précédent.
Linux : resolv.conf et resolvconf
Sous Linux c’est un poil plus compliqué, parce que les distributions ont différentes méthodes pour gérer le réseau. Le seul point « commun », c’est l’endroit où sont stockées les adresses. Donc on va la faire un peu brute, mais au moins, on est sûr que ça fonctionne pour tout le monde.
Comme souvent dans ces cas-là, c’est l’utilisation de la ligne de commandes qui sera préférable. Les adresses des serveurs DNS sont stockées dans le fichier /etc/resolv.conf, et ce fichier est à modifier avec des droits root (soit avec le compte, soit par sudo). Son contenu est le suivant, exemple sur une connexion Free :
1 2 |
nameserver 212.27.40.240 nameserver 212.27.40.241 |
L’idée est donc de remplacer ces deux adresses par celles qu’on souhaite. Quand on a fini, on a plusieurs choix. Méthode de bourrin, sauvegarder, et rendre le fichier en lecture seule, pour éviter les modifications futures par resolvconf (bourrin, vous êtes prévenu) :
1 2 3 4 5 |
chmod -w /etc/resolv.conf #alternative chmod 444 /etc/resolv.conf |
Si votre installation utilise resolvconf, la version propre, c’est d’éditer le fichier /etc/resolvconf.conf et d’y apporter, toujours avec les droits root, les modifications suivantes :
1 2 3 4 |
name_servers 80.67.169.12 name_servers 80.67.167.40 name_server_blacklist 212.27.40.240 name_server_lacklist 212.27.40.241 |
Lors des prochaines connexions, resolvconf va générer le fichier resolv.conf en fonction de ces paramètres. Il va donc ajouter les adresses FDN, et exclure les adresses IP de Free. Si vous voulez blacklister, par précaution, les principaux fournisseurs d’accès, Ariase a publié une page avec les adresses de leurs serveurs DNS.
La méthode dure : votre propre résolveur
Bien que le DNS soit techniquement décentralisé, il existe malgré tout une certaine hiérarchie. Avoir son propre résolveur qui retourne aux sources vous épargne les intermédiaires. Mais ça demande de plus grosses compétences techniques, et surtout une machine sur votre réseau allumée et disponible 24/7. Une machine comme le Raspberry Pi, qui consomme que dalle en plus, conviendrait parfaitement.
Je n’ai pas besoin de vous dire comment faire, puisque Tom23 a déjà fait le travail sur le Wiki de Homeserver.diy. Il suffira ensuite de suivre la méthode précédente, mais renseigner, au lieu des adresses d’FDN, l’adresse IP de la machine qui accueillera ce serveur. Comme vous n’en mettrez qu’un, en adresse DNS primaire, je conseille d’ajouter en secondaire une des adresses indiquées plus haut.
Un procédé « itinérant » consiste à installer un tel résolveur sur votre propre machine, et modifier resolvconf/resolv.conf pour lui dire de pointer en local vers ce résolveur. Vous êtes alors sûr de toujours contacter le bon résolveur, non filtré par le FAI sur lequel vous vous trouvez.
Jusqu’à quand ?
Pour l’instant, pour des principes de proportionnalités et de « droits de l’Homme », l’État Français s’est retenu d’utiliser des technologies plus intrusives en matière de filtrage. Des technologies telles que celles dont Naboléon a activement soutenu la vente à des pays démocratiques comme la Lybie, la Syrie, et dans une certaine mesure le Maroc.
Mais à l’image de certaines technologies de protection de votre vie privée, qui pourraient se voir interdites parce que ça permet aussi aux méchants de se cacher — à quand un permis pour avoir un couteau de cuisine chez soi, ou l’interdiction des voitures pour les 3000 morts qu’elles causent chaque année –, maintenant que les armes existent (si si, demandez aux opposants politiques torturés en Syrie), rien ne les empêchera de s’en servir pour nous retirer un peu plus de libertés.
Et alors, on aura à peu près la même vision du monde que la Chine, dont toutes les connexions du pays passent par les machines à filtrer du gouvernement, qui possède sa propre police de la pensée. Si vous trouvez ça normal, alors vous devez avoir de la laine sur le dos, et je ne peux rien pour vous.
Tu vas finir par te faire fermer ton site administrativement ! 😀
Sinon, c’est dommage de pas mettre 2 lignes sur ce qu’est FDN histoire que le lecteur puisse savoir où il mettra les pieds si il suit tes conseils.
C’est un très bon conseil, je vais tenter une bafouille, et voir pour l’intégrer à l’article 🙂
Voilà, j’ai corrigé mon erreur 😉
Bonjour, Seboss666.
Concernant ma LB2 Sagem, elle est verrouillée côté DNS par Orange, depuis une mise à jour de leur part suite à une possibilité d’attaque sur ces dernières renvoyant vers des DNS menteurs.
J’ai bien fait une capture d’écran, mais je ne peux la joindre à ce commentaire. Peut-être en MP ?
Cdt,
Pal Adins
Mince, en écrivant l’article j’étais pratiquement sur que c’était la ZTE qui était bloquée mais pas la Sagem (Orange qui veut éviter les DNS menteurs, mais qui est obligé de mentir lui aussi, si c’est pas une mauvaise blague). Si tu n’as qu’un appareil, sous Windows, Microsoft a un article pour montrer comment faire : http://windows.microsoft.com/fr-fr/windows/change-tcp-ip-settings#1TC=windows-7 Dernière capture d’écran, tu cliques sur « Utiliser l’adresse de serveur DNS suivante » et tu mets les adresses en question. Si je dis pas de bêtise, il n’y a pas besoin de redémarrer pour ça (au pire, couper la connexion, et la restaurer). Je vais… Lire la suite »
Merci pour ta réponse, mais j’utilise seulement Ubuntu.
J’ai mis l’article à jour, y’a un « chapitre » qui pourrait alors t’intéresser 😉
Effectivement, je peux me lancer dans une des deux méthodes en dur.
Encore merci.
Tu devrait aussi indiquer les DNS IPv6 (2001:910:800 ::12
et 2001:910:800 ::40).
C’est vrai, merci de compléter. À ma décharge, le gros problème que j’ai avec l’ipv6, c’est qu’une majorité de français n’y a pas encore accès. Orange, Bouygues, tous les opérateurs sur mobile, SFR (faut aller l’activer soi-même), même moi avec mon routeur l’ipv6 me résiste. Et j’aime présenter des choses que j’ai pu tester avant, ce que je n’ai pas pu faire avec les DNS ipv6. Mais merci tout de même de penser aux chanceux 🙂
Ah? Pourtant perso avec SFR ca faisait longtemps qu’ils me l’avaient activé sur l’ADSL. Et le modem (pas box) que j’ai reçu aujourd’hui avec la fibre c’est aussi activé par defaut (par contre y’a pas d’option pour les DNS IPv6 ~~).
‘fin bref c’est pour les quelques chanceux ouai x)
Très bon article en cette période ! Juste une question : pourquoi ne pas évoqué le projet OpenNIC ? J’ai rien contre FDN, loin de là mais c’est aussi une très bonne alternative (celle que j’ai choisis), et elle donne accès à des serveurs indépendants les uns des autres, pas forcément le cas de la FDN.
Pour être honnête, parce que je ne connaissais pas. Maintenant j’ai tendance à privilégier la solution du « fait maison », si possible carrément en local sur sa machine quand on est itinérant, mais ça reste une alternative notamment pour les personnes qui ne sont pas à l’aise avec ce genre d’installation (l’utilisation d’un résolveur DNS local sous Windows, c’est pas ça).