Comment récupérer un Internet (un peu) plus sain

Twitter Facebook Google Plus Linkedin email
closeCet article a été publié il y a 5 ans 2 mois 4 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées, les commandes ne sont peut-être plus valides.

Dans Depuis peu de temps va entrer est entré en vigueur le décret plus que discutable de censure de sites web. Je ne vais pas discuter le la pertinence d’un tel décret, puisque nos « élites » refusent systématiquement toute discussion concernant les bonnes décisions à prendre pour améliorer la situation française (jusqu’à considérer les députés ayant une conscience de « traître » par notre propre sinistre de l’intérieur).

Non, maintenant que les principaux fournisseurs d’accès à Internet, qui regroupent à eux seuls 90% des abonnements fixe, sont contraints de vous mentir suivant les adresses que vous demandez (un peu comme la Chine en fait), et puisque la méthode choisie pour vous mentir est aisément contournable, je sors de mon rythme habituel de publication, car il est temps de récupérer un peu de contrôle.

Petit rappel sur le DNS

Je l’ai probablement déjà dit, et vous le savez déjà peut-être, nos ordinateurs, smartphones, et tout appareil relié à Internet sont identifiés par une adresse IP. Pour pouvoir joindre une machine plus simplement, on a développé un système, le DNS, pour (entre autres) traduire un nom en une adresse IP. C’est comme ça qu’on sait que blog.seboss666.info est une machine qui a l’adresse 91.121.61.180. Le DNS est un système fortement décentralisé, et il existe une quantité très importante de résolveurs, ces machines prévues pour répondre à vos questions.

Et pour vous mentir, les fournisseurs vont donc modifier les réponses. S’ils veulent bloquer ce blog, il leur suffira de dire que blog.seboss666.info utilise une autre adresse (typiquement, une adresse qui ne débouche sur rien–ce qui était le cas en Chine, jusqu’à récemment–, ou dans certains cas sur de la pub–déjà vu dans le passé).

Un contournement très facile

Donc lorsque votre bidulebox se « connecte », elle récupère une ou deux adresses de résolveurs, tenus par votre FAI, et vous les transmet. Votre ordinateur va ensuite, à chaque demande de nom, interroger ces résolveurs. Les FAI, qui sont contraints à vous mentir sous prétexte, pour l’instant, de lutte contre le terrorisme et la pédopornographie, manipulent donc les résultats. Si supprimer les dealers des rues empêchaient les gens de se droguer, ça se saurait. Ou dans le cas présent, empêcher les dealers de s’afficher en pleine rue.

Avant qu’ils se mettent à censurer d’autres sites moins sales (sous couvert de la protection de la bonne pensée–vous sentez le glissement ?), il suffit de faire nos demandes de noms à d’autres résolveurs, non contraints par la loi Française (car la Justice est littéralement écartée de l’affaire, joli dans le pays des droits de l’Homme hein ?). Oui, c’est aussi simple que ça. Pour l’instant.

La solution de contournement est facile : forcer vos appareils, en particulier vos bidulebox, à utiliser et vous transmettre les adresses IP de résolveurs sains, comme ceux de fournisseurs d’accès associatifs (l’article est intéressant à plus d’un titre d’ailleurs), voire, dans une moindre mesure, ceux de Google, qui sont hors d’atteinte de la loi Française (et mentent beaucoup moins souvent, voire pas du tout).

Méthode simple : les serveurs DNS d’FDN

FDN est un des plus anciens et plus respectables fournisseurs d’accès à internet français. Particularité, c’est une association, pas une société commerciale, et elle a à cœur la défense d’un Internet propre et neutre. Fait amusant, ils ne sont pas concernés par la nouvelle « loi » sur le blocage des sites sans juge.

Une fois n’est pas coutume, je vais montrer les manipulations sur une Livebox 2 Sagem Orange, mais la procédure est normalement la même pour toutes les box et routeurs qui proposent de gérer un serveur DHCP (le mécanisme qui vous transmet, entre autres choses, les IP des serveurs DNS). Toutefois le réglage du serveur DNS se fait à part sur ce modèle de box.

On ouvre la page d’administration de la Livebox. Typiquement, c’est cette adresse qu’il faut utiliser (vous pouvez y aller, c’est sain). En haut à droite, il faudra entrer les login et mot de passe d’administration. C’est simple comme bonjour, dans 99% des cas : admin/admin. Il faut ensuite se rendre dans ces menus, pour accéder aux réglages DNS :

dns-livebox2-sagem-menu

Normalement, vous avez deux lignes, DNS Primaire, et DNS secondaire. habituellement il n’en utilise qu’un, mais la deuxième adresse est là en secours. Sachez qu’il est même possible d’en définir trois, mais ce n’est pas le cas ici :

dns-livebox2-sagem-DNS

On remplace donc ceux qui sont déjà renseignés par ceux qu’FDN indique dans l’article lié plus haut :

  • Primaire – 80.67.169.12
  • Secondaire – 80.67.169.40

Enregistrez, et normalement, les prochaines requêtes passeront par FDN. Au pire, redémarrez votre bidulebox et roulez jeunesse, car vos propres réglages ne seront pas modifiés avant le prochain renouvellement DHCP.

Cette méthode est pratique, car contrairement à la modification des DNS sur chaque appareil, tous les appareils restent en l’état, et ils en profitent directement, tout simplement. Pratique pour les dispositifs ne permettant pas de modifier de tels paramètres (je cherche encore pour Android, et ce n’est certainement pas le cas sur iOS).

La méthode intermédiaire : modifier les réglages de votre OS

En commentaire, on m’a indiqué qu’apparemment les possesseurs de Livebox sont menottés car la modification n’est plus possible (j’avais donc bien choisi l’illustration). Il est possible du coup d’opérer au niveau de votre connexion réseau, mais il faudra alors la faire appareil par appareil, quand c’est seulement possible.

Windows : les paramètres TCP/IP

Une fois n’est pas coutume, le « maître » a fait une page très claire, alors je vais me contenter de vous donner le lien. Juste vous dire qu’il faut aller jusqu’au bout, au dernier écran, cliquer sur « Utiliser l’adresse de serveur DNS suivante :« , et renseigner les deux adresses indiquées au chapitre précédent.

Linux : resolv.conf et resolvconf

Sous Linux c’est un poil plus compliqué, parce que les distributions ont différentes méthodes pour gérer le réseau. Le seul point « commun », c’est l’endroit où sont stockées les adresses. Donc on va la faire un peu brute, mais au moins, on est sûr que ça fonctionne pour tout le monde.

Comme souvent dans ces cas-là, c’est l’utilisation de la ligne de commandes qui sera préférable. Les adresses des serveurs DNS sont stockées dans le fichier /etc/resolv.conf, et ce fichier est à modifier avec des droits root (soit avec le compte, soit par sudo). Son contenu est le suivant, exemple sur une connexion Free :

L’idée est donc de remplacer ces deux adresses par celles qu’on souhaite. Quand on a fini, on a plusieurs choix. Méthode de bourrin, sauvegarder, et rendre le fichier en lecture seule, pour éviter les modifications futures par resolvconf (bourrin, vous êtes prévenu) :

Si votre installation utilise resolvconf, la version propre, c’est d’éditer le fichier /etc/resolvconf.conf et d’y apporter, toujours avec les droits root, les modifications suivantes :

Lors des prochaines connexions, resolvconf va générer le fichier resolv.conf en fonction de ces paramètres. Il va donc ajouter les adresses FDN, et exclure les adresses IP de Free. Si vous voulez blacklister, par précaution, les principaux fournisseurs d’accès, Ariase a publié une page avec les adresses de leurs serveurs DNS.

La méthode dure : votre propre résolveur

Bien que le DNS soit techniquement décentralisé, il existe malgré tout une certaine hiérarchie. Avoir son propre résolveur qui retourne aux sources vous épargne les intermédiaires. Mais ça demande de plus grosses compétences techniques, et surtout une machine sur votre réseau allumée et disponible 24/7. Une machine comme le Raspberry Pi, qui consomme que dalle en plus, conviendrait parfaitement.

Je n’ai pas besoin de vous dire comment faire, puisque Tom23 a déjà fait le travail sur le Wiki de Homeserver.diy. Il suffira ensuite de suivre la méthode précédente, mais renseigner, au lieu des adresses d’FDN, l’adresse IP de la machine  qui accueillera ce serveur. Comme vous n’en mettrez qu’un, en adresse DNS primaire, je conseille d’ajouter en secondaire une des adresses indiquées plus haut.

Un procédé « itinérant » consiste à installer un tel résolveur sur votre propre machine, et modifier resolvconf/resolv.conf pour lui dire de pointer en local vers ce résolveur. Vous êtes alors sûr de toujours contacter le bon résolveur, non filtré par le FAI sur lequel vous vous trouvez.

Jusqu’à quand ?

Pour l’instant, pour des principes de proportionnalités et de « droits de l’Homme », l’État Français s’est retenu d’utiliser des technologies plus intrusives en matière de filtrage. Des technologies telles que celles dont Naboléon a activement soutenu la vente à des pays démocratiques comme la Lybie, la Syrie, et dans une certaine mesure le Maroc.

Mais à l’image de certaines technologies de protection de votre vie privée, qui pourraient se voir interdites parce que ça permet aussi aux méchants de se cacher — à quand un permis pour avoir un couteau de cuisine chez soi, ou l’interdiction des voitures pour les 3000 morts qu’elles causent chaque année –, maintenant que les armes existent (si si, demandez aux opposants politiques torturés en Syrie), rien ne les empêchera de s’en servir pour nous retirer un peu plus de libertés.

Et alors, on aura à peu près la même vision du monde que la Chine, dont toutes les connexions du pays passent par les machines à filtrer du gouvernement, qui possède sa propre police de la pensée. Si vous trouvez ça normal, alors vous devez avoir de la laine sur le dos, et je ne peux rien pour vous.

le plus récent le plus ancien
Notifier de
Tom23
Invité
Tom23

Tu vas finir par te faire fermer ton site administrativement ! 😀

Sinon, c’est dommage de pas mettre 2 lignes sur ce qu’est FDN histoire que le lecteur puisse savoir où il mettra les pieds si il suit tes conseils.

Pal Adins
Invité
Pal Adins

Bonjour, Seboss666.
Concernant ma LB2 Sagem, elle est verrouillée côté DNS par Orange, depuis une mise à jour de leur part suite à une possibilité d’attaque sur ces dernières renvoyant vers des DNS menteurs.
J’ai bien fait une capture d’écran, mais je ne peux la joindre à ce commentaire. Peut-être en MP ?
Cdt,
Pal Adins

Nerothos
Invité
Nerothos

Tu devrait aussi indiquer les DNS IPv6 (2001:910:800 ::12
et 2001:910:800 ::40).

Anthony Pena
Invité
Anthony Pena

Très bon article en cette période ! Juste une question : pourquoi ne pas évoqué le projet OpenNIC ? J’ai rien contre FDN, loin de là mais c’est aussi une très bonne alternative (celle que j’ai choisis), et elle donne accès à des serveurs indépendants les uns des autres, pas forcément le cas de la FDN.