Les DNS menteurs contre T411 et les autres
Depuis peu, le site www.t411.io est devenu indisponible aux internautes des principaux FAI.
Le principe de blocage est simple. Quand vous demandez l’adresse du site t411.io, le DNS de votre FAI préféré vous renvoie votre propre adresse au lieu de vous communiquer celle du site.
Cette méthode à déjà été utilisée pour bloquer thepiratebay et est également utilisée par free pour son blocage de publicité sur la freebox révolution.
Exemple de ce que nous renvoient en ce moment les DNS de free:
jc@darkstar2:~# dig +short www.t411.io
127.0.0.1
Alors qu’avec un DNS neutre ça donne plutot :
jc@darkstar2:~# dig +short www.t411.io
t411.io.
108.162.203.254
108.162.204.254
Au delà de la légalité de ces sites, il se pose le problème de la neutralité du net.
Un FAI peut utiliser des DNS menteurs pour n’importe quelle raison, pas forcément sur requète judiciaire. Vous accedez donc à un internet non neutre, biaisé par le FAI.
Si vous ne voulez plus que free, orange, bouygues ou sfr décident de ce qu’il faut aller voir ou pas, il suffit d’utiliser des DNS ouverts et neutres, qu’il tournent chez vous ou opérés par d’autres.
Et pas question d’utiliser les DNS de google bien connus de tout le monde mais qui se servent de vos requètes pour vous tracer encore un peu plus et collecter plus de données à l’échelle mondiale. Ils ont beau être ouverts, l’utilisation des données récoltée n’est pas neutre. Pas question non plus d’utiliser openDNS qui sont aussi des menteurs :-)
L’association FDN (French Data Network) fait tourner des DNS garantis avec de la neutralité dedans.
Voici l’adresse IPV4:
80.67.169.12
et l’adresse IPV6:
2001:910:800::12
La meilleure solution reste toutefois de faire tourner son propre DNS. J’utilise powerdns-recursor depuis plusieurs années et j’en suis satisfait. PDNS est aussi utilisable en master.
Un service de résolution DNS @home, ça peut etre un cas d’usage d’un raspberry pie par exemple.
En bonus deux lectures intéressantes du prolix S.Bortzmeyer:
http://www.bortzmeyer.org/dns-menteur.html
http://www.bortzmeyer.org/opendns-non-merci.html