On pensait que le blocage des sites pirates allait se limiter aux fournisseurs d’accès à Internet (FAI). Mais non. Depuis quelque temps, ce sont carrément les résolveurs DNS publics qui doivent bloquer l’accès à certains domaines. Google (8.8.8.8), Cloudflare (1.1.1.1), OpenDNS… tous sont désormais visés par des décisions de justice en France, en Belgique ou encore en Italie, avec des mesures qui prennent parfois une tournure un peu radicale.
Et forcément, chacun réagit à sa manière. Certains appliquent les ordres, d’autres s’en vont. Mais une chose est sûre : ces décisions vont relancer le débat sur la place des DNS dans la chaîne de blocage et plus largement sur l’équilibre entre lutte contre le piratage et maintien d’un Internet ouvert.
Trois approches, trois styles… et pas mal de confusion
Face aux injonctions judiciaires, chacun des trois géants du DNS adopte sa propre stratégie. Pas de consensus, pas de standard : chaque acteur tente de composer avec les exigences tout en limitant les dégâts. Petit tour d’horizon des réponses apportées par OpenDNS, Cloudflare et Google.
OpenDNS : la solution radicale, c’est de partir
Cisco, qui exploite le service OpenDNS, n’a pas tergiversé bien longtemps. Lorsqu’un tribunal français a ordonné le blocage de plusieurs sites liés au piratage sportif, la réponse a été claire : OpenDNS a tout simplement cessé de fonctionner pour les utilisateurs situés en France. Même scénario en Belgique quelques mois plus tard, avec une décision judiciaire similaire. Résultat : au lieu de filtrer des domaines précis, le service s’est coupé entièrement du pays.
Une décision qui en dit long sur la position de Cisco : plutôt que de jouer les policiers du Web ou de bricoler des redirections forcées, l’entreprise préfère désactiver son service dans les zones concernées. Temporairement ou définitivement, on ne sait pas… mais dans les faits, les utilisateurs belges et français doivent se tourner vers une autre solution.
À lire également : 👉 Les 5 meilleurs résolveurs DNS alternatifs à OpenDNS
Cloudflare : on bloque, mais avec un petit message
De son côté, Cloudflare a choisi une approche plus nuancée. Le résolveur DNS 1.1.1.1 continue de fonctionner dans les pays concernés, mais lorsqu’un utilisateur tente d’accéder à un domaine visé par une décision de justice, il tombe sur une erreur HTTP 451. Ce code indique que l’accès est restreint pour des raisons légales. C’est propre, clair et au moins, l’utilisateur comprend ce qui se passe.
Dans son rapport de transparence, Cloudflare précise ne pas bloquer les contenus directement via son résolveur DNS, mais utiliser des « mécanismes alternatifs » pour respecter les décisions de justice. Une manière de dire qu’on obéit… sans trop rentrer dans les détails.
Dans tous les cas, le résultat est le même : les domaines bloqués sont inaccessibles via 1.1.1.1, mais l’utilisateur a au moins une explication. Ce n’est pas parfait, mais c’est déjà plus transparent que d’autres.
Google : silence radio
Chez Google, pas de message, pas de code d’erreur, pas d’explication. Lorsqu’un utilisateur tente d’accéder à un site bloqué via le résolveur 8.8.8.8, la requête DNS est simplement refusée. Le domaine ne renvoie vers aucune adresse IP, et côté navigateur, cela se traduit par une erreur classique, comme si le site n’existait plus ou que le réseau avait un souci.
Ce blocage silencieux ne date pas d’hier. Il concerne aussi bien les décisions belges récentes que celles prises en France ces derniers mois. Et autant dire que niveau transparence, ce n’est pas l’idéal. Aucune information, aucun renvoi vers une page explicative : juste une requête qui échoue et un utilisateur qui se retrouve à chercher d’où vient le problème.
Pour un service aussi utilisé que celui de Google, on aurait pu s’attendre à un peu plus de clarté.
Et maintenant ?
Avec ces nouvelles décisions de justice, les ayants droit et les autorités passent à la vitesse supérieure dans la lutte contre le piratage en ligne. Après les fournisseurs d’accès, ce sont désormais les résolveurs DNS qui doivent bloquer certains sites, au risque de dégrader un peu plus l’accès libre à Internet.
Pour les internautes, plusieurs alternatives existent encore, comme l’utilisation de DNS non censurés tels que FDN ou DNS0, souvent choisis pour leur respect de la vie privée. Et puis, il y a aussi les VPN, encore largement utilisés pour contourner les blocages DNS ou géographiques. Cela dit, eux aussi commencent à être visés par certaines procédures, notamment en France. Pour l’instant, rien de concret, mais la tendance est à surveiller de près…
Alors, régulation nécessaire ou glissement vers une censure numérique ? On vous laisse en débattre 😉.
Source : TorrentFreak
En complément :
SimpleDNS Crypt est en 2 morceaux. L’interface et DnsCryptProxy
Problème le site auteur n’est plus suivi
Il y a eu un FORK (Fiable) mais qui s’est arrêté il y a quelque temps et le DnsCryptProxy est resté en version 2.15
https://github.com/instantsc/SimpleDnsCrypt
Ce n’est pas grave car on peut télécharger la dernière version, la 2.18
– Il suffit de télécharger la version de DnsCrypt-Proxy en .ZIP (lien direct ci dessous)
https://github.com/DNSCrypt/dnscrypt-proxy/releases/download/2.1.8/dnscrypt-proxy-win64-2.1.8.zip
– D’extraire le tout dans un dossier temporaire
– De renommer « dnscrypt-proxy.exe » en « dnscrypt-proxy64.exe »
et de remplacer le fichier existant qui se trouve par défaut parce lui que l’on a renommé dans le dossier d’installation
Il n’y a même pas besoin de désactiver le service en place « DNSCrypt client proxy » que l’on peut trouver dans « services.msc »
Par contre il faut relancer le PC pour que cela prenne effet
Sinon en alternatif tu as aussi https://arn-fai.net/fr/internet-alternatif/dns
J’ai regardé mais ceux des associations de Moselle, ou dns-Watch semblent avoir disparu (sauf la page de garde pour ce dernier
Et pour rappel sans passer par un Pi-hole ou un yoga DNS, le simple fait de passer par SimpleDNSCrypt,
https://github.com/instantsc/SimpleDnsCrypt/releases même si plus à jour (en fait tout est déjà en place et le dnscrypt-proxy lui se met à jour) permet de soit passer par un résolveur en automatique (En général c’est du CloudFlare) soit en manuel avec l’importante liste indiquée (FDN y figure au passage)
Donc sans passer par la config de Windows il suffit d’appliquer et on part sur de nouveaux DNS très facilement
Ca évite en plus les switchers de DNS
En fait ce qu’il fait :
– Il empêche l’usurpation DNS
– Comme DNSSEC, Il utilise des signatures cryptographiques pour vérifier que les réponses proviennent du résolveur DNS choisi et n’ont pas été falsifiées (les messages sont toujours envoyés via UDP)
– Il chiffre la communication DNS
– Ne peut être la cible d’outil MiTM
– DNSCrypt et DoH peuvent également être servis simultanément sur le même port
Enfin, Simple DNSCrypt permet aussi de filtrer des requêtes DNS pour bloquer des domaines (les wildcards sont gérés) ou des URLs.
Eh bin ! Merci beaucoup Laurent pour toutes ces informations. Je vais éplucher ça.
Bonjour
Oui il fait du DOH (DNS over HTTPS pour ceux qui découvrent), ce qui fait qu’on peut l’utiliser dans Firefox par ex ou un programme de gestion de type YogaDNS ou au plus simple, il y apparait dans la liste avec SimpleDNSCrypt (Qui ne bénéficie plus de maj mais qui fonctionne très bien)
Sinon je ne me rappelle plus si sous Windows 10 c’est maintenant de fait, mais il y avait une clé de registre à modifier pour que le DOH soit pris en compte (Clé EnableAutoDoh)
Donc pour en revenir à la question à lire : https://www.bortzmeyer.org/doh-bortzmeyer-fr-policy.html
(il y a les adresses pour le DOH)
Néanmoins se rappeler que le cryptage de nos requêtes DNS ne suffit pas à lui seul à masquer les domaines que l’on visite et n’offre aucun avantage en matière de sécurité, que DoH est par définition plus lent que DNS vu qu’il y a une négociation TLS (Cela agit sur la latence, pas le débit, même si dans le monde réel cela varie et peut parfois être impercetible)
Après tu as d’autres FDN
Ok merci Laurent, je vais garder les DNS de la FDN pour le moment mais c’est bon à savoir 😉
En fait il faut se monter son propre serveur DNS 🙂
Quand aux DNS de FDN ou moins connu mais aussi efficace et sans DNS menteurs également ceux de Bortzmeyer, il est étonnant qu’ils ne soient pas concernés puisqu’étant sous juridiction Française
Ceci dit il faudrait que je reteste mais il y a un mois ou un peu plus, la censure n’était toujours pas de mise
Hello Laurent,
Je ne connaissais pas le DNS de Bortzmeyer, il y a du DoH aussi ?