Illustration du blocage par DNS et contournement

Plutôt qu’un long discours, voici l’illustration d’un blocage par DNS.

J’avais déjà expliqué dans un article le principe des DNS. Comme j’aime à le rappeler ici, un cloud, un site internet, se trouve sur le serveur de quelqu’un d’autre. Un site internet est donc sur une machine distante. Toute machine distante possède une adresse IP. Sauf que lorsque vous voulez vous rendre sur un site internet, vous ne tapez pas l’adresse IP mais le nom de domaine. Le serveur DNS a pour rôle de faire le lien entre le nom de domaine et l’adresse IP du serveur.

Principe du blocage et déblocage

Comme on peut le voir dans le message de Google Chrome, DNS_PROBE_FINISHED_NXDOMAIN signifie plusieurs choses d’après la page du site IONOS. On comprend que le problème se situe autour du DNS. Que se passe-t-il ? J’utilise pour me connecter à ce site, le DNS de mon fournisseur d’accès internet. Chaque fournisseur d’accès internet possède son serveur DNS. C’est lui qui va donc orienter le nom de domaine tapé dans le navigateur vers l’adresse IP du serveur.

Au lieu d’utiliser le serveur DNS de mon fournisseur d’accès, je fais le choix d’utiliser un autre serveur DNS. Les navigateurs modernes comme Google Chrome ou Firefox vous le permettent.

Dans les paramètres avancés de Google Chrome, on voit qu’il est possible de choisir d’autres serveurs DNS. Parmi eux, Google ou Cloudflare.

En rafraichissant la page, j’arrive à accéder au site. Je viens de contourner le blocage mis en place par mon fournisseur d’accès internet. Mon fournisseur d’accès à la saisie de ce nom de domaine envoie vers une adresse IP qui n’est pas celle du site, mais dans le vide.

Un problème de fond plus qu’un problème technique

Comme on vient de le voir, il n’est pas compliqué de résoudre un blocage par DNS. C’est encore plus facile qu’avant puisqu’à l’époque, c’était au niveau directement de la connexion à internet. Ce déblocage est à la portée de tous, ce qui montre son inefficacité.

L’adresse que j’ai utilisée pour illustrer mon propos est un site de téléchargement pirate bien connu. C’est donc mon fournisseur d’accès internet qui fait le choix de bloquer ce site. Oui le contenu est illégal, mais qui en France détermine la légalité d’un contenu si ce n’est la justice. J’ai cherché une injonction, une liste noire qui mettrait des sites en liste noire, je n’ai pas trouvé. Je suis ainsi en droit de m’interroger quant à une action personnelle de mon fournisseur d’accès internet et c’est problématique. En effet, une entreprise n’a pas à se suppléer à la justice d’un pays. Pourquoi pas demain un blocage d’un site concurrent ou d’un site de presse dont on n’apprécie pas les informations.

Dans tous les cas, décision de justice ou décision du fournisseur, ce n’est pas pédagogique. À l’époque, lors de l’affaire Megaupload, le gouvernement des États-Unis avait expliqué de façon explicite la décision de justice. Il serait donc possible de rediriger vers un message clair et pédagogique plutôt que de renvoyer dans le vide.

Dernier point et pas des moindres. La relation qui me lie à mon fournisseur d’accès à internet est contractuelle. Quand je fais le choix de prendre des DNS tiers, je confie à un intermédiaire l’ensemble des sites que j’ai pu consulter. Ce dernier possède mon adresse IP, il peut facilement en croisant les nombreuses informations qu’il possède, surtout quand c’est Google, savoir qui je suis.

9 Comments

  1. Tu recommandes un DNS tiers particulier ?
    J’utilise Quad9 sur ordinateur, et j’ai modifié le DNS sur iPhone aussi.
    Cloudfare m’inspire peu. Celui de Google sans commentaire.
    Sebsauvage a publié une liste sur son Dokuwiki

  2. Je ne recommande en fait aucun DNS sauf pour dépanner et à ce compte, j’utilise celui de Google qui de toute façon connaît déjà tout de moi avec mon smartphone Android.

  3. Salut Cyrille : dans ta première image, tu caches l’url du site dans la barre de navigation, mais elle est clairement visible dans le message. Un oubli ?

  4. Ton site a été bloqué par la justice : https://www.nextinpact.com/article/29615/108153-la-justice-ordonne-blocage-libertyland-one-papystreaming-com-et-zonetelechargement1-pw (mai 2019).
    Sinon ici aussi Quad9 dans le réglage de la box (pleurez les utilisateur.ice.s de Livebox (Orange/Shosh).
    Je ne savais pas que c’était facilement changeable dans Google Chrome.
    Perso, je change niveau box et ensuite niveau connexion de l’OS.
    Si tu veux des DNS, en voici une grosse liste avec les particularités de chacun : https://adguard-dns.io/kb/general/dns-providers/ (notamment le blocage « familial » (porn, jeux, etc.) et malware (Quad9 bloque les malware).
    Et un article https://www.parigotmanchot.fr/2018/08/17/changer-de-serveur-dns-pourquoi-et-comment/ de 2018 expliquant… comme toi et un peu plus 😉
    Et faut aussi se pencher sur le DoH un de ces 4 😉

    1. Je savais qu’il y avait une décision de justice, je trouve juste que c’est limite de ne pas le marquer en gros. Quand un journal perd un procès, on impose de le noter sur la première page. Niveau pédagogique, je trouve que le gouvernement y perd.

      1. La diff. c’est que sur un site genre celui-ci, la justice ne connaît pas le proprio 😉 donc dur de l’obliger à quoique ce soit.
        Une fois le domaine mort, il renaît avec un autre domaine.
        Le procès contre le proprio, c’est une autre chose.
        Ou alors faudrait obliger l’hébergeur (si possible) ou le registrar a afficher ça mais ça doit être compliqué.
        On n’est pas aux USA 😉

Comments are closed.