Suivre

J'ai perdu ma connection fibre, a la place je suis sur une 4G Bouygues Telecom que j'ai branche sur mon routeur. Surprise : aucune résolution de domaine fonctionnelle. Mon BIND interne ( configure bien entendu en resolveur et avec DNSSEC ) me gerbe des milliers de logs. Je découvre que Bouygues Telecom fait du MITM sur le 53, et ment allègrement, tout en cassant DNSSEC. Je suis très énervé. est-ce que j'ai un recours judiciaire par rapport a ça ? 😡 😡 😡

Évidemment après 2 min de recherches je tombe sur un papier de l'AFNIC de 2010 (!!!) hébergé chez @bortzmeyer qui relate le problème ... on n'a pas avance depuis 😡

@thomas SFR fait la même chose… c'est la raison pour laquelle j'ai commencé à faire du DNS-over-TLS.

@Hukadan Merci pour le thread, c'est super intéressant !!
Il y a moyen que tu me donnes l'email que tu as utilise pour ta requête GDPR ?
Je vais lancer la même procédure déjà ...

@thomas
Bien sûr :
informatiqueetlibertes@bouyguestelecom.fr

@Hukadan
Décollage du missile RGPD 😎
On va voir ce que ca donne. Demain je creuse le sujet cote ARCEP.
Merci @aeris pour quelques phrases !
@devnull @sebsauvage @Steve12L@mastodon.xyz @mmu_man

@thomas
Ça y est. Ils m'ont répondu (à 3 mois pile). Je ne m'attendais à rien et je suis quand même déçu.

Ils disent que, je cite "nous souhaitons vous rassurer sur le fait que les DNS ne procèdent à aucun traitement de données personnelles." (#PLAIT-IL)
et que "Bouygues Telecom va refaire un point sur ce sujet." (#MAISBIENSUR).

Prochaine étape, la CNIL.

@devnull @aeris @sebsauvage @Steve12L @mmu_man

@Hukadan > guess you can try with any routable address.

Je te le confirme, un des test que j'avais fait fin 2016 consistait à interroger plusieurs IP routables, qui ne sont pas utilisés par des résolveurs DNS. (IP random, mais en vérifiant bien que ce n'est pas des serveurs qui répondent, depuis une connexion sans MITM sur DNS)

Ça répond.

Faire un nmap sur les mêmes adresses routables

Ça répond, avec les ports 21, 25, 53, 80… Ça = proxy de bouygues.

@thomas

@devnull @thomas
J'avais trouvé ton post à ce sujet (concernant la 3G à l'époque). Je l'avais mis en lien dans mon thread sur le forum FreeBSD. En le relisant, je me rends compte que j'était passé à côté de la partie où tu testes des adresses au hasard (j'avais surtout lu les captures d'écran qui parlaient d'elles-mêmes).
J'ai profité de tout cela pour les relancer aujourd'hui : ils n'ont plus qu'un mois pour me répondre.

@Hukadan J'aimerai bien un savoir ce qu'ils répondront. Je ne suis plus client chez eux.

@thomas

@thomas

J'attends le moment où ils vont commencer à faire ça aussi sur l'ADSL pour:
1) dataminer la vie privée de leurs abonnés.
2) bloquer les requêtes vers les DNS publics pour se conformer à la censure dictée par l'état Français une fois qu'assez de monde aura compris qu'on peut la contourner facilement.

@sebsauvage @thomas moi chez SFR le DNS est déjà menteur sur les sites de téléchargement...

@linuxine @sebsauvage @thomas chez moi il ne va pas jusqu'à m'exploser dnssec pourtant 🤔

@thomas Pourquoi je suis pas étonné que rien n'a changé depuis (au moins) 2016, à ce sujet?

@devnull
J'avais lu ton billet de blog sur le sujet à l'époque en effet. Les mauvaises habitudes sont difficiles à changer
@thomas

@thomas Je découvre le truc je suis sidéré. T'as moyen d'expliquer techniquement comment tu as fais pour vérifier ça ? Avec quels outils ?

@notarobot Je pourrais faire un post pour expliquer tout ça, mais suite a ma découverte j'ai trouve plusieurs personnes qui ont déjà fait tout le travail il y a quelques années : davenull.tuxfamily.org/mitm-as de notre ami @devnull , ainsi que lafibre.info/4g-bytel/mitm-as-

@thomas @devnull Si j'ai pas trop mal pigé (ce qui est possible la journée était longue) pour se protéger il faut mettre en place DNS sur TLS ? Pour en gros "cacher" ses requêtes DNS et les faire arriver a bon port sans qu'elles aient été ouvertes ?

@notarobot Ce n'est pas des réponses intercepté et modifiées. Ce sont les requêtes DNS qui sont interceptées et redirigées vers le résolveur menteur/tout pété de bouyques. Ils empêchent l'utilisation d'un autre résolveur, tout le cachant de façon très approximative (Tu vois rien si tu ne cherche pas, c'est presque transparent, mais facile à démasquer en creusant un peu).

1/2

@thomas

@notarobot Reste à voir s'ils procèdent par numéro de port (au quel cas DoH fonctionnera car il utilise un autre port), ou si c'est à la tête du paquet/une analyse un peu plus évoluée qui permet d'identifier une requête NS (Auquel cas DoH peut ne pas fonctionner, si Bouyques sait reconnaitre un paquet DoH, pour le bloquer, même sans avoir accès au paquet. Mais du coup ça va se voir très facilement s'ils bloquent DoH, vu que ça casser la résolution DNS dès que DoH est utilisé).

2/2

@thomas

@devnull @thomas OK Merci de l'explication c'est clair et je comprends mieux.
ça va être plus simple de changer de FAI quoi...

@notarobot De rien.

C'est que j'avais fait en 2017. Je me serai bien « amusé » à tester des contournements, mais j'en avais marre de payer ces enfoirés, puis par principe je me suis cassé…

Si les autres ne sont pas parfaits, loin de là, bouygues à gagné mon boycott à vie pour cette affaire…

@thomas

@devnull @thomas Je suis d'accord c'est une bonne raison je vais dés à présent m'y attaquer. Merci les gars d'avoir fait sortir pour l'un et ressortir pour l'autre cette pratique de merde

@notarobot DNS*

Même savoir accès au contenu* du paquet.

Mais bon, t'aura deviné ce que j'ai voulu dire #PasLesYeuxBienEnFaceDesTrous

@thomas

@notarobot
Dans le cas de Bouygues, je fais du DNS over TLS. Attention, comme on ne peut pas leur faire confiance, il est indispensable d'activer la validation du certificat. Voici la syntaxe pour unbound :
nlnetlabs.nl/bugs-script/show_

@thomas @devnull

@Hukadan Donc tu as ton Unbound en local sur ton Android ?

@notarobot
J'utilise un routeur 4G pour la maison. Ayant à choisir entre la peste et le choléra, j'ai choisi de ne pas avoir de smartphone (en attente d'un Librem 5).

J'ai unbound qui tourne sur un Raspberry sur mon réseau local.

Je suis désolé de pas pouvoir t'aider davantage pour la config d'un smartphone.

@Hukadan OK donc pas de solutions coté 4G hors maison, je vais regarder ce que je trouve, merci des infos

@thomas
C'est pas nouveau que Bouygues Tel fait ça. Utilises DoT et plus de problème.

@thomas et bien non car la solution de connexion de secours, à aucun moment, doit avoir la même qualité de service que ta connexion fibre. Tu dois juster « fermer ta bouche » et « être reconnaissant » de ce que Bouygues te propose en attendant un «rapide retour » de ta connexion fibre. Thank you come again. 🤮😥
Ps c’est pareil sur la connexion de secours 4G de Orange

@thomas
Punaise, j'espère qu'un VPN protégé de ces conneries (VPN résistant au leak bien évidemment 😉)...

@thomas J'ai des routeurs 4G avec des sim grand public chez SFR / Orange / Bouygues et un adsl SFR/Red. Si je fais le test dnsleaktest.com/ j'obtiens à chaque fois un résultat positif, avec les 4 connexions. Si je passe par ProtonVPN plus de souci.

Inscrivez-vous pour prendre part à la conversation
Mastodon

Instance privée de Mastodon.