J'ai perdu ma connection fibre, a la place je suis sur une 4G Bouygues Telecom que j'ai branche sur mon routeur. Surprise : aucune résolution de domaine fonctionnelle. Mon BIND interne ( configure bien entendu en resolveur et avec DNSSEC ) me gerbe des milliers de logs. Je découvre que Bouygues Telecom fait du MITM sur le 53, et ment allègrement, tout en cassant DNSSEC. Je suis très énervé. est-ce que j'ai un recours judiciaire par rapport a ça ? 😡 😡 😡
#DNS #DNSSEC #BouyguesTelecom #Menteur
@thomas SFR fait la même chose… c'est la raison pour laquelle j'ai commencé à faire du DNS-over-TLS.
@Hukadan Merci pour le thread, c'est super intéressant !!
Il y a moyen que tu me donnes l'email que tu as utilise pour ta requête GDPR ?
Je vais lancer la même procédure déjà ...
@thomas
Bien sûr :
informatiqueetlibertes@bouyguestelecom.fr
@devnull
Of course 😉
@Hukadan @aeris @sebsauvage @Steve12L@mastodon.xyz @mmu_man
@thomas
Ça y est. Ils m'ont répondu (à 3 mois pile). Je ne m'attendais à rien et je suis quand même déçu.
Ils disent que, je cite "nous souhaitons vous rassurer sur le fait que les DNS ne procèdent à aucun traitement de données personnelles." (#PLAIT-IL)
et que "Bouygues Telecom va refaire un point sur ce sujet." (#MAISBIENSUR).
Prochaine étape, la CNIL.
@Hukadan > guess you can try with any routable address.
Je te le confirme, un des test que j'avais fait fin 2016 consistait à interroger plusieurs IP routables, qui ne sont pas utilisés par des résolveurs DNS. (IP random, mais en vérifiant bien que ce n'est pas des serveurs qui répondent, depuis une connexion sans MITM sur DNS)
Ça répond.
Faire un nmap sur les mêmes adresses routables
Ça répond, avec les ports 21, 25, 53, 80… Ça = proxy de bouygues.
@devnull @thomas
J'avais trouvé ton post à ce sujet (concernant la 3G à l'époque). Je l'avais mis en lien dans mon thread sur le forum FreeBSD. En le relisant, je me rends compte que j'était passé à côté de la partie où tu testes des adresses au hasard (j'avais surtout lu les captures d'écran qui parlaient d'elles-mêmes).
J'ai profité de tout cela pour les relancer aujourd'hui : ils n'ont plus qu'un mois pour me répondre.
MAIS QUE C'EST LAID. 😱
J'attends le moment où ils vont commencer à faire ça aussi sur l'ADSL pour:
1) dataminer la vie privée de leurs abonnés.
2) bloquer les requêtes vers les DNS publics pour se conformer à la censure dictée par l'état Français une fois qu'assez de monde aura compris qu'on peut la contourner facilement.
@linuxine @sebsauvage @thomas chez moi il ne va pas jusqu'à m'exploser dnssec pourtant 🤔
@linuxine @sebsauvage @thomas une des raisons qui fait que je passe pas un knot sur mon routeur...
@thomas déjà le signaler sur https://respectmynet.eu/
@mmu_man C'est fait. 👌
@thomas Pourquoi je suis pas étonné que rien n'a changé depuis (au moins) 2016, à ce sujet?
@thomas Je découvre le truc je suis sidéré. T'as moyen d'expliquer techniquement comment tu as fais pour vérifier ça ? Avec quels outils ?
@notarobot Je pourrais faire un post pour expliquer tout ça, mais suite a ma découverte j'ai trouve plusieurs personnes qui ont déjà fait tout le travail il y a quelques années : https://davenull.tuxfamily.org/mitm-as-a-service-3g-edition-by-bouygues/ de notre ami @devnull , ainsi que https://lafibre.info/4g-bytel/mitm-as-a-service-chez-byou-des-explications/
@notarobot Ce n'est pas des réponses intercepté et modifiées. Ce sont les requêtes DNS qui sont interceptées et redirigées vers le résolveur menteur/tout pété de bouyques. Ils empêchent l'utilisation d'un autre résolveur, tout le cachant de façon très approximative (Tu vois rien si tu ne cherche pas, c'est presque transparent, mais facile à démasquer en creusant un peu).
1/2
@notarobot Reste à voir s'ils procèdent par numéro de port (au quel cas DoH fonctionnera car il utilise un autre port), ou si c'est à la tête du paquet/une analyse un peu plus évoluée qui permet d'identifier une requête NS (Auquel cas DoH peut ne pas fonctionner, si Bouyques sait reconnaitre un paquet DoH, pour le bloquer, même sans avoir accès au paquet. Mais du coup ça va se voir très facilement s'ils bloquent DoH, vu que ça casser la résolution DNS dès que DoH est utilisé).
2/2
@notarobot De rien.
C'est que j'avais fait en 2017. Je me serai bien « amusé » à tester des contournements, mais j'en avais marre de payer ces enfoirés, puis par principe je me suis cassé…
Si les autres ne sont pas parfaits, loin de là, bouygues à gagné mon boycott à vie pour cette affaire…
@notarobot DNS*
Même savoir accès au contenu* du paquet.
Mais bon, t'aura deviné ce que j'ai voulu dire #PasLesYeuxBienEnFaceDesTrous
@notarobot Un an plus tard…
Je sais pas pourquoi je parlais de DoH (DNS-over-HTTPS) au lieu de Dot (DNS-over-TLS)… Je davsis être claqué…
Quant à DoT, ils pourraient bloquer le port correspondant. Mais DoH, ils peuvent pas le bloquer sans bloquer tout HTTPS (ni certifs root forgés installés chez tout le monde à la microsoft en Tunisie y a une douzaine d'années… passera pas non plus). Donc ils ne peuvent pas se permettre de le bloquer.
@devnull Ecoutes mieux vaut tard que jamais ! C'est ce qu'on appelle du suivi 😃 Merci pour l'info
@notarobot De rien.
Oui, je continue de suivre un peu où ça on est. Même si je peux plus faire des tests par moi et que je ne suis plus concerné, j'ai pas oublié.
@notarobot
Dans le cas de Bouygues, je fais du DNS over TLS. Attention, comme on ne peut pas leur faire confiance, il est indispensable d'activer la validation du certificat. Voici la syntaxe pour unbound :
https://www.nlnetlabs.nl/bugs-script/show_bug.cgi?id=658#c9
@Hukadan Donc tu as ton Unbound en local sur ton Android ?
@notarobot
J'utilise un routeur 4G pour la maison. Ayant à choisir entre la peste et le choléra, j'ai choisi de ne pas avoir de smartphone (en attente d'un Librem 5).
J'ai unbound qui tourne sur un Raspberry sur mon réseau local.
Je suis désolé de pas pouvoir t'aider davantage pour la config d'un smartphone.
@Hukadan OK donc pas de solutions coté 4G hors maison, je vais regarder ce que je trouve, merci des infos
Juste pour info, et sans oublier de rester vigilants, bouygues à arrêté ses conneries, au moins concernant le MITM sur les requêtes DNS… Ils ont du se faire démonter par des clients en pétard, pour reculer 😆
https://lafibre.info/4g-bytel/mitm-as-a-service-chez-byou-des-explications/msg762706/#msg762706
@notarobot Comme tu dit, il aura fallu plus de 3 ans. J'ai découvert ça fin 2016, puis retesté, confirmé et mis en forme pour une publication, début 2017, en vrai j'avais à peu près 0 espoir qu'ils arrêtent…
@devnull
Voila une excellente nouvelle !
Je pense que ça valait le coup de gueuler quand même 👌
@notarobot @Hukadan
C'est pas nouveau que Bouygues Tel fait ça. Utilises DoT et plus de problème.
@thomas et bien non car la solution de connexion de secours, à aucun moment, doit avoir la même qualité de service que ta connexion fibre. Tu dois juster « fermer ta bouche » et « être reconnaissant » de ce que Bouygues te propose en attendant un «rapide retour » de ta connexion fibre. Thank you come again. 🤮😥
Ps c’est pareil sur la connexion de secours 4G de Orange
@thomas
Punaise, j'espère qu'un VPN protégé de ces conneries (VPN résistant au leak bien évidemment 😉)...
Évidemment après 2 min de recherches je tombe sur un papier de l'AFNIC de 2010 (!!!) hébergé chez @bortzmeyer qui relate le problème ... on n'a pas avance depuis 😡