https://www.bortzmeyer.org/files/AFNIC_-_neutralite_du_net_-_contribution_a_la_consultation_publique_ARCEP.pdf

@Hukadan Merci pour le thread, c'est super intéressant !!
Il y a moyen que tu me donnes l'email que tu as utilise pour ta requête GDPR ?
Je vais lancer la même procédure déjà ...

@thomas
Bien sûr :
informatiqueetlibertes@bouyguestelecom.fr

@Hukadan
Décollage du missile RGPD 😎
On va voir ce que ca donne. Demain je creuse le sujet cote ARCEP.
Merci @aeris pour quelques phrases !
@devnull @sebsauvage @Steve12L@mastodon.xyz @mmu_man #DNS #DNSSEC #RGPD

@thomas Tu nous fera un retour? 🍿

@Hukadan @aeris @sebsauvage @Steve12L @mmu_man

@devnull
Of course 😉
@Hukadan @aeris @sebsauvage @Steve12L@mastodon.xyz @mmu_man

@thomas
Ça y est. Ils m'ont répondu (à 3 mois pile). Je ne m'attendais à rien et je suis quand même déçu.

Ils disent que, je cite "nous souhaitons vous rassurer sur le fait que les DNS ne procèdent à aucun traitement de données personnelles." (#PLAIT-IL)
et que "Bouygues Telecom va refaire un point sur ce sujet." (#MAISBIENSUR).

Prochaine étape, la CNIL.

@devnull @aeris @sebsauvage @Steve12L @mmu_man

@Hukadan

@thomas @aeris @sebsauvage @Steve12L @mmu_man

@Hukadan > guess you can try with any routable address.

Je te le confirme, un des test que j'avais fait fin 2016 consistait à interroger plusieurs IP routables, qui ne sont pas utilisés par des résolveurs DNS. (IP random, mais en vérifiant bien que ce n'est pas des serveurs qui répondent, depuis une connexion sans MITM sur DNS)

Ça répond.

Faire un nmap sur les mêmes adresses routables

Ça répond, avec les ports 21, 25, 53, 80… Ça = proxy de bouygues.

@thomas

@devnull @thomas
J'avais trouvé ton post à ce sujet (concernant la 3G à l'époque). Je l'avais mis en lien dans mon thread sur le forum FreeBSD. En le relisant, je me rends compte que j'était passé à côté de la partie où tu testes des adresses au hasard (j'avais surtout lu les captures d'écran qui parlaient d'elles-mêmes).
J'ai profité de tout cela pour les relancer aujourd'hui : ils n'ont plus qu'un mois pour me répondre.

@Hukadan J'aimerai bien un savoir ce qu'ils répondront. Je ne suis plus client chez eux.

@thomas

@thomas

J'attends le moment où ils vont commencer à faire ça aussi sur l'ADSL pour:
1) dataminer la vie privée de leurs abonnés.
2) bloquer les requêtes vers les DNS publics pour se conformer à la censure dictée par l'état Français une fois qu'assez de monde aura compris qu'on peut la contourner facilement.

@linuxine @sebsauvage @thomas chez moi il ne va pas jusqu'à m'exploser dnssec pourtant 🤔

@linuxine @sebsauvage @thomas une des raisons qui fait que je passe pas un knot sur mon routeur...

@mmu_man C'est fait. 👌

@devnull
J'avais lu ton billet de blog sur le sujet à l'époque en effet. Les mauvaises habitudes sont difficiles à changer
@thomas

@notarobot Je pourrais faire un post pour expliquer tout ça, mais suite a ma découverte j'ai trouve plusieurs personnes qui ont déjà fait tout le travail il y a quelques années : https://davenull.tuxfamily.org/mitm-as-a-service-3g-edition-by-bouygues/ de notre ami @devnull , ainsi que https://lafibre.info/4g-bytel/mitm-as-a-service-chez-byou-des-explications/

@thomas @devnull Si j'ai pas trop mal pigé (ce qui est possible la journée était longue) pour se protéger il faut mettre en place DNS sur TLS ? Pour en gros "cacher" ses requêtes DNS et les faire arriver a bon port sans qu'elles aient été ouvertes ?

@notarobot Ce n'est pas des réponses intercepté et modifiées. Ce sont les requêtes DNS qui sont interceptées et redirigées vers le résolveur menteur/tout pété de bouyques. Ils empêchent l'utilisation d'un autre résolveur, tout le cachant de façon très approximative (Tu vois rien si tu ne cherche pas, c'est presque transparent, mais facile à démasquer en creusant un peu).

1/2

@thomas

@notarobot Reste à voir s'ils procèdent par numéro de port (au quel cas DoH fonctionnera car il utilise un autre port), ou si c'est à la tête du paquet/une analyse un peu plus évoluée qui permet d'identifier une requête NS (Auquel cas DoH peut ne pas fonctionner, si Bouyques sait reconnaitre un paquet DoH, pour le bloquer, même sans avoir accès au paquet. Mais du coup ça va se voir très facilement s'ils bloquent DoH, vu que ça casser la résolution DNS dès que DoH est utilisé).

2/2

@thomas

@devnull @thomas OK Merci de l'explication c'est clair et je comprends mieux.
ça va être plus simple de changer de FAI quoi...

@notarobot De rien.

C'est que j'avais fait en 2017. Je me serai bien « amusé » à tester des contournements, mais j'en avais marre de payer ces enfoirés, puis par principe je me suis cassé…

Si les autres ne sont pas parfaits, loin de là, bouygues à gagné mon boycott à vie pour cette affaire…

@thomas

@devnull @thomas Je suis d'accord c'est une bonne raison je vais dés à présent m'y attaquer. Merci les gars d'avoir fait sortir pour l'un et ressortir pour l'autre cette pratique de merde

@notarobot DNS*

Même savoir accès au contenu* du paquet.

Mais bon, t'aura deviné ce que j'ai voulu dire #PasLesYeuxBienEnFaceDesTrous

@thomas

@notarobot
Dans le cas de Bouygues, je fais du DNS over TLS. Attention, comme on ne peut pas leur faire confiance, il est indispensable d'activer la validation du certificat. Voici la syntaxe pour unbound :
https://www.nlnetlabs.nl/bugs-script/show_bug.cgi?id=658#c9

@thomas @devnull

@Hukadan Donc tu as ton Unbound en local sur ton Android ?

@notarobot
J'utilise un routeur 4G pour la maison. Ayant à choisir entre la peste et le choléra, j'ai choisi de ne pas avoir de smartphone (en attente d'un Librem 5).

J'ai unbound qui tourne sur un Raspberry sur mon réseau local.

Je suis désolé de pas pouvoir t'aider davantage pour la config d'un smartphone.

@Hukadan OK donc pas de solutions coté 4G hors maison, je vais regarder ce que je trouve, merci des infos