Passer à Numericable et découvrir des pratiques malpropres de DNS menteurs

Il n’y a pas longtemps, suite à des problèmes sérieux et récurrents de connexion internet, je suis passé de Free à Numericable. Ne dites rien, c’est pas moi qui ai choisi le FAI. Moi, je voulais aller chez OVH mais chez OVH, ils ne proposent pas de forfait avec la télé incluse — ce qui, personnellement, m’allait très bien !

Je suis passé chez Numericable, donc, et je viens de découvrir avec peu d’étonnement des pratiques assez douteuses. Vous le savez peut-être, je n’ai rien contre le partage libre et gratuit d’œuvres soumises à droit d’auteur. Je chie d’ailleurs consciencieusement sur ces derniers et tout le mépris dont je suis capable.

Pour m’alimenter en films, j’avais l’habitude de me rendre sur le très célèbre T411. Et, ce soir, en tentant de m’y rendre (par erreur, pour le coup), je découvre avec stupeur que le DNS me répond que le site n’a pas été trouvé. En effet, si c’est l’URL elle-même qui avait été bloquée ou détournée, je me serai retrouvé sur une autre page ou bien ça aurait dû mouliner plus longtemps. Non, mon navigateur me répondant que le site n’a pas été trouvé ne pouvait signifier que deux choses : soit les serveurs étaient tombés — auquel cas, vu la taille du site, j’en aurais entendu parler — soit le DNS me mentait.

Bon, je ne vais pas vous faire languir, un petit coup de dig m’a donné une très rapide réponse :

Yep, les serveurs sont toujours là ! Je décide donc d’en avoir le cœur net et d’aller sur le site en entrant carrément l’adresse IP et là, seconde déconvenue : le site mouline puis me timeout la gueule.

Cela ne pouvait avoir que deux explications : soit les serveurs sont à moitié dans les choux, soit Numericable a un pare-feu qui décide du bout d’internet que j’ai le droit de consulter. Devinez quelle est la bonne réponse ?

Nan, le serveur répond bien. Mais bon, après, ICMP et HTTP sont deux protocoles différents, c’est possible que l’Apache (ou Nginx, m’en fous, c’pareil) du serveur merde — ouais, je me suis fait l’avocat du Diable :D. Du coup, j’ai utilisé la méthode radicale : le proxy en ligne. Et, ouais, le site était bel et bien up.

J’aurais dû me douter, de toutes façons que Numericable allait me servir de l’internet sale. Déjà, le premier jour, en configurant la box, je me suis rendu compte que cette saloperie possédait une IP dynamique et aucun moyen de la forcer à adopter une IP fixe. Avec IPv6, on peut adresser à peu près tous les atomes de l’univers et Numericable n’a rien trouvé d’autre à foutre que de faire du putain de DHCP… Sérieusement, avec du DHCP sur 2 niveaux, je sais même pas comment mes paquets sont encore routés correctement.

Et devinez qui va se prendre son petit abonnement OVH, sous peu ?

Edit : Je précise que le site était encore accessible chez Free le mois dernier. Il semble donc que ceci soit bel et bien un mouvement unilatéral de la part de Numericable. Enfin bon, j’ai réglé le problème en 10 minutes avec un DNS local. Ce qui prouve à quel point ils sont mauvais… Si vous souhaitez faire comme moi, l’ami dada en a fait un (tout petit) tuto. Prochaine étape : TOR.

Erratum : De gentils commentateurs m’ont fait remarqué qu’il fallait encore que j’apprenne à me servir de dig. En effet, la commande ci-dessus a utilisé les serveurs DNS de Numéricâble — il me semblait qu’il utilisait un set de DNS fixe et pas celui de la machine — et m’a répondu que le site , n’était pas trouvé. L’IP qui apparaît est l’IP du DNS de Numéricâble ce qui explique que je n’y ai pas pu joindre T411. En effet, après avoir installé BIND9 en local et configurer ma connexion pour utiliser mon DNS à moi, la commande dig me répond tout autre chose :

Pas de firewall dégueulasse, donc. Il semblerait aussi que ça fasse suite à une décision de justice donc que ça soit aussi effectif chez Free. Ça prouve bel et bien à quel point les politiques qui votent ces lois sont à la masse vu à quel point c’est facile de contourner…

Merci aux gentils commentateurs de m’avoir fait remarquer mon erreur.

Déjà 6 avis pertinents dans Passer à Numericable et découvrir des pratiques malpropres de DNS menteurs

  • Tu peux aussi monter ton propre serveur dns, ou avoir un resolver dns en localhost. Comme dnssec-trigger. Ca marche impec quand t’as pas besoin de bricoler. (Moi, ça marche moyen justement parce que je bricole).

    La requete dns ça se fait aussi sans le http:// derrière !

  • Vincent
    J’ai eu le même problème.. Mais c’est une décision de justice, je crois que chez Free c’est fait également ! (la justice a étendu le blocage au .io, plus seulement au .me)
    Étonné comme toi, car c’est la première fois que numéricable l’applique de mémoire !

    Et ton test contient une erreur ou deux..Comme le commentaire précédent c’est sans le http://. Dig te répond qu’il n’a pas trouvé d’enregistrement là. Et 89.2.0.1 c’est l’adresse des DNS numéricable ! pas celle de t411 ;)

    Donc non, il n’y a pas de firewall ou autre qui bloque, juste un DNS menteur… Comme chez les autres FAI (enfin les gros qui n’ont pas l’excuse des moyens pour ne pas pouvoir mettre en oeuvre les blocages). Heureusement qu’il y’a des DNS publiques plus respectueux de la vie privé et de la neutralité, genre ceux de FDN..

  • Uggy
    > Yep, les serveurs sont toujours là
    Euhh le dig ne montre pas du tout que le serveur de t411 est « toujours là ».
    Le dig montre que le serveur DNS 89.2.0.1 de Numericable répond « status: NXDOMAIN »

    > d’aller sur le site en entrant carrément l’adresse IP
    L’adresse IP du serveur DNS de Numericable ??

    > ping -c 3 89.2.0.1
    > Nan, le serveur répond bien. Mais bon, après, ICMP et HTTP sont deux protocoles différents

    Oui mais là on parle du serveur DNS de Numericable….. …

  • C’est pas la première fois que les FAI sont contraints de faire mentir les DNS par la justice et pour une fois ils ne sont pas « coupables » (à l’origine) de cette décision.
    Comme la Justice est bien faite dans ce cas présent, elle n’a assigné à faire ce coup de DNS menteur qu’aux 4 principaux FAI : NC, Free, Bouygues et Orange.
    L’utilisation de n’importe quel DNS autre résout le problème, FDN (French Data Network) dans mon cas.

Laisser un commentaire

indique des champs obligatoire.