Je suis Charlie

Autres trucs

Accueil

Seulement les RFC

Seulement les fiches de lecture

Mon livre « Cyberstructure »

Ève

OpenDNS plus accessible depuis la France

Première rédaction de cet article le 28 juin 2024
Dernière mise à jour le 3 juillet 2024


Le résolveur DNS public OpenDNS ne répond désormais plus aux adresses IP situées en France, se pliant aux exigences des ayant-tous-les-droits.

OpenDNS a fait un communiqué sur ces exigences. Voici le résultat, avec dig, depuis une adresse chez Free :

    
% dig @208.67.222.222 www.bortzmeyer.org

; <<>> DiG 9.18.24-0ubuntu0.22.04.1-Ubuntu <<>> @208.67.222.222 www.bortzmeyer.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 102
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1410
; EDE: 16 (Censored)
;; QUESTION SECTION:
;www.bortzmeyer.org.	IN A

;; ADDITIONAL SECTION:
www.bortzmeyer.org.	0 IN TXT "Due to a court order in France issued under Article L.333-10 of the French Sport code the OpenDNS service is not currently available to users in France and certain French territories."

;; Query time: 4 msec
;; SERVER: 208.67.222.222#53(208.67.222.222) (UDP)
;; WHEN: Fri Jun 28 17:39:19 CEST 2024
;; MSG SIZE  rcvd: 249

  

Notez le status: REFUSED et l'enregistrement de type TXT qui explique. La loi en question est vouée à défendre les intérêts du sport-spectacle, qui passent avant tout, et est lisible ici (et le jugement qui a contraint OpenDNS semble être celui-ci, vous y trouverez la liste des noms concernés, ça vient de cet article de l'Informé). Les défenseurs de l'appropriation intellectuelle affirment souvent qu'elle sert à « protéger les créateurs » mais, comme on le voit ici, elle sert surtout à enrichir les clubs de rugby ou de football. Les personnes qui utilisaient OpenDNS le faisaient sans doute pour contourner une censure qui bénéficie surtout aux ayant-droits.

Ce n'est pas spécifique au nom de domaine demandé, tous donnent le même résultat. En outre, on peut vérifier, par exemple avec les sondes RIPE Atlas, que c'est pareil depuis quasiment tous les FAI français :

%  blaeu-resolve --requested 200 --country FR --nameserver 208.67.222.222 --type A www.bortzmeyer.org
Nameserver 208.67.222.222
[ERROR: REFUSED] : 180 occurrences 
[80.77.95.49] : 4 occurrences 
[TIMEOUT] : 2 occurrences 
Test #74529588 done at 2024-06-28T15:43:35Z
  

(Et inutile d'essayer en IPv6, c'est pareil.)

Celles et ceux qui avaient configuré leur réseau pour utiliser le résolveur OpenDNS n'avaient donc plus d'accès réseau (sans résolveur DNS, on ne peut quasiment rien faire, et cela bloquait un certain nombre d'équipements). C'est sans doute pour cela qu'OpenDNS a fait une exception (notée par David Ponzone) pour un service critique, la synchronisation d'horloges avec NTP :


%  dig @208.67.222.222 ntp.org           
…
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 6126
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 2
…
;; ADDITIONAL SECTION:
ntp.org.		0 IN TXT "Due to a court order in France issued under Article L.333-10 of the French Sport code the OpenDNS service is not currently available to users in France and certain French territories."

;; Query time: 8 msec
;; SERVER: 208.67.222.222#53(208.67.222.222) (UDP)
;; WHEN: Wed Jul 03 09:57:37 CEST 2024
;; MSG SIZE  rcvd: 238

%  dig @208.67.222.222 pool.ntp.org
…
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47543
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
…
;; ANSWER SECTION:
pool.ntp.org.		130 IN A 185.123.84.51
pool.ntp.org.		130 IN A 51.15.182.163
pool.ntp.org.		130 IN A 51.38.113.118
pool.ntp.org.		130 IN A 51.255.141.76

;; Query time: 48 msec
;; SERVER: 208.67.222.222#53(208.67.222.222) (UDP)
;; WHEN: Wed Jul 03 09:57:41 CEST 2024
;; MSG SIZE  rcvd: 105

Notez qu'on observe la même chose au Portugal, pays également cité dans le communiqué d'OpenDNS :

% blaeu-resolve --requested 200 --country PT --nameserver 208.67.222.222 --type A www.bortzmeyer.org
Nameserver 208.67.222.222
[ERROR: REFUSED] : 168 occurrences 
[80.77.95.49] : 1 occurrences 
Test #74532654 done at 2024-06-28T18:07:19Z
  

OpenDNS n'est qu'un des nombreux résolveurs DNS publics (et pas forcément le plus sympathique, par exemple, pendant longtemps, ils remplaçaient les réponses négatives par des publicités à eux). Par exemple, en Europe, il y a dns.sb, DNS4ALL, en France, il y a celui de FDN et il y en a même un à moi. Si on utilise un résolveur public (ce qui n'est pas forcément une bonne idée), le choix est vaste et les alternatives nombreuses (aucune raison de tous aller sur le résolveur d'une grosse entreprise capitaliste étatsunienne). Mais il n'est pas évident de choisir.

Un de ces gros résolveurs étatsuniens est celui de Google, qui est cité dans le jugement et qui, contrairement à OpenDNS, n'a pas bloqué tout service mais censure seulement les domaines demandés par la justice. (OpenDNS a sans doute jugé plus simple de bloquer tout accès depuis la France.)


% dig @8.8.8.8 volkastream.xyz A 

; <<>> DiG 9.18.24-0ubuntu0.22.04.1-Ubuntu <<>> @8.8.8.8 volkastream.xyz A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 18572
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; EDE: 16 (Censored): (The requested domain is on a court ordered copyright piracy blocklist for FR (ISO country code). To learn more about this specific removal, please visit https://lumendatabase.org/notices/41939614.)
;; QUESTION SECTION:
;volkastream.xyz.	IN A

;; Query time: 4 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Fri Jun 28 20:10:16 CEST 2024
;; MSG SIZE  rcvd: 246

  

Notez l'EDE (Extended DNS Error), concept normalisé dans le RFC 8914. Le code 16 pour indiquer la censure est très rarement observé dans la nature, la plupart des censeurs étant hypocrites.

En parlant de ce domaine, volkastream.xyz, voyons sa censure par les résolveurs DNS des FAI français :

% ./blaeu-resolve --country FR --requested 100 --ede --type A volkastream.xyz
[104.21.38.55 172.67.219.135] : 68 occurrences 
[127.0.0.1] : 18 occurrences 
[ERROR: NXDOMAIN] : 2 occurrences 
[EDE 16 (Censored): The requested domain is on a court ordered copyright piracy blocklist for FR (ISO country code). To learn more about this specific removal, please visit https://lumendatabase.org/notices/41939614. ERROR: REFUSED] : 2 occurrences 
Test #74533089 done at 2024-06-28T18:26:58Z
  

Ce domaine n'est pas bloqué par le résolveur DNS public de Cloudflare mais, comme Cloudflare est son hébergeur Web, il a pu quand même le censurer, et renvoie désormais le code de statut HTTP 451 (normalisé dans le RFC 7725) :


% curl -v https://volkastream.xyz
…
* Connected to volkastream.xyz (2606:4700:3037::6815:2637) port 443 (#0)
…
> GET / HTTP/2
> Host: volkastream.xyz
> user-agent: curl/7.81.0
> accept: */*
…
< HTTP/2 451 
< date: Sat, 29 Jun 2024 17:52:55 GMT
< content-type: text/html

  

OpenDNS est un service de Cisco.

Merci à capslock pour le signalement.

Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)

Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)