Canal+ s'attaque aux DNS alternatifs de Google, Cisco et Cloudflare pour protéger ses droits sur la F1

Pierre Dandumont |

Depuis de nombreuses années maintenant, les fournisseurs d'accès doivent censurer leurs annuaires DNS pour répondre à des demandes de la justice. En effet, un moyen simple de bloquer un site en France consiste à le supprimer des annuaires des principaux fournisseurs : si le serveur ne peut plus effectuer la correspondance entre cesitebloque.com et son adresse IP, il est inaccessible pour les clients des FAI. Et à ce petit jeu, certains internautes avaient une solution simple : ne pas utiliser les DNS de leur opérateur. Mais cette astuce est visiblement connue de Canal+.

macOS permet de modifier facilement les serveurs DNS.

En effet, comme nos confrères de L'Informé le rapportent, Canal+ — qui détient les droits de la Formule 1 en France — a décidé de s'attaquer à trois fournisseurs de DNS dits alternatifs. Il s'agit de Google (8.8.8.8), CloudFlare (1.1.1.1) et Cisco (OpenDNS, 208.67.222.222). Les trois sociétés fournissent des serveurs DNS qui sont annoncés comme plus rapides que ceux des fournisseurs d'accès.

En s'attaquant à ces trois mastodontes souvent mis en avant, Canal+ n'espère évidemment pas supprimer totalement le piratage ni réellement empêcher un Français de regarder la Formule 1 sans payer son abonnement, mais le blocage des sites de streaming illégaux sur ces trois annuaires (en plus des DNS des FAI) les rendra moins accessibles. Par ailleurs, la F1 n'est pas la seule touchée : nos confrères indiquent que de nombreux sites ont aussi été bloqués pour tenter de protéger les droits du Top 14 de rugby.

La Formule 1 est accessible gratuitement avec Auvio, chez nos voisins.

Espérons que les avocats de Canal+ ne regardent pas trop de vidéos sur YouTube, dans le cas contraire ils pourraient apprendre que la Formule 1 est diffusée en clair dans un pays voisin et qu'un VPN permet d'en profiter (ils pourront même obtenir une promotion pour en profiter avec un code).

Auvio est disponible sur Apple TV pour nos amis belges

Auvio est disponible sur Apple TV pour nos amis belges

avatar MedMATN | 

Tant qu’ils gardent Jacques Villeneuve aux commentaires pendant les weekends de courses..je boycotte C+ lol..je ne sais pas si vous avez eu la chance de voir la qualité des commentaires quand Franck Montagny ou Romain Grosjean sont co-animateur, c’est franchement le jour et la nuit

avatar Adodane | 

@MedMATN

La formule 1 est devenu d'un chiant je trouve, en fait on ne regarde plus une course sportive, on regarde des chiffres a l'écran qui changent toutes les secondes, des temps de piste, des écarts, une liste des pilotes qui bouge constamment.
C'est devenu une succession de stimuli visuels assez fatigante a l'écran.

avatar powergeek | 

@Adodane

Sur myCanal tu as accès à plusieurs caméras dont les caméras embarquées sur les voitures. Tu peux donc suivre tout un GP dans la voiture de ton pilote favori. Après il est vrai que ce sont les incidents et accidents de course qui donnent du piquant à ce genre de compétition. Il y a des courses passionnantes et d'autres moins (Monaco 2024 😅).

avatar Adodane | 

@powergeek

Oui Monaco je me suis fais chier a regarder les chronos 😅

avatar melaure | 

@MedMATN

Je me contente de la RTBF, mais si je pouvais m’abonner je prendrais Sky sans hésitation. Raz le bol de ces règlementations nationales !

avatar Adodane | 

Utiliser des DNS alternatifs c'est offrir ses données personnelles de navigation à des entreprises americaines.

avatar ramdam78 | 

Pas nécessairement.
Cloudflare ne fait pas cela. Extrait de leur page describant 1.1.1.1:
"By contrast, 1.1.1.1 does not mine user data. Logs are kept for 24 hours for debugging purposes, then they are purged."

avatar Adodane | 

@ramdam78

Oui c'est ce qu'ils promettent, si c'est gratuit il fait un modèle économique.

avatar tuxfanou | 

@Adodane

ils ont eu le droit d’utiliser toute une plage d’ip normalement réservées (dont les dns font partie) à la condition de fournir un service de dns qui ne collecte pas les données utilisateur. Vu la valeur marchande de ce qu’ils ont réussi à obtenir, je doute fort qu’ils jouent au cons au risque de perdre quelque chose de bien plus précieux pour eux que quelques données dns d’utilisateurs.

avatar tahitibobx987 | 

@Adodane

Cloudflare a un modèle économique pour les professionnels
« L'offre Business de Cloudflare propose toute une gamme de fonctionnalités et d'avantages qui en font un choix intéressant pour les utilisateurs qui cherchent à renforcer leur sécurité, à se protéger contre les attaques DDoS et à mettre en œuvre un pare-feu d'applications web (WAF) »

Facturés 2400 dollars par an

avatar Dylem | 

@Adodane

NextDNS est payant. <3

avatar Kydix | 

Gratuit jusqu'à 300 000 requêtes par mois

avatar Dylem | 

@Kydix je suis à 1,6 millions de requêtes en 30 jours.

avatar Kydix | 

@Dylem

Et il filtre encore ou vous avez du payer ?

avatar Dylem | 

@Kydix

Je paye 20€/an

avatar flem | 

@Adodane

Tu peux utiliser ceux de la fédération FDN

avatar raoolito | 

marrant çà, je change toujours mes DNS sur mes devices des l'installation, mais ca n'a jamais ete pour contourner un quelconque blocage, mais simplement une question e vitesse et.. de non confiance dans les DNS des opérateurs. (j'utilise openDNS > Cloudflare>google et en IPv6 bien sûr :) )

avatar pfx | 

Mouais… ça va pas arrêter grand monde… les gens se feront des fichiers host alimentés dynamiquement….

avatar koko256 | 

@pfx

Cela s'appelle installer un serveur dns sur sa machine ;)

avatar pfx | 

@koko256

Un serveur DNS nécessite de se connecter à d’autres serveurs (root / autoritatif / soa…)
Donc ça peut toujours être bloqué.
Alors que le fichier Host est purement local.

avatar koko256 | 

@pfx

Si les FAI bloquent udp/53 pas besoin de demander à Google quoi que ce soit vu que seul le DNS du FAI est atteignable. Mais les FAI ne le font pas (ou ne le font plus) et canal+ n'a aucun moyen de faire bloquer udp/53 à l'échelle du pays.

avatar Buf000 | 

@koko256

Ça se contourne facilement, avec DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT)

Cloudflare fournit une app qui configure automatiquement tout ça (sinon c’est un peu compliqué à faire soi-même, il faut passer par un profil de configuration)

avatar koko256 | 

@Buf000

C'est vrai aussi mais Canal n'a pas la latitude d'imposer un blocage des DNS aux FAI.

avatar Sometime | 

@Buf000

Notez que theoriquement, ça peut tout aussi bien se bloquer.

avatar Buf000 | 

@Sometime

DoT oui (suffit de bloquer le port 853), mais DoH, c’est du HTTPS tout à fait normal, donc à moins de bloquer 90+% du trafic web, c’est pas vraiment faisable

avatar Sometime | 

@Buf000

on peut encore bloquer un traffic https spécifique sans bloquer tout le traffic vers 443 - même si des technologies récentes peuvent rendre les choses encore un peu plus difficile.

avatar Buf000 | 

Comment? Blocage DNS, c'est pas vraiment faisable ici, et filtrage par IP, c'est plus ou moins impossible face à un CDN comme Cloudflare.
DoH, c'est vraiment le truc qui fait peur à tous ceux qui cherchent à contrôler internet, justement parce que c'est pratiquement impossible à bloquer.

avatar Sometime | 

@Buf000

Filtre sur les “SNI” entre autre. Meme si c’est de plus en plus compliqué avec de nouvelles technologies comme ECH.

avatar pfx | 

@koko256

Alors j’ai pas compris la news… 😅

avatar koko256 | 

@pfx

La news dit que canal plus demande aux serveurs dns alternatifs les plus connus (8.8.8.8 et 1.1.1.1 sont cités) de respecter le bannissement français pour qu'ils ne suffisent pas de les utiliser pour contourner le bannissement (sur chromeos je me demande si ce n'est pas le serveur de Google par défaut).
Ce sera de toutes façons très facile à contourner.

avatar 0MiguelAnge0 | 

@koko256

Connais-tu le DOH qui fait passer le DNS over https et donc crypté…? Je souhaite du courage aux gusses qui vont essayer soit de bloquer le port 443 soit de casser en live le TLS 1.3 :)))

avatar Dylem | 

@0MiguelAnge0

Canal+ ne demande pas à bloquer le DNS, mais à faire mentir les DNS de Google par exemple pour ne pas rendre disponible les sites internets qui diffusent des streams illégaux.

Rien n'empêche avec cette technique d'accéder aux sites uniquement via l'IP.

avatar koko256 | 

@0MiguelAnge0

Évidemment :). Mais ce n'est pas la question initiale. Si Canal+ fait mentir d'autres serveurs, il suffit d'installer le sien, ce qui correspond à avoir un fichier host à soi mais rempli automatiquement donc bien plus pratique que ce que propose l'OP. C'est juste qu'au lieu d'être dans (sous UNIX) /etc/hosts il est dans la BD du serveur DNS.
Après est venu une incompréhension sur qui fait quoi :
- "avoir son propre serveur DNS nécessite de faire des requêtes DNS" -> oui mais Canal plus ne demande pas à bloquer les DNS, elle demande seulement aux serveurs alternatifs de ne pas donner les adresses IP des sites pirate.
- "si on bloque toutes les requêtes udp port 53, on bloque aussi les ressources dns vers le serveur du fai" -> je n'ai pas répondu mais un autre a plus ou moins dit que l'idée, sous-entendue, est de tout bloquer sauf vers le serveur officiel du FAI pour imposer son utilisation, mais les FAI ne le font plus
- "si on bloque udp/53 on peut contourner avec xxx", dns over https, tls, whatever ou juste avec un vpn -> oui mais on s'éloigne de plus en plus du sujet. Je peux aussi appeler un pote aux US (s'il n'est pas trop tôt) et lui demander l'adresse IP (je l'ai plus ou moins fait en discutant avec un gars d'europe de l'est qui trouvait un bouquin sur un site russe dont la requête DNS était bloquée). Il est clair que contourner un pare-feu est toujours faisable de l'intérieur sauf si l'accès à Internet est coupé.

avatar Dylem | 

@koko256

Si tu bloque le port 53, tu interdis les requête DNS, y compris celle de ton opérateur.

avatar bruno_bing | 

Si tu bloques le port 53 pour toutes les IP sauf la range qui t’interesses, tu as gagné 🙂

avatar Dylem | 

@bruno_bing

Euh, quoi?

Ton PC contact 1 ou 2 serveurs DNS maximum.
Ces serveurs font la correspondance entre le domaine que la machine veut accéder, et l'IP publique associées.

C'est ici que le blocage se fait, en indiquant une IP erronée.
Ton commentaire est faux.

avatar koko256 | 

@pfx

Vu le tintamarre provoqué par mes réponses, je précise : "des fichiers host alimentés dynamiquement", le "dynamiquement" est important vu que le fichier host est justement là pour les adresses statiques, c'est EXACTEMENT installer un serveur DNS en local et cela contourne parfaitement le problème.

avatar Dylem | 

@koko256

Non, le fichier HOST et le DNS sont 2 choses séparés.
L'HOST, c'est un fichier que l'OS consulte avant d’interroger son cache DNS, puis son serveur.

avatar koko256 | 

@Dylem

Allez on se concentre et on ne lit pas systématiquement en se disant "il a tort".
Oui ce sont évidemment deux choses différentes.
Mais, l'OP parle de maintenir un fichier qui se met à jour "dynamiquement" avec les adresses IP des machines, c'est exactement ce que fait un serveur DNS ! Puisqu'il cache les résultats. Bien sûr qu'il ne stocke pas ce cache dans /etc/hosts vu que celui-là est pour des valeurs statiques alors que l'OP parle de dynamique. Mais il les stockent bien quelque part (par défaut bind le met en RAM mais on doit pouvoir trouver un serveur persistent ou le configurer comme tel).

avatar koko256 | 

@Dylem

"L'HOST, c'est un fichier que l'OS consulte avant d’interroger son cache DNS, puis son serveur."
Le "son cache DNS" est en trop d'ailleurs. La valeur par defaut de nsswitch.conf c'est "files dns".

avatar Dylem | 

Si tu modifie dynamiquement ton fichier HOST, ça ne fait pas de ton PC un serveur DNS.
Si ton PC ne connait pas le domaine, il va demander l'IP à son serveur DNS de renseigné, s'il est lui-même renseigné en tant que serveur DNS et qu'il est serveur DNS, alors il va demander au serveur DNS au dessus de lui l'IP de se nom de domaine.

Et désolé mais c'est comme ça que ça marche.
Le PC check d'abord son fichier HOST, son cache DNS, puis demande l'information au serveur DNS, si c'est un serveur DNS, évidemment qu'il ne va pas check son HOST. mdr

Désolé mais c'est comme ça que ça fonctionne, j'en suis navré, donc oui tu as tord.

Et puis bon, Bind est un serveur DNS, donc je ne vois pas bien ou tu veux en venir, si tu mets dynamiquement à jour un fichier avec une correspondance IP/nom-de-domaine en utilisant Bind, c'est un serveur DNS.

D'ailleurs, Bind ne stock pas les DNS dans la RAM, c'est de la mémoire volatile.
Bref.

avatar koko256 | 

@Dylem

Vous ne comprenez rien et vous insultez, classique.

La personne initiale parle d'un fichier host dynamique (cela veut dire mis à jour à la volée). C'est ce que fait le programme qui fait tourner un serveur DNS, sauf que bien sûr il n'écrit pas dans le fichier host. Donc installer un programme qui fait serveur DNS sur sa machine fait ce qu'il demande.

"Si ton PC ne connait pas le domaine, il va demander l'IP à son serveur DNS de renseigné, s'il est lui-même renseigné en tant que serveur DNS et qu'il est serveur DNS, alors il va demander au serveur DNS au dessus de lui l'IP de se nom de domaine."
Non pas du tout. S'il est un serveur DNS, il va faire comme fait le programme "dig +trace" en commençant par les root serveurs et pas demander "au serveur DNS au dessus de lui". Vous confondez serveur DNS récursif et serveur DNS "nameserver" de zone.

"Le PC check d'abord son fichier HOST, son cache DNS, puis demande l'information au serveur DNS, si c'est un serveur DNS, évidemment qu'il ne va pas check son HOST. mdr"
Les ordinateurs n'ont pas tous un cache DNS et en général cela crée plus de soucis qu'autre chose et c'est assez rare à présent.

Mais si vous êtes si fort en réseau, connaissez-vous DNSSEC, les RRSIG, la raison pour laquelle il y a deux types de DNSKEY (KSK et ZSK) et comprenez-vous pourquoi il n'y a pas besoin de s'en référer au serveur DNS qui donne des "authoritative answers" pour vérifier les signatures ?

Je pense que non mais ChatGPT vous aidera.

avatar Dylem | 

Personne n'installe un service serveur DNS sur sa machine.
Pi-Hole existe pour cette raison.

C'est quand-même terrible d'essayer de perdre la personne avec des termes techniques alors que la situation est simple.

Des fichiers HOSTS existent déjà pour bloquer des sites de SPAM existent déjà (https://github.com/StevenBlack/hosts). Et il est possible de mettre à jour directement son fichier HOST Windows.

Et si un DNS ment sur l'IP du domaine que tu veux atteindre, bah tu change de DNS.
Modifier un fichier HOST dynamiquement pour contrer la censure d'un site via DNS, c'est n'importe quoi.

Eh oui je connais le DNSSEC, mais je ne vois pas le rapport avec installer un serveur DNS sur sa machine pour contrer la censure d'un nom de domaine.

Autant installer un serveur web et télécharger tout Wikipedia aussi, non?
T'en pense quoi toi? Ça peut être une idée.

avatar koko256 | 

@Dylem

De mieux en mieux
"Personne n'installe un service serveur DNS sur sa machine.
Pi-Hole existe pour cette raison."
Pi-Hole est un programme qui fait serveur DNS (puisqu'il répond aux requêtes du système qui est client DNS). Belle contradiction.

"C'est quand-même terrible d'essayer de perdre la personne avec des termes techniques alors que la situation est simple.
Des fichiers HOSTS existent déjà pour bloquer des sites de SPAM existent déjà (https://github.com/StevenBlack/hosts). Et il est possible de mettre à jour directement son fichier HOST Windows."
Oui mais là c'est le host qui ment, c'est le use case inverse. Et je n'ai mis aucun terme technique initialement.

"Et si un DNS ment sur l'IP du domaine que tu veux atteindre, bah tu change de DNS."
Par exemple en en mettant un sur sa machine. C'est plus pérenne que de changer de DNS à chaque fois que Canal en fait changer un.

"Modifier un fichier HOST dynamiquement pour contrer la censure d'un site via DNS, c'est n'importe quoi."
C'est que propose l'OP et cela revient à la solution que je propose (et vous aussi avec Pi-Hole mais comme vous ne comprenez rien vous ne l'avez pas compris).

"Eh oui je connais le DNSSEC, mais je ne vois pas le rapport avec installer un serveur DNS sur sa machine pour contrer la censure d'un nom de domaine."
Connais de très loin alors. On ne peut pas mentir avec DNSSEC 🤣. Je voulais juste vérifier votre niveau de connaissance et je ne suis pas étonné de la réponse.

"Autant installer un serveur web et télécharger tout Wikipedia aussi, non?
T'en pense quoi toi? Ça peut être une idée."
Un peu nul comme sarcasme. Il y a plein de bonnes raisons d'installer un serveur web sur sa machine.

avatar Dylem | 

"@pfx

Cela s'appelle installer un serveur dns sur sa machine ;)
"

Je fais référence à ça.
Un serveur DNS ne s'installe pas sur la machine de madame Michu.
Un fichier HOST ne sert pas à contourner un DNS menteur.
Le port 53 ne se bloque pas, c'est aussi con que de dire que l'on va bloquer le port 80 ou 443.
Canal n'a pas encore fait interdire les sites de streaming, et je doute qu'il y arrive.

Tu propose d'installer un serveur DNS sur une machine d'un utilisateur, ça n'a aucun sens.
Un Pi-Hole est unne machine à part et peut-être fait en VM.

Je devrais faire ça chez mes clients, je vais mettre des serveurs DNS sur tous les postes, et mettre les IP du domaine local en dur dans le fichier HOST.

Et bloquer le port 53 bien sûr.

avatar koko256 | 

@Dylem

On est les comm de macg, il n'y a pas de Mme Michu.

"Un fichier HOST ne sert pas à contourner un DNS menteur."
Le fichier host ce sont des entrées statistiques et c'est tout. On met celles que l'on veut. Il n'y a pas de dogme sur cela (sauf de ceux qui sont, comme vous, sans autres arguments)

"Le port 53 ne se bloque pas, c'est aussi con que de dire que l'on va bloquer le port 80 ou 443."
C'est fait dans certaines boites pour imposer un serveur dns ou un proxy web (en espérant que vous comprenez le sens de cette phrase, il ne s'agit pas de bloquer ces ports sur la machine ; vu la dernière phrase de la réponse, j'en doute)

"Canal n'a pas encore fait interdire les sites de streaming, et je doute qu'il y arrive."
Oui c'est ce que j'ai dit.

"Tu propose d'installer un serveur DNS sur une machine d'un utilisateur, ça n'a aucun sens."
Encore du dogme. Cela résout définitivement le problème du DNS menteur. Mais effectivement un seul sur le réseau suffit.

"Un Pi-Hole est unne machine à part et peut-être fait en VM.
Je devrais faire ça chez mes clients, je vais mettre des serveurs DNS sur tous les postes, et mettre les IP du domaine local en dur dans le fichier HOST.
Et bloquer le port 53 bien sûr."
Proposez surtout à vos clients d'avoir un meilleur prestataire. Mais j'imagine que vous êtes peu cher.

avatar Dylem | 

"C'est fait dans certaines boites pour imposer un serveur dns ou un proxy web"
Non, jamais, personne ne bloque le port 53, qui est utilisé quoi qu'il arrive.
Et comme son nom l'indique, un proxy web ne redirige que le traffic web, pas DNS.

Bref, cette conversation ne mène à rien, inutile de discuter avec un type qui conseil d'installer un serveur DNS sur un poste client, et qu'il est possible de bloquer le port 53.

Et pour info, les utilisateurs Apple ne sont pas les mieux calés en informatique, c'est d'ailleurs généralement pour ça qu'ils utilisent du Apple.

Bye :)

avatar Sometime | 

@Dylem

alors si, bloquer un port 53 depuis un réseau d’entreprise vers l’extérieur (sauf pour les serveurs dns internes), cela se fait tout a fait.
c’est meme recommandé si vous souhaitez contrôler un tant soit peu le traffic dns de votre entreprise justement.

avatar Dylem | 

@Sometime

Je parlais de bloquer le port 53 au niveau du PC.

avatar v1nce29 | 

Tu connais pas la notion d'analogie ?
Le fichier hosts et le serveur DNS rendent un service analogue : transcrire des noms de domaine en IP. Après c'est une différence d'échelle et de fonctionnalités.

Pages

CONNEXION UTILISATEUR