Auteur Sujet: DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile  (Lu 47087 fois)

0 Membres et 1 Invité sur ce sujet

DaveNull

  • Abonné SFR THD (câble)
  • *
  • Messages: 26
Bonjour

En constatant que DNSSEC ne fonctionne pas sur les accès 3G de BandYou, j'ai commencé à creuser pour identifier l'orgine du problème, et j'ai découvert que Bouygues se permet de faire un peu n'importe quoi à l'insu de ses client⋅e⋅s, en cassant au passage DNSSEC

Pratiques parmi les quels :

- Proxy intrusif
J'essaye de me connecter sur le port 25 d'OpenMailBox avec netcat, d'abord sur une connexion sans proxy SMTP

J'ai le bon serveur qui me répond
Puis je réessaye la même chose mais en 3G BandYou

L'image parle d'elle-même, c'est clairement pas le serveur interrogé qui répond…

- DNS menteur : Impossible d'utiliser un DNS tierce, c'est le DNS de Bouygues qui répond, en mentant sur l'IP source de la réponse
Même en interrogeant un faux résolveur DNS (dig @IP avec comme IP une adresse ne pointant vers aucun résolveur DNS réel), j'ai une réponse (voir lien donné plus bas) avec une IP source correspond à celle du serveur interrogé, or comme l'IP ne correspond à aucun résolveur réel, ça veut dire qu'il y a un équipement qui répond aux requêtes en forgeant les IP sources

- Paquets DNSSEC forgés : IP sources de paquets DNSKEY totalement fantaisistes, et clés sont foireuses, je reçois en permanence des signatures DNSSEC erronées pour tous les sites, y compris les sites qui ne supportent pas du tout DNSSEC
Un exemple avec un paquet DNSKEY, avec comme IP source une adresse de l'université du Maryland, sachant que j'ai jamais configuré un éventuel résolveur DNS de cette Université sur mon système

J'ai pleins d'autres paquets du genre avec diverses IP de serveurs que j'ai jamais interrogé 

Pour ces 2 derniers points, j'ai écrit un article détaillé sur la question, disponible ici :

Citer

En tant que client de Bouygues, je trouve ce genre de pratiques totalement inadmissibles, il y a aucune raison de m'empêcher d'utiliser le résolveur DNS de mon choix. C'est d'autant plus grave que c'est fait en douce et qu'en plus ces bidouillages coté réseaux cassent un protocole de sécurité (DNSSEC).

Bien que ces pratiques qui violent clairement la Neutralité du Net ne m'étonnent pas, j'estime que
- Ces pratiques doivent être rendues publiques, à défaut de disparaître (je compte pas trop dessus)
- Ça mérite quelques explications de la part de Bouygues

Si quelqu'un à des infos sur les motivations de Bouygues, ou sur d'autres pratiques du genre, ça m'intéresse d'en savoir plus à ce sujet.
« Modifié: 13 avril 2020 à 15:01:00 par DaveNull »

GoobY13

  • Abonné Free fibre
  • *
  • Messages: 665
  • Tours (37)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #1 le: 21 mars 2017 à 12:57:22 »
Pour un non spécialiste, concrètement ca fait quoi ?

Gabi

  • Abonné SFR THD (câble)
  • *
  • Messages: 94
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #2 le: 21 mars 2017 à 14:29:32 »
Concrètement, ça veut dire que la connexion internet que tu as via Bouygues Telecom en mobile, en plus de n'être pas neutre, est en partie fake : Si je veux me connecter à un serveur SMTP donné, je m'attends soit à effectivement me connecter à *ce serveur*, soit à être bloqué : là ByTel répond avec un serveur à lui. Pareil pour le DNS, ce qui est bien pire.

C'est comme si tu envoyais une lettre à un ami, à son adresse, et que quelqu'un d'autre te répondait à sa place avec l'adresse de ton ami en expéditeur.

111

  • Abonné Orange Fibre
  • *
  • Messages: 235
  • Nantes
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #3 le: 21 mars 2017 à 18:04:00 »
Je serai curieux de savoir comment Bouygues justifie un tel bidouillage, parce que je vois pas ce qu'ils y gagnent.

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 343
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #4 le: 21 mars 2017 à 18:17:01 »
Après l'abandon de bytemobile (proxy http) ça fait tâche de voir qu'il y a encore ce genre de truc...

Je me rappelle encore de la période ou les pages web trop lourdes se soldaient par un 403... ou encore que les fichiers de plus de 10 Mo ne se téléchargeaient pas, 403 là aussi. J'avais chargé un petit utilitaire qui découpait en petit morceau les fichiers pour que ça passe.

Par contre il ne m'a jamais été facturé de hors forfait alors que j’utilisais mon forfait 500 Mo en mode modem à l'époque alors que c'était interdit dans les CGV. Ah... le fameux *99#  ;D

Source : https://www.freenews.fr/freenews-edition-nationale-299/concurrence-149/bouygues-pris-en-flagrant-delit-de-bridage-de-connexion-3g-10540


buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 071
  • Alpes Maritimes (06)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #5 le: 21 mars 2017 à 18:21:59 »
Il y a eu un sujet l'été dernier pour les dns déjà. Boris avait dit que c'était pour que le net marche même si le apn du mobile était mauvais.

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 343
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #6 le: 21 mars 2017 à 18:37:27 »
Il y a eu un sujet l'été dernier pour les dns déjà. Boris avait dit que c'était pour que le net marche même si le apn du mobile était mauvais.

Ça me parait étrange comme justification, comment ça peut fonctionner si on rentre un APN orange par exemple à la place de bouygues ? Quelqu'un a déjà testé ?

DaveNull

  • Abonné SFR THD (câble)
  • *
  • Messages: 26
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #7 le: 21 mars 2017 à 19:36:32 »
Bonjour

Pour un non spécialiste, concrètement ca fait quoi ?
J'allais répondre mais Gabi m'a devancé, son explication résume très bien la situation, Merci @Gabi

Je serai curieux de savoir comment Bouygues justifie un tel bidouillage, parce que je vois pas ce qu'ils y gagnent.
Je suis tout aussi curieux, et à part éventuellement pourvoir faire de la censure par DNS en complexifiant le contournement, je vois pas non plus ce qu'ils y gagnent
Par ailleurs, je suis pas juriste mais j'ai des doutes sur la légalité de la pratique, usurpation d'IPs (IP des DNS vraiment interrogées dans les paquets réponses produits par le serveurs de Bouygues, ainsi que IP de structures tierces dans différents paquets DNS, modifications de paquets à la volée via leurs proxies… )

Il y a eu un sujet l'été dernier pour les dns déjà. Boris avait dit que c'était pour que le net marche même si le apn du mobile était mauvais.

Merci pour l'info, mais je suis pas convaincu par cette explication.

1. Généralement, et depuis quelques années, les APN sont configurés automagiquement, quand l'opérateur correspondant à la carte SIM est détecté par le téléphone. Je me souviens pas de la dernière fois où j'ai du configurer l'APN à la main (et du coup risquer de me planter)
2. Pourquoi tant d'opacité sur ces pratiques, plutôt que d'informer les utilisateurs et de leurs laisser le choix, s'ils acceptent au non de passer par des proxies de Bouygues, et de ne pas pouvoir utiliser des DNS tierces ?
3. DNS menteur qui traite toutes les requêtes qui ne lui sont pas destinées, et qui casse DNSSEC + proxy SMTP qui intercepte les requêtes sur le port 25 + paquets forgés (voir capture d'écran Wireshark + article), sans aucune transparence sur ces pratiques, ni aucune possibilité d'en sortir (sauf à résilier l'abonnement, et trouver un autre FAI qui fait pas la même chose), c'est trop cher payé sous prétexte de résister à une mauvaise conf (faite automatiquement, donc ne nécessitant aucune connaissance de la part des users, donc risque d'erreur très faible au final)
4. Bien que ça reste une mauvaise raison, ça expliquerai à la limite le non-support de DNSSEC (DNS menteur imposé ne supportant pas DNSSEC), mais ça n'explique pas le proxy SMTP, et encore moins les signatures DNSSEC erronées que je reçois pour tous les noms de domaines, y compris ceux n'ayant aucun champs RRSIG dans leurs enregistrement DNS, ni les IP fantaisistes des paquets DNSKEY
4.1 Les IP sources sont forcèment forgées vu c'est des paquets DNS dont les IP n'ont jamais été configurées en tant que résolveur sur ma machine, cf l'article mis en lien, d'autant plus que ça touche des noms de domaines qui ne supportent pas DNSSEC… je vois pas pourquoi un serveur DNS légitime m'envoie des signature RRSIG erronées pour tous les noms de domaines auxquels je me connecte (J'ai fais plusieurs fois les testes à plusieurs mois d'intervalles, les résultats sont strictement les mêmes, donc j'exclus l'erreur de configuration, au bout de tout ce temps, quelqu'un aurait finit par voir et corriger l'erreur, si c'était une erreur)


kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 076
  • Paris (75)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #8 le: 21 mars 2017 à 20:02:08 »
C'est peut être lié a la protection du réseau contre de l'UDP Amplification par exemple (dns étant sur udp).
Notamment quand le tél est en mode hotspot ou quand on utilise une box4G (un resolveur DNS ouvert derriere une connexion 4G ca peut faire mal).

Tout dépend ou se situe ce 'mitm', s'il est proche de l'utilisateur, par exemple la ou y'a l'antenne cela permet de protéger les collectes contre un flood udp.

Apres c'est peu-être simplement pour faire du CDN et soulager les collectes...
ou réduire la latence des réso DNS
ou augmenter leur fiabilité
ou collecter des infos sur les usages: vu que quasi tout se fait en https de nos jours sur des CDN globalisés (cloudflare & co), l'opérateur ne voit plus grand chose, les IPs destinations donnant  peu d'info... en interceptant les reso DNS il peut tracker des infos sur les usages.

Il faudrait tester quelques réponses DNS et les comparer avec les autoritatives pour voir s'ils changent quelque chose ou pas. s'ils ne changent rien c'est de la protection ou de la collecte de data.
 
Apres 99% des gens s'en tapent car ils ne touchent pas leur conf DNS de leur mobile qui de toute facon va chez l'opérateur.
Et quasi aucune application mobile embarque son propre client DNS, elles délèguent toutes cela a l'OS.

La ou c'est problématique c'est en mode hotspot si on a un PC avec config DNS particuliere. Mais la encore c'est pas 99% des gens.

Et on peut toujours faire un VPN en faisant tout passer dedans , y compris les réso DNS.

Bref meme si c'est pas 'réglo' c'est pas si gênant qu'un MiTM sur du vrai contenu par exemple.

DaveNull

  • Abonné SFR THD (câble)
  • *
  • Messages: 26
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #9 le: 21 mars 2017 à 21:31:37 »
C'est peut être lié a la protection du réseau contre de l'UDP Amplification par exemple (dns étant sur udp).
Notamment quand le tél est en mode hotspot ou quand on utilise une box4G (un resolveur DNS ouvert derriere une connexion 4G ca peut faire mal).
En quoi « la protection contre le flood UDP » explique les signatures RRSIG foireuses issus de paquets forgées? ou le proxy SMTP ? Je vois pas le rapport
De plus, c'est connexion 3G (pas 4G, ni 4G "Box") via BandYou avec un débit en upload ridicule, même le download est mauvais
De plus qui mettrai un serveur DNS derrière un accès Internet mobile? Personne… les serveurs autohebergées sont en général derrière des accès fixes (xDSL ou FTTB/FTTH)
Sans compter le fait que c'est aux admins d'êtres responsables, et de configurer correctement leurs machines, aps aux FAI de jouer aux flics du Net. L'infantilisation des clients/users, ça va 5 minutes

Après c'est peu-être simplement pour faire du CDN et soulager les collectes...
ou réduire la latence des réso DNS
ou augmenter leur fiabilité
T'as lu au moins tout le topic? et l'article mis en lien? je vois pas en qupi du MITM sur SMTP et DNS, en cassant DNSSEC au passage, via des paquets forgés, relève de l'amélioration au passage

ou collecter des infos sur les usages: vu que quasi tout se fait en https de nos jours sur des CDN globalisés (cloudflare & co), l'opérateur ne voit plus grand chose, les IPs destinations donnant  peu d'info... en interceptant les reso DNS il peut tracker des infos sur les usages.
Archi faux! même avec HTTPS + CDN, ils ont accès aux URL <correction>noms de domaines. Les requêtes et réponses DNS passent en clair sur le réseau du FAI, sauf à faire du DNS over TLS (pas très répandu)<correction>
D'autant plus que le flicage est la pire des raisons de faire du MITM, c'est pareil qu'un script kiddie qui fait du MITM sur les réseaux WiFi publics.
Ce que leurs utilisateurs font, ça es regarde pas… c'est un FAI, pas un OPJ dans le cadre d'une enquête encadrée…

Il faudrait tester quelques réponses DNS et les comparer avec les autoritatives pour voir s'ils changent quelque chose ou pas. s'ils ne changent rien c'est de la protection ou de la collecte de data.
Encore une fois, il y a des paquets forgées avec de fausses signatures DNSSEC pour tous les noms de domaines visités, que ces NdD aient une signature RRSIG ou  non dans leurs vrais enregistrement DNS, donc il y a bien notification des réponses

Apres 99% des gens s'en tapent car ils ne touchent pas leur conf DNS de leur mobile qui de toute facon va chez l'opérateur.
Et quasi aucune application mobile embarque son propre client DNS, elles délèguent toutes cela a l'OS.
Encore heureux que les applis mobiles n'imposent pas leurs résolveur DNS… l'OS qui définit le résolveur, c'est un comportement normal… et ça ne justifie rien, sosu pretexte que les utilisateurs s'en foutent de ce que bricolent leurs FAI… je me demande comment ces mêmes personnes réagiraient si La Poste intercepter et lisait leurs couriers, puis répondait en se faisant passer pour les destinataires légitimes à qui s'adresser le courrier

La ou c'est problématique c'est en mode hotspot si on a un PC avec config DNS particuliere. Mais la encore c'est pas 99% des gens.
Je fais partie de ces utilisateurs, et ces le cas de plus en plus de gens qui utilisent des DNS tierces… je vois pas le rapport entre les pratiques douteuses et le fait que peu de personnes sont susceptibles de découvrir ce que le FAI bricole… D'ailleurs s'ils se croient tout permis c'est justement parce que les egns ont tendant à se dire « C'est pas grave, ils savent mieux que nous pourquoi ils font ça »

Et on peut toujours faire un VPN en faisant tout passer dedans, y compris les réso DNS.
Non, ça reste à verifier (ça dépends s'ils bloquent ou non, voir la conclusion de mon article, donné en lien dans mon 1er post)
Le VPN à des coups, devoir payé plus juste pour pas se faire pourrir malhonnêtement sa connexion Internet ne devrait pas être considéré comme normall, et encore moins accepté

Bref meme si c'est pas 'réglo' c'est pas si gênant qu'un MiTM sur du vrai contenu par exemple.
Bien sur que si, c'est génant, ils pourrisent un protocole de sécurité (DNSSEC), donc rendent le DNS moins fiable, ils facilitent la censure par DNS en imposant le leurs, qui mentent déjà en modifiant le contenant des réponses et mentant sur les identités… 
« Modifié: 21 mars 2017 à 22:22:48 par DaveNull »

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 377
  • Lyon (69) / St-Bernard (01)
    • Twitter
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #10 le: 21 mars 2017 à 21:50:29 »
même avec HTTPS, et les CDN, ils ont accès aux URL

les URL dans HTTPS ?  ;D

DaveNull

  • Abonné SFR THD (câble)
  • *
  • Messages: 26
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #11 le: 21 mars 2017 à 21:57:33 »
les URL dans HTTPS ?  ;D

Je reformule, pas toutes les URL, mais les noms de domaines visités sont visibles en HTTPS, même sans MITM DNS
A moins que tu fasse du DNS over TLS (dispo sur peu de résolveurs et utilisé par peu de gens), t'aura beau interroger un DNS tierce, ton FAI aura beau ne pas faire du MITM DNS, il verra quand même passer les requêtes DNS, et les réponses, donc il aura les noms de domaines sur lesquelles ta machine se connecte, en plus des NdD dont tu récupère l'IP (ou que tu récupère à partir de l'IP) sans forcèment te connecter dessus (genre les requêtes effectués par des outils tels que dig, dans le cadre de tests/debugs)
« Modifié: 21 mars 2017 à 22:17:48 par DaveNull »