Auteur Sujet: DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile  (Lu 12653 fois)

0 Membres et 1 Invité sur ce sujet

DaveNull

  • Client Bouygues Telecom 4G
  • *
  • Messages: 17
Bonjour

En constatant que DNSSEC ne fonctionne pas sur les accès 3G de BandYou, j'ai commencé à creuser pour identifier l'orgine du problème, et j'ai découvert que Bouygues se permet de faire un peu n'importe quoi à l'insu de ses client⋅e⋅s, en sassant au passage DNSSEC

Pratiques parmi les quels :

- Proxy intrusif
J'essaye de me connecter sur le port 25 d'OpenMailBox avec netcat, d'abord sur une connexion sans proxy SMTP

J'ai le bon serveur qui me répond
Puis je réessaye la même chose mais en 3G BandYou

L'image parle d'elle-même, c'est clairement pas le serveur interrogé qui répond…

- DNS menteur : Impossible d'utiliser un DNS tierce, c'est le DNS de Bouygues qui répond, en mentant sur l'IP source de la réponse
Même en interrogeant un faux résolveur DNS (dig @IP avec comme IP une adresse ne pointant vers aucun résolveur DNS réel), j'ai une réponse (voir lien donné plus bas) avec une IP source correspond à celle du serveur interrogé, or comme l'IP ne correspond à aucun résolveur réel, ça veut dire qu'il y a un équipement qui répond aux requêtes en forgeant les IP sources

- Paquets DNSSEC forgés : IP sources de paquets DNSKEY totalement fantaisistes, et clés sont foireuses, je reçois en permanence des signatures DNSSEC erronées pour tous les sites, y compris les sites qui ne supportent pas du tout DNSSEC
Un exemple avec un paquet DNSKEY, avec comme IP source une adresse de l'université du Maryland, sachant que j'ai jamais configuré un éventuel résolveur DNS de cette Université sur mon système

J'ai pleins d'autres paquets du genre avec diverses IP de serveurs que j'ai jamais interrogé 

Pour ces 2 derniers points, j'ai écrit un article détaillé sur la question, disponible ici

En tant que client de Bouygues, je trouve ce genre de pratiques totalement inadmissibles, il y a aucune raison de m'empêcher d'utiliser le résolveur DNS de mon choix. C'est d'autant plus grave que c'est fait en douce et qu'en plus ces bidouillages coté réseaux cassent un protocole de sécurité (DNSSEC).

Bien que ces pratiques qui violent clairement la Neutralité du Net ne m'étonnent pas, j'estime que
- Ces pratiques doivent être rendues publiques, à défaut de disparaître (je compte pas trop dessus)
- Ça mérite quelques explications de la part de Bouygues

Si quelqu'un à des infos sur les motivations de Bouygues, ou sur d'autres pratiques du genre, ça m'intéresse d'en savoir plus à ce sujet

PacOrly

  • Client Free fibre
  • *
  • Messages: 1 261
  • FTTH 850/350 Orly (94)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #1 le: 21 mars 2017 à 10:57:19 »
Ton sujet semble n'intéresser personne. :(

Nico

  • Modérateur
  • *
  • Messages: 35 341
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #2 le: 21 mars 2017 à 11:14:48 »
C'est dommage, c'est pas inintéressant si avéré.

mattmatt73

  • Expert.
  • Client Bbox fibre FTTH
  • *
  • Messages: 6 379
  • vancia (69)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #3 le: 21 mars 2017 à 12:44:04 »
C'est dommage, c'est pas inintéressant si avéré.

c'est au contraire des plus intéressant (faire des doubles négations sans avertir, vraiment....)
« Modifié: 21 mars 2017 à 13:30:05 par mattmatt73 »

GoobY13

  • Client Bbox fibre FTTH
  • *
  • Messages: 619
  • Tours (37)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #4 le: 21 mars 2017 à 12:57:22 »
Pour un non spécialiste, concrètement ca fait quoi ?

Gabi

  • Client SFR sur réseau Numericable
  • *
  • Messages: 74
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #5 le: 21 mars 2017 à 14:29:32 »
Concrètement, ça veut dire que la connexion internet que tu as via Bouygues Telecom en mobile, en plus de n'être pas neutre, est en partie fake : Si je veux me connecter à un serveur SMTP donné, je m'attends soit à effectivement me connecter à *ce serveur*, soit à être bloqué : là ByTel répond avec un serveur à lui. Pareil pour le DNS, ce qui est bien pire.

C'est comme si tu envoyais une lettre à un ami, à son adresse, et que quelqu'un d'autre te répondait à sa place avec l'adresse de ton ami en expéditeur.

PacOrly

  • Client Free fibre
  • *
  • Messages: 1 261
  • FTTH 850/350 Orly (94)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #6 le: 21 mars 2017 à 15:31:36 »
C'est dommage, c'est pas inintéressant si avéré.
c'est au contraire des plus intéressant (faire des doubles négations sans avertir, vraiment....)

La double négation n'était pas complète.  :D

C'est dommage, ce n'est pas inintéressant si avéré.

111

  • Client Orange Fibre
  • *
  • Messages: 233
  • Nantes
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #7 le: 21 mars 2017 à 18:04:00 »
Je serai curieux de savoir comment Bouygues justifie un tel bidouillage, parce que je vois pas ce qu'ils y gagnent.

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 943
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #8 le: 21 mars 2017 à 18:17:01 »
Après l'abandon de bytemobile (proxy http) ça fait tâche de voir qu'il y a encore ce genre de truc...

Je me rappelle encore de la période ou les pages web trop lourdes se soldaient par un 403... ou encore que les fichiers de plus de 10 Mo ne se téléchargeaient pas, 403 là aussi. J'avais chargé un petit utilitaire qui découpait en petit morceau les fichiers pour que ça passe.

Par contre il ne m'a jamais été facturé de hors forfait alors que j’utilisais mon forfait 500 Mo en mode modem à l'époque alors que c'était interdit dans les CGV. Ah... le fameux *99#  ;D

Source : https://www.freenews.fr/freenews-edition-nationale-299/concurrence-149/bouygues-pris-en-flagrant-delit-de-bridage-de-connexion-3g-10540


buddy

  • Expert
  • Client Bbox fibre FTTH
  • *
  • Messages: 9 233
  • Alpes Maritimes (06)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #9 le: 21 mars 2017 à 18:21:59 »
Il y a eu un sujet l'été dernier pour les dns déjà. Boris avait dit que c'était pour que le net marche même si le apn du mobile était mauvais.

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 943
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #10 le: 21 mars 2017 à 18:37:27 »
Il y a eu un sujet l'été dernier pour les dns déjà. Boris avait dit que c'était pour que le net marche même si le apn du mobile était mauvais.

Ça me parait étrange comme justification, comment ça peut fonctionner si on rentre un APN orange par exemple à la place de bouygues ? Quelqu'un a déjà testé ?

DaveNull

  • Client Bouygues Telecom 4G
  • *
  • Messages: 17
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #11 le: 21 mars 2017 à 19:36:32 »
Bonjour

C'est dommage, c'est pas inintéressant si avéré.
C'est avéré, puisque la seule explication logique au fait que j'ai des réponses à des requeêtes DNS envoyées à des IP prises aux hasard, ne correspond à aucun serveur DNS/serveur accessible sur Internet, c'est un proxy qui fait du Man-In-The-Middle, et qui réponds en requêtes, en mentant sur son identité (en prétendant être le serveur fictif que j'ai interrogé)

Pour un non spécialiste, concrètement ca fait quoi ?
J'allais répondre mais Gabi m'a devancé, son explication résume très bien la situation, Merci @Gabi

Je serai curieux de savoir comment Bouygues justifie un tel bidouillage, parce que je vois pas ce qu'ils y gagnent.
Je suis tout aussi curieux, et à part éventuellement pourvoir faire de la censure par DNS en complexifiant le contournement, je vois pas non plus ce qu'ils y gagnent
Par ailleurs, je suis pas juriste mais j'ai des doutes sur la légalité de la pratique, usurpation d'IPs (IP des DNS vraiment interrogées dans les paquets réponses produits par le serveurs de Bouygues, ainsi que IP de structures tierces dans différents paquets DNS, modifications de paquets à la volée via leurs proxies… )

Il y a eu un sujet l'été dernier pour les dns déjà. Boris avait dit que c'était pour que le net marche même si le apn du mobile était mauvais.

Merci pour l'info, mais je suis pas convaincu par cette explication.

1. Généralement, et depuis quelques années, les APN sont configurés automagiquement, quand l'opérateur correspondant à la carte SIM est détecté par le téléphone. Je me souviens pas de la dernière fois où j'ai du configurer l'APN à la main (et du coup risquer de me planter)
2. Pourquoi tant d'opacité sur ces pratiques, plutôt que d'informer les utilisateurs et de leurs laisser le choix, s'ils acceptent au non de passer par des proxies de Bouygues, et de ne pas pouvoir utiliser des DNS tierces ?
3. DNS menteur qui traite toutes les requêtes qui ne lui sont pas destinées, et qui casse DNSSEC + proxy SMTP qui intercepte les requêtes sur le port 25 + paquets forgés (voir capture d'écran Wireshark + article), sans aucune transparence sur ces pratiques, ni aucune possibilité d'en sortir (sauf à résilier l'abonnement, et trouver un autre FAI qui fait pas la même chose), c'est trop cher payé sous prétexte de résister à une mauvaise conf (faite automatiquement, donc ne nécessitant aucune connaissance de la part des users, donc risque d'erreur très faible au final)
4. Bien que ça reste une mauvaise raison, ça expliquerai à la limite le non-support de DNSSEC (DNS menteur imposé ne supportant pas DNSSEC), mais ça n'explique pas le proxy SMTP, et encore moins les signatures DNSSEC erronées que je reçois pour tous les noms de domaines, y compris ceux n'ayant aucun champs RRSIG dans leurs enregistrement DNS, ni les IP fantaisistes des paquets DNSKEY
4.1 Les IP sources sont forcèment forgées vu c'est des paquets DNS dont les IP n'ont jamais été configurées en tant que résolveur sur ma machine, cf l'article mis en lien, d'autant plus que ça touche des noms de domaines qui ne supportent pas DNSSEC… je vois pas pourquoi un serveur DNS légitime m'envoie des signature RRSIG erronées pour tous les noms de domaines auxquels je me connecte (J'ai fais plusieurs fois les testes à plusieurs mois d'intervalles, les résultats sont strictement les mêmes, donc j'exclus l'erreur de configuration, au bout de tout ce temps, quelqu'un aurait finit par voir et corriger l'erreur, si c'était une erreur)


 

Mobile View