C'est peut être lié a la protection du réseau contre de l'UDP Amplification par exemple (dns étant sur udp).
Notamment quand le tél est en mode hotspot ou quand on utilise une box4G (un resolveur DNS ouvert derriere une connexion 4G ca peut faire mal).
En quoi « la protection contre le flood UDP » explique les signatures RRSIG foireuses issus de paquets forgées? ou le proxy SMTP ? Je vois pas le rapport
De plus, c'est connexion 3G (pas 4G, ni 4G "Box") via BandYou avec un débit en upload ridicule, même le download est mauvais
De plus qui mettrai un serveur DNS derrière un accès Internet mobile? Personne… les serveurs autohebergées sont en général derrière des accès fixes (xDSL ou FTTB/FTTH)
Sans compter le fait que c'est aux admins d'êtres responsables, et de configurer correctement leurs machines, aps aux FAI de jouer aux flics du Net. L'infantilisation des clients/users, ça va 5 minutes
Après c'est peu-être simplement pour faire du CDN et soulager les collectes...
ou réduire la latence des réso DNS
ou augmenter leur fiabilité
T'as lu au moins tout le topic? et l'article mis en lien? je vois pas en qupi du MITM sur SMTP et DNS, en cassant DNSSEC au passage, via des paquets forgés, relève de l'amélioration au passage
ou collecter des infos sur les usages: vu que quasi tout se fait en https de nos jours sur des CDN globalisés (cloudflare & co), l'opérateur ne voit plus grand chose, les IPs destinations donnant peu d'info... en interceptant les reso DNS il peut tracker des infos sur les usages.
Archi faux! même avec HTTPS + CDN, ils ont accès aux
URL <correction>noms de domaines. Les requêtes et réponses DNS passent en clair sur le réseau du FAI, sauf à faire du DNS over TLS (pas très répandu)<correction>
D'autant plus que le flicage est la pire des raisons de faire du MITM, c'est pareil qu'un script kiddie qui fait du MITM sur les réseaux WiFi publics.
Ce que leurs utilisateurs font, ça es regarde pas… c'est un FAI, pas un OPJ dans le cadre d'une enquête encadrée…
Il faudrait tester quelques réponses DNS et les comparer avec les autoritatives pour voir s'ils changent quelque chose ou pas. s'ils ne changent rien c'est de la protection ou de la collecte de data.
Encore une fois, il y a des paquets forgées avec de fausses signatures DNSSEC pour tous les noms de domaines visités, que ces NdD aient une signature RRSIG ou non dans leurs vrais enregistrement DNS, donc il y a bien notification des réponses
Apres 99% des gens s'en tapent car ils ne touchent pas leur conf DNS de leur mobile qui de toute facon va chez l'opérateur.
Et quasi aucune application mobile embarque son propre client DNS, elles délèguent toutes cela a l'OS.
Encore heureux que les applis mobiles n'imposent pas leurs résolveur DNS… l'OS qui définit le résolveur, c'est un comportement normal… et ça ne justifie rien, sosu pretexte que les utilisateurs s'en foutent de ce que bricolent leurs FAI… je me demande comment ces mêmes personnes réagiraient si La Poste intercepter et lisait leurs couriers, puis répondait en se faisant passer pour les destinataires légitimes à qui s'adresser le courrier
La ou c'est problématique c'est en mode hotspot si on a un PC avec config DNS particuliere. Mais la encore c'est pas 99% des gens.
Je fais partie de ces utilisateurs, et ces le cas de plus en plus de gens qui utilisent des DNS tierces… je vois pas le rapport entre les pratiques douteuses et le fait que peu de personnes sont susceptibles de découvrir ce que le FAI bricole… D'ailleurs s'ils se croient tout permis c'est justement parce que les egns ont tendant à se dire « C'est pas grave, ils savent mieux que nous pourquoi ils font ça »
Et on peut toujours faire un VPN en faisant tout passer dedans, y compris les réso DNS.
Non, ça reste à verifier (ça dépends s'ils bloquent ou non, voir la conclusion de mon article, donné en lien dans mon 1er post)
Le VPN à des coups, devoir payé plus juste pour pas se faire pourrir malhonnêtement sa connexion Internet ne devrait pas être considéré comme normall, et encore moins accepté
Bref meme si c'est pas 'réglo' c'est pas si gênant qu'un MiTM sur du vrai contenu par exemple.
Bien sur que si, c'est génant, ils pourrisent un protocole de sécurité (DNSSEC), donc rendent le DNS moins fiable, ils facilitent la censure par DNS en imposant le leurs, qui mentent déjà en modifiant le contenant des réponses et mentant sur les identités…