EDIT : J'ai vu dans un autre post relativement récent (janvier 2020) vers la fin de la page 6 qu'il y a pas plus de DNSSEC sur le résolveur de Bouygues. Donc les fausses valeurs RRSIG ne sont donc plus d'actualité (puisqu'il y a plus de DNSSEC sur les résolveurs de bouygues, leurs réponses n'ont plus de champs RRSIG du tout, forcément). Mais ce même test montre que le MITM sur DNS est toujours d’actualité. Le serveur interrogé supporte DNSSEC. Donc il
doit retourner un champ RRSIG quand c'est explicitement demandé et le domaine à résoudre en a un. Or une requête demandant le champ RRSIG (dig +dnssec) depuis une connexion Bouygues 4G, pour la résolution d'un nom de domaine ayant signature, le champs RRSIG n'est pas retourné alors qu'il devrait être présent. C'est dû au fait le résolveur qui a en réalité répondu à la place de celui interrogé, ne connaît pas DNSSEC, donc celui de Bouygues.
Salut,
Note importante : J'ai quitté Bouygues peu après cette histoire de MITM sur DNS, et pour une qualité réseau douteuse dans ma zone géographique. Donc j'ai pas pu retester fin 2017 et plus tard et il se peut que la précision que je vais donner ne soit plus d’actualité (mais j'en doute fort vu les retours que j'ai eu y a quelques mois).
Je me permets de te corriger : les DNS de Bouygues Telecom ne sont pas menteurs. Je suis aussi impacté par le forcage des DNS sur le mobile, et je n'aime pas ça non plus.
Mais ils ne sont en aucun cas menteurs.
Aucun autre filtrage n'est effectué. Avant de crier au loup, encore faudrait-il faire des mesures...
Qu-est ce qui te fait dire que Bouygues Telecom filre "à fond" les forfaits ?
Faut déjà les lire « les mesures » qui ont été faites par pleins de gens ici, avant de répondre…
En effet, je n'avais pas pensé à DNSSEC. Mes excuses.
Cependant, hors DNS/DNSSEC, aucun autre filtrage n'est réalisé. Et bien que cassant DNSSEC (car ils ne l'implémentent pas), ils ne "mentent" pas pour autant (les enregistrements DNS ne sont pas modifiés à la volée)
Même si les IP ne sont
apparemment pas modifiées¹, ça n'annule en rien le problème dont il est question. Le résolveur de Bouygues donne des infos (autres que l'IP) qui sont fausses. Donc en ce sens, il ment.
Et déjà empêcher d’utiliser le résolveur qu'on veut, pour en imposer un tout pourri est une forme de filtrage! Et une forme de filtrage grave !
Mais surtout l'affirmation que DNSSEC est cassé juste parce que juste parce que DNSSEC « n'est pas implémenté » est fausse. Si il le cas, ce serai moins grave que ce fait Bouygues…
Si DNSSEC n'était juste pas supporté, y aurait tout simplement aucune fausse information relative à DNSSEC, puisque le protocole serait juste inconnu/pas utilisable… Donc le champ signature (RRSIG) existerai pas dans les réponses issus du résolveur de Bouygues. Or, ce n'est pas DU TOUT ce qui se passe ici.
Comme je l'ai précisé dans mon post de blog (et démonté par de tests + captures d'écrans) à ce sujet, et au début de ce thread, le résolveur de Bouygues qui en plus de répondre de force aux requêtes qui ne lui sent pas destinés, via du Man-In-The-Middle², génère des signatures DNSSEC erronés. Et ce pour la totalité des noms des résolutions, que les noms de domaines concernés aient ou non un enregistrement RRSIG (signature pour des enregistrements « protégés » par DNSSEC). Un protocole qui fournit des informations foireuses « juste par le protocole concerné n'est pas implémenté » est un concept intriguant…
Maintenant, je ne sais pas pour la partie RRSIG erronée, si c'est volontaire/pourquoi, ou c'est si c'est juste de l'incompétence. Dans les 2 cas
- Il y a un du MITM crasse, qui n'a pas de raison d’être
- Y a aucune raison de bousiller DNSSEC. Même si c'est une coquille, il aurait peut-être fallut le corriger dans un délai raisonnable, alors que c'est littéralement resté pendant au quasiment 3 bonnes années (constaté en automne 2016, retours d'autres clients bouygues ayant toujours ce problème, datant de fin 2019), et que c'est probablement toujours d'actualité.
Faut peut-être lire avant de répondre hein. T'es pas le premier à faire ce genre de réponses… Ça commence à devenir agaçant d'avoir ce genre de réponses pleins de déni, basés uniquement sur des propos pleins de certitudes (0 preuves), et qui vont pourtant à l'encontre que ce que les tests³ ont démontré.
1. À voir si c'est vrai tout le temps, qu'un aucun moment ce n'est utilisé à des fins de censure commerciale/sur simple de demandes de prévus ayants-droits ou whatever, commme c'est le cas de certains hébergeurs qui font sauter du contenu dérivé/3 secondes d’extraits au mépris du fair use à la moindre demande des ayants-tous-les-droits…
2. Le proxy/CGNAT de bouygues filtre/redirige toute requête DNS
a destinée à un résolveur non contrôlé par Bouygues, vers le résolveur de Bouygues.
a. Du DNS « à l'ancienne », en plaintext, donc hors DoH/DoT qui sont tous récents et peu répandues.
3. Non seulement les miens, mais aussi ceux de tous les contributeurs à ce sujet, qui ont refait les tests de leurs cotés… Difficile de m'accuser de présenter de faux de tests, ou de parler d'un filtrage/MITM imaginaire…