Auteur Sujet: Site inaccessible depuis le réseau Bouygues Telecom mobile - problème de DNS ?  (Lu 4546 fois)

0 Membres et 1 Invité sur ce sujet

youscribe

  • Client Orange 4G
  • *
  • Messages: 7
  • Paris 2ème (75)
    • YouScribe
Bonjour vivien,

Je confirme que c'est la bonne IP.

youscribe avez vous passé un contrat avec Bouygues Telecom, à l'époque où le site youscribe.com était en http pour les autoriser à modifier la réponse DNS pour intercepter le trafic et peut-être modifier des choses à la volée ?

Non, on n'a jamais passé de contrat avec Bouygues Telecom pour faire ce genre de chose.
Mais en trouvant des postes sur divers forums, j'ai l'impression que Bouygues passe par des proxy pour intercepter tout leur trafic et qu'ils ont régulièrement des ratés de mise à jour de DNS ou de conf http/https.

Voici les autre sujets dont je parle:
https://lafibre.info/4g-bytel/dns-menteur-27901/
https://forum.bouyguestelecom.fr/questions/902263-problemes-acces-sites
https://forum.bouyguestelecom.fr/questions/1460272-sites-inaccessibles
https://forum.bouyguestelecom.fr/questions/1558091-site-inaccessible-erreur-7

Merci à tous (pousse en l'air! ...mais je ne trouve pas le smiley ^^)

J'ai plus qu'à signaler le problème à jalerte.arcep.fr + espérer que quelqu'un de bouygues ait l'info rapidement. :/

alain_p

  • Client Free fibre
  • *
  • Messages: 7 031
  • Les Ulis (91)
Boris, de Bouygues Telecom, intervient régulièrement sur ce forum, et avait répondu sur autrefois à des  sujets similaires (DNS menteurs). J'espère qu'il pourra le faire encore ici.

Au delà de l'aspect DNS menteur, je m'interroge sur un autre point. Comment cela se fait que le proxy Bouygues marcherait en http et pas en https ? Normalement c'est  transparent, les deux protocoles, 80 et 443 sont supportés (ex squid), et les deux devraient donc passer sans intervention ?

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 151
  • FTTH 1Gb/s sur Paris (75)
Curieux aussi que le galet 4G de Bytel n'a pas ce souci.

turold

  • Profil non complété
  • ******
  • Messages: 1 676
  • mp fermée (sauf admin)
Le galet 4G n'a pas le même apn, pas de dns menteur.
Je l'avais déjà dit dans un autre sujet, mais j'ai été envoyé voir ailleurs voir si j'y étais.
Cela ne surprends que ceux qui n'y croient pas...

Mais sur smartphone (même en mode modem), c'est vrai que c'est chiant, pour ne pas dire autre chose.
Il y a aussi des blocages sur SFR mobile, autres sites, autre méthode.
J'ai l'impression qu'il faut éviter de plus en plus d'utiliser les réseaux mobiles dès qu'on veut sortir des applis mobiles...

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 151
  • FTTH 1Gb/s sur Paris (75)
Boris, de Bouygues Telecom, intervient régulièrement sur ce forum, et avait répondu sur autrefois à des  sujets similaires (DNS menteurs). J'espère qu'il pourra le faire encore ici.

Au delà de l'aspect DNS menteur, je m'interroge sur un autre point. Comment cela se fait que le proxy Bouygues marcherait en http et pas en https ? Normalement c'est  transparent, les deux protocoles, 80 et 443 sont supportés (ex squid), et les deux devraient donc passer sans intervention ?

Les 2 sont bloqués:

HTTP:
~$ curl -4 -I -vvv http://www.youscribe.com/
*   Trying 62.34.202.116...
* TCP_NODELAY set
* connect to 62.34.202.116 port 80 failed: Connection refused
* Failed to connect to www.youscribe.com port 80: Connection refused
* Closing connection 0
curl: (7) Failed to connect to www.youscribe.com port 80: Connection refused

HTTPS:
~$ curl -4 -I -vvv https://www.youscribe.com/
*   Trying 62.34.202.116...
* TCP_NODELAY set
* connect to 62.34.202.116 port 443 failed: Connection refused
* Failed to connect to www.youscribe.com port 443: Connection refused
* Closing connection 0
curl: (7) Failed to connect to www.youscribe.com port 443: Connection refused

Comme c'est une interception DNS ,on ne peut savoir si c'est du HTTP ou HTTPS au moment de changer l'IP.

C'est de toute façon un truc qui ne devrait plus exister... qu'ils mentent sur leur propres serveurs DNS ok mais ce n'est absolument pas normal qu'un "dig ... @8.8.8.8" soit modifié par Bytel:

~$ dig +short www.youscribe.com @8.8.8.8
wpxy-proxyless.wip-ext.bouyguestelecom.fr.
62.34.202.116

::)

alain_p

  • Client Free fibre
  • *
  • Messages: 7 031
  • Les Ulis (91)
C'est de toute façon un truc qui ne devrait plus exister... qu'ils mentent sur leur propres serveurs DNS ok mais ce n'est absolument pas normal qu'un "dig ... @8.8.8.8" soit modifié par Bytel:

~$ dig +short www.youscribe.com @8.8.8.8
wpxy-proxyless.wip-ext.bouyguestelecom.fr.
62.34.202.116

::)

Ah oui, joli ! On peut  parler de tromperie là.

Chez Free :
~$ dig +short www.youscribe.com @8.8.8.8
35.186.237.217

Bien sûr...

P.S : comme les DNS menteurs sont déjà un tromperie, je pense même que l'on peut parler de tromperie aggravée.
« Modifié: 13 octobre 2018 à 19:13:41 par alain_p »

vivien

  • Administrateur
  • *
  • Messages: 31 902
    • Twitter LaFibre.info
Vous avez testé depuis un mobile 4G Bouygues

dig +short www.youscribe.com @46.227.16.8

46.227.16.8 est l'IP de LaFibre.info et n’héberge pas de serveur DNS

Comme c'est une interception DNS ,on ne peut savoir si c'est du HTTP ou HTTPS au moment de changer l'IP.

Oui, Bouygues Telecom modifie à la volée le DNS, pour forcer le client à se connecter sur une IP d'un proxy qui doit réaliser du man-in-the-middle. Les attaques man-in-the-middle fonctionnent bien en http, mais pas en https (sauf certificat spécifique sur le client - c'est le cas avec plusieurs anti-virus) d'où mon étonnement de voir un site web en https passer par ce type de plateforme.

Pour moi seuls les sites qui le demandaient étaient interceptés par les opérateurs mobiles et une contrainte est que ce site soit en http et non en https, ce qui permet à l'opérateur de modifier la page pour rajouter les informations demandées par le propriétaire. C'est pour cela que je suis très étonné d’apprendre que Youscribe n'a pas passé de contrat avec Bouygues Telecom.

youscribe, j'ai plusieurs question, pour essayer de comprendre pourquoi Bouygues Telecom renvoi votre trafic sur une plateforme qui doit réaliser du man-in-the-middle :

1/ vous avez un contrat payant avec une société pour le suivit de trafic ? Mon hypothèse est que si vous n'avez pas souscrit en direct avec Bouygues Telecom, cela a peut-être été réalisé par un produit auquel vous avez souscrit auprès d'un tiers (autre que Google).

2/ A une époque il était possible de payer directement sur la facture de l'opérateur mobile ?

3/ Depuis quand votre site est en https ?

4/ Depuis quand êtes vous sur Google Cloud Platform ? (je ne pense pas que Google Cloud Platform soit en mesure de récupérer les informations de tracking rajoutées par les opérateurs mobiles dans les requêtes GET)

alain_p

  • Client Free fibre
  • *
  • Messages: 7 031
  • Les Ulis (91)
Bonne idée Vivien, à mon avis ce sont les requêtes sur les ports UDP et TCP 53 qui sont interceptées, donc même sur une adresse IP qui n'est pas un serveur DNS, il devrait y avoir une réponse.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 151
  • FTTH 1Gb/s sur Paris (75)
Effectivement 'dig @n'importe quelle IP' répond toujours la meme chose...quelle horreur ...

alain_p

  • Client Free fibre
  • *
  • Messages: 7 031
  • Les Ulis (91)
Pour moi, si c'est avéré, ce qui semble le cas, c'est un des plus gros scandale vu sur l'Internet français. Rien que pour cette raison, si je ne peux avoir confiance dans la réponse des serveurs DNS que je choisis, et que je peux être redirigé n'importe où, je ne m'abonnerai pas chez Bouygues Telecom.

C'est le négation de la neutralité d'Internet.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 151
  • FTTH 1Gb/s sur Paris (75)
J'ai activé Private DNS sur mon smartphone (Google Pixel 2 sous Android 9) en mettant: 1dot1dot1dot1.cloudflare-dns.com comme serveur (ca fait du DNS over TLS sur le port 853,voir cet article pour Android P et celui-ci pour Cloudflare).

et la le site https://www.youscribe.com/ marche. exit les bidouilles de Bytel , tout est chiffré y compris la résolution DNS.

Malheureusement la fonctionnalité Private DNS  n'est pas utilisé par le partage de connexion d'Android donc le pc/chromebook n’accédera toujours pas au site via le smartphone.

hwti

  • Client SFR fibre FTTH
  • *
  • Messages: 777
  • Chambly (60)
J'ai activé Private DNS sur mon smartphone (Google Pixel 2 sous Android 9) en mettant: 1dot1dot1dot1.cloudflare-dns.com comme serveur (ca fait du DNS over TLS sur le port 853,voir cet article pour Android P et celui-ci pour Cloudflare).

et la le site https://www.youscribe.com/ marche. exit les bidouilles de Bytel , tout est chiffré y compris la résolution DNS.

Malheureusement la fonctionnalité Private DNS  n'est pas utilisé par le partage de connexion d'Android donc le pc/chromebook n’accédera toujours pas au site via le smartphone.
Voici une liste des serveurs publics utilisables :
https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Public+Resolvers
https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Test+Servers

J'espère que Bouygues ne va pas aussi mentir sur la résolution DNS des serveurs connus (1dot1dot1dot1.cloudflare-dns.com => 1.1.1.1 par exemple) à l'avenir, ou rediriger le port 853 sur ces IP, comme il le fait avec le port 53 pour toute destination.

 

Mobile View