La Fibre

Fournisseurs d'accès à Internet fixe en France métropolitaine => Bouygues Telecom => Bouygues Telecom Actus Bouygues => Discussion démarrée par: vivien le 27 novembre 2010 à 19:16:50

Titre: Les DNS primaire et secondaire de la Bbox
Posté par: vivien le 27 novembre 2010 à 19:16:50
Les DNS primaire et secondaire de la Bbox

En configuration automatique, votre ordinateur utilise le relais DNS interne de la Bbox mais quel DNS primaire et secondaire indiquer si vous souhaitez configurer votre ordinateur en IP fixe ?

Plusieurs solutions sont possibles :


Solution 1 : Utiliser les serveurs DNS officiels de Bouygues Telecom (configuration recommandée)

DNS Primaire Bouygues Telecom : 194.158.122.10 et 2001:860:b0ff:1::1
DNS Secondaire Bouygues Telecom : 194.158.122.15 et 2001:860:b0ff:1::2

Pour le mobile Bouygues Telecom (2G/3G/4G), le DNS primaire est 62.201.129.99 / 2001:860:D002:1201::129:99 et le secondaire 62.201.159.99 / 2001:860:D002:1201::159:99

Cette solution permet de contourner d'éventuels bugs dans le relais DNS de la Bbox car on en passe plus par lui. Les noms de domaine géré par la Bbox comme http://gestionbbox.lan/ (http://gestionbbox.lan/) ne fonctionneront plus mais il suffit de mettre http://192.168.1.254 (http://192.168.1.254) à la place

Exemple sous Windows :
(https://lafibre.info/images/bbox/dns_bbox_officiels.png)


Solution 2 : Utiliser le relai DNS de la Bbox

DNS Primaire : 192.168.1.254
DNS Secondaire : laisser vide

Cette solution permet de faire fonctionner les noms de domaine géré par la Bbox comme http://gestionbbox.lan/ (http://gestionbbox.lan/)

Exemple sous Windows :
(https://lafibre.info/images/bbox/dns_bbox_relais_dns_bbox.png)


Solution 3 : Utiliser les serveurs DNS de Google
(https://lafibre.info/images/logo/GoogleDNS.jpg)

DNS Primaire Google: 8.8.8.8 et 2001:4860:4860::8888 en IPv6
DNS Secondaire Google : 8.8.4.4 et 2001:4860:4860::8844 en IPv6


Solution 4 : Utiliser les serveurs DNS de FDN
(https://lafibre.info/images/associatif/logo_FDN_original.png)

DNS Primaire FDN : 80.67.169.12 et 2001:910:800::12 en IPv6
DNS Secondaire FDN : 80.67.169.40 et 2001:910:800::40 en IPv6


Solution 5 : Utiliser les serveurs DNS de OpenDNS (racheté par Cisco)
(https://lafibre.info/images/logo/OpenDNS.png)

Basic :
DNS Primaire OpenDNS : 208.67.222.222
DNS Secondaire OpenDNS : 208.67.220.220

Avec filtrage des sites Adultes et frauduleux :
DNS Primaire OpenDNS : 208.67.222.123
DNS Secondaire OpenDNS : 208.67.220.123


Solution 6 : Utiliser les serveurs DNS de DNS.WATCH
(https://lafibre.info/images/logo/logo_dnsWatch.png)

DNS Primaire DNS.WATCH : 84.200.69.80 et 2001:1608:10:25::1c04:b12f en IPv6
DNS Secondaire DNS.WATCH : 84.200.70.40 et 2001:1608:10:25::9249:d69b en IPv6



Solution 7 : Utiliser les serveurs DNS Publics de Yandex (https://dns.yandex.com/)

Basic :
DNS Primaire Yandex : 77.88.8.8
DNS Secondaire Yandex : 77.88.8.1

Avec filtrage des sites hébergeant des virus ou des sites frauduleux :
DNS Primaire Yandex : 77.88.8.88
DNS Secondaire Yandex : 77.88.8.2

Avec filtrage des sites Adultes et frauduleux :
DNS Primaire Yandex : 77.88.8.7
DNS Secondaire Yandex : 77.88.8.3


Solution 8 : Utiliser les serveurs DNS Publics de Level3

DNS Primaire Level3 : 4.2.2.1
DNS Secondaire Level3 : 4.2.2.2


Comparatif de performance :

Ce comparatif a été réalisé du 15 au 27 novembre 2010 en réalisant la moyenne de 17000 requête DNS envoyés depuis le réseau Bouygues Telecom :

- Serveur DNS primaire de Bouygues Telecom 194.158.122.10 : réponse moyenne en 1,6 ms (max : 3,9 ms)
- Serveur DNS secondaire de Bouygues Telecom 194.158.122.15 : réponse moyenne en 1,6 ms (max : 3,7 ms)
- Serveur DNS primaire de Google 8.8.8.8 : réponse moyenne en 7,7 ms (max : 9,1 ms)
- Serveur DNS secondaire de Google 8.8.4.4 : réponse moyenne en 7,7 ms (max : 34,9 ms)
- Serveur DNS primaire de OpenDNS 208.67.222.222 : réponse moyenne en 8,4 ms (max : 12,5 ms)
- Serveur DNS secondaire de OpenDNS 208.67.220.220 : réponse moyenne en 8,3 ms (max : 12,0 ms)


C'est l'occasion de voir les avantages et inconvenants des serveurs DNS gratuits Google et OpenDNS :

En positif :
- Protection anti-phishing
- Protection contre diverses attaques DNS
- Gratuit, pas besoin de logiciel à installer

En négatif :
- Open DNS est un "DNS menteur" : en cas de faute de frappe, il fait croire que le nom de domaine existe et fait des propositions (Moteur de recherche) agrèmenté de publicité qui leur rapporte de l'argent (et permet de financer ce service gratuit). Les DNS de Bouygues Telecom et Google Pubilc DNS ne sont pas des "DNS menteur".

- Google Public DNS utilise un serveur DNS propriétaire (ce n’est donc pas BIND et Google ne prévoit pas de publier les sources)

- Open DNS et Google ont les log de requêtes pour savoir exactement qui va sur quel site et à quel moment. Google à déjà racheté un outil de statistique Google Analytics (https://www.google.com/intl/fr/analytics/) dans ce but mais il n'est actif que sur les sites qui acceptent de le mettre en place. (Google Trends (http://trends.google.com/) pourrait utiliser les données issus des DNS de Google).

- OpenDNS et Google ne sont pas plus rapide que les DNS de Bouygues Telecom, ces derniers étant hébergés au cœur du réseau de Bouygues Telecom.

Conclusion :
Il y a donc du pour et du contre dans la mise en place de ces DNS gratuits… Ils sont utiles dans le cas d'un FAI qui a des DNS qui bloque certains sites web (Orange avec LiveUpdate (https://lafibre.info/orange-les-news/live-update-de-norton-bloque-par-les-dns-dorange/) par exemple ou l'ensemble des FAI français suite à la demande de la justice pour le site stanjames.com (http://www.maitre-eolas.fr/post/2010/08/18/L-affaire-StanJames.com-%28TGI-Paris,-6-ao%C3%BBt-2010%29)) ou qui redirige les erreurs d’adresses vers ses propres pages de pub (comme OpenDNS).
Mais choisir les DNS de Google, ça leur donne un grand pouvoir, du simple fait qu’ils sont omniprésents dans les mails, les statistiques, les applications en ligne, ou la recherche tout simplement. En croisant toutes ces infos, votre vie privée ne fait pas long feu...


Effacer le cache DNS sous Windows

en ligne de commande, exécutez la commande ipconfig /flushdns


Étude de l'ICANN de mars 2022 sur les résolveurs DNS utilisés dans l'Europe : Le rapport donne de nombreuses statistiques - sans surprise Google est le plus utilisé des serveurs DNS publics - et le rapport liste les 32 serveurs DNS publics existants)

(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/doc/202203_icann_resolveurs_dns_utilises_dans_ue.png) (https://lafibre.info/images/doc/202203_icann_resolveurs_dns_utilises_dans_ue.pdf)
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: corrector le 13 février 2011 à 05:31:26
Citation de: vivien le 27 novembre 2010 à 19:16:50
Solution 3 : Utiliser les serveurs DNS de Google
(https://lafibre.info/images/logo/GoogleDNS.jpg)

DNS Primaire : 8.8.8.8
DNS Secondaire : 8.8.4.4


Solution 4 : Utiliser les serveurs DNS de OpenDNS
(https://lafibre.info/images/logo/OpenDNS.png)

DNS Primaire : 208.67.222.222
DNS Secondaire : 208.67.220.220
Ni l'un ni l'autre (ni ceux de proxad) ne résout en IPv6 : aucun ne peut interroger v6ns1.test-ipv6.com = 2001:470:1:18::1000.

La disparition d'IPv4, c'est pas encore prêt.
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: vivien le 13 février 2011 à 09:01:15
Non, ils résolvent bien en IPv6 (requête AAAA) et en IPv4 (requête A)

Exemple avec ton nom de domaine (j'ai testé avec free.fr, cela fonctionne aussi en IPv6) :

(https://lafibre.info/images/logo/GoogleDNS.jpg)
DNS Primaire : 8.8.8.8
$ nslookup -type=aaaa v6ns1.test-ipv6.com 8.8.8.8
Server:      8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
v6ns1.test-ipv6.com   has AAAA address 2001:470:1:18::1000

DNS Secondaire : 8.8.4.4
$ nslookup -type=aaaa v6ns1.test-ipv6.com 8.8.4.4
Server:      8.8.4.4
Address:   8.8.4.4#53

Non-authoritative answer:
v6ns1.test-ipv6.com   has AAAA address 2001:470:1:18::1000

(https://lafibre.info/images/logo/OpenDNS.png)
DNS Primaire : 208.67.222.222
$ nslookup -type=aaaa v6ns1.test-ipv6.com 208.67.222.222
Server:      208.67.222.222
Address:   208.67.222.222#53

Non-authoritative answer:
v6ns1.test-ipv6.com   has AAAA address 2001:470:1:18::1000
Authoritative answers can be found from:

DNS Secondaire : 208.67.220.220
vgu@vivien:~$ nslookup -type=aaaa v6ns1.test-ipv6.com 208.67.220.220
Server:      208.67.220.220
Address:   208.67.220.220#53

Non-authoritative answer:
v6ns1.test-ipv6.com   has AAAA address 2001:470:1:18::1000

DNS Bouygues Telecom 194.158.122.10
$ nslookup -type=aaaa v6ns1.test-ipv6.com 194.158.122.10
Server:      194.158.122.10
Address:   194.158.122.10#53

Non-authoritative answer:
v6ns1.test-ipv6.com   has AAAA address 2001:470:1:18::1000
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: Batou le 15 février 2011 à 19:16:47
Bonsoir
En utilisant namebench (http://code.google.com/p/namebench/) j'ai bien pu constater que les DNS Bouygues étaient mieux que ceux de Google, ceux de la Bbox sont bien médiocres. Par contre le secondaire est devant le primaire et les DNS Numéricable sont au coude à coude. Vu que ma Bbox fibre est relié au réseau Numéricable, je n'aurais pas plus intérêt à prendre mes DNS chez eux?
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: vivien le 15 février 2011 à 21:38:08
Concernant la Bbox fibre, le prochain firmware va corriger la lenteur observé dans certains cas avec le DNS 192.168.1.254 selon Bouygues Telecom.

(Les abonnés Free ne doivent pas comprendre, j'explique : Chez tous FAI excepté Free, la box fait relais DNS. 192.168.1.254 est l'IP par défaut des Bbox)

En attendant il est conseillé de mettre les DNS de Bouygues Telecom
- DNS Primaire : 194.158.122.10
- DNS Secondaire : 194.158.122.15

Je supervise les DNS et les DNS de Bouygues Telecom sont les plus rapide a répondre, tout simplement car ils sont plus proche que les autres pour les abonnés Bouygues (ADSL et Bbox fibre).

Pour joindre les DNS de Numericable depuis Bbox fibre, tu sort par le réseau Numericable, mais comme ton IP est Bouygues Telecom, tu vas sur le réseau de Bouygues Telecom qui lui va t’orienter sur le réseau Numericable. Tu fait donc un aller-retour alors que les DNS Bouygues Telecom sont directement sur le réseau.
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: Batou le 15 février 2011 à 21:42:40
D'accord, merci pour ces précisions.
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: corrector le 16 février 2011 à 00:41:35
Citation de: vivien le 15 février 2011 à 21:38:08
Concernant la Bbox fibre, le prochain firmware va corriger la lenteur observé dans certains cas avec le DNS 192.168.1.254 selon Bouygues Telecom.

(Les abonnés Free ne doivent pas comprendre, j'explique : Chez tous FAI excepté Free, la box fait relais DNS. 192.168.1.254 est l'IP par défaut des Bbox)
Si, la v6 répond aussi en DNS. Je ne sais pas si ceci est une "révolution".

Citation de: vivien le 15 février 2011 à 21:38:08
Je supervise les DNS et les DNS de Bouygues Telecom sont les plus rapide a répondre, tout simplement car ils sont plus proche que les autres pour les abonnés Bouygues (ADSL et Bbox fibre).
Si ils ont déjà la réponse... mais si l'un l'a déjà et pas l'autre, c'est autre chose.
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: vivien le 16 février 2011 à 07:20:13
Citation de: corrector le 16 février 2011 à 00:41:35
Si ils ont déjà la réponse... mais si l'un l'a déjà et pas l'autre, c'est autre chose.

C'est vrai que ma supervision est basé sur SmokePing et que je fais en permanence la même requête DNS, donc c'est dans le cache.
Titre: Bouygues, DNS, stanjames
Posté par: corrector le 19 mars 2011 à 22:41:18
Citation de: vivien le 27 novembre 2010 à 19:16:50
Conclusion :
Il y a donc du pour et du contre dans la mise en place de ces DNS gratuits… Ils sont utiles dans le cas d'un FAI qui a des DNS qui bloque certains sites web (Orange avec LiveUpdate (https://lafibre.info/orange-les-news/live-update-de-norton-bloque-par-les-dns-dorange/) par exemple ou l'ensemble des FAI français suite à la demande de la justice pour le site stanjames.com (http://www.maitre-eolas.fr/post/2010/08/18/L-affaire-StanJames.com-%28TGI-Paris,-6-ao%C3%BBt-2010%29)) ou qui redirige les erreurs d’adresses vers ses propres pages de pub (comme OpenDNS).
"l'ensemble des FAI français" est limité à Bouygues.
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: vivien le 20 mars 2011 à 22:31:44
Comment les autres FAI ont appliqué la décision de juste les autres FAI ?

Il me semblaient que c'était un blocage DNS (Bouygues Telecom a été le premier à le mettre en place, avant l'expiration du délai donné par la justice, mais il me semble que les autres ont suivit)
Titre: Censure de stanjames.com
Posté par: corrector le 20 mars 2011 à 22:41:19
Citation de: vivien le 20 mars 2011 à 22:31:44
Comment les autres FAI ont appliqué la décision de juste les autres FAI ?
Ils n'ont pas appliqué cette décision inepte.

À mon sens ils n'avaient de toute façon pas à faire quoi que ce soit.

Citation de: vivien le 20 mars 2011 à 22:31:44
Il me semblaient que c'était un blocage DNS (Bouygues Telecom a été le premier à le mettre en place, avant l'expiration du délai donné par la justice, mais il me semble que les autres ont suivit)
Je n'ai pas entendu dire que les autres FAI aient fait quoi que ce soit.

En tout cas Free n'a rien fait.
Titre: Google public DNS
Posté par: corrector le 17 avril 2011 à 09:09:33
Réponses tirées de la FAQ du récurseur DNS public de Google (qui ne semble pas disponible en français) :
Citation de: vivien le 27 novembre 2010 à 19:16:50
C'est l'occasion de voir les avantages et inconvenants des serveurs DNS gratuits Google (...)

En positif :
- Protection anti-phishing
Citation de: FAQ du récurseur DNS public de Google
Does Google Public DNS offer the ability to block or filter out unwanted sites? (http://code.google.com/intl/fr/speed/public-dns/faq.html#filtering)
    No. Google Public DNS is purely a DNS resolution and caching server; it does not perform any blocking or filtering of any kind. We believe that such functionality is best performed by the client. If you are interested in enabling such functionality, you should consider installing a client-side application or browser add-on for this purpose.

Citation de: vivien le 27 novembre 2010 à 19:16:50
En négatif :
(...)
- Open DNS et Google ont les log de requêtes pour savoir exactement qui va sur quel site et à quel moment. Google à déjà racheté un outil de statistique Google Analytics (https://www.google.com/intl/fr/analytics/) dans ce but mais il n'est actif que sur les sites qui acceptent de le mettre en place.
Citation de: FAQ du récurseur DNS public de Google
What information does Google log when I use the Google Public DNS service? (http://code.google.com/intl/fr/speed/public-dns/faq.html#privacy)
    Google Public DNS complies with Google's main privacy policy, which you can view at our Privacy Center. With Google Public DNS, we collect IP address (only temporarily) and ISP and location information (in permanent logs) for the purpose of making our service faster, better and more secure. Specifically, we use this data to conduct debugging, to analyze abuse phenomena and to improve our prefetching feature. After 24 hours, we erase any IP information. For more information, read the Google Public DNS privacy page.

Citation de: vivien le 27 novembre 2010 à 19:16:50
(Google Trends (http://trends.google.com/) pourrait utiliser les données issus des DNS de Google).
Citation de: FAQ du récurseur DNS public de Google
Is information about my queries to Google Public DNS shared with other Google properties, such as Search, Gmail, ads networks, etc.? (http://code.google.com/intl/fr/speed/public-dns/faq.html#info)
    No.

Citation de: vivien le 27 novembre 2010 à 19:16:50
- OpenDNS et Google ne sont pas plus rapide que les DNS de Bouygues Telecom, ces derniers étant hébergés au cœur du réseau de Bouygues Telecom.
Citation de: FAQ du récurseur DNS public de Google
When I run ping or traceroute against the Google Public DNS resolvers, the response latency is higher than that of other services. Does this mean Google Public DNS is always slower? (http://code.google.com/intl/fr/speed/public-dns/faq.html#ping)
    No. In addition to the ping time, you also need to consider the average time to resolve a name. For example, if your ISP has a ping time of 20 ms, but a mean name resolution time of 500 ms, the overall average response time is 520 ms. If Google Public DNS has a ping time of 300 ms, but resolves many names in 1 ms, the overall average response time is 301 ms. To get a better comparison, we recommend that you test the name resolutions of a large set of domains.
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: vivien le 17 avril 2011 à 09:40:43
Citation de: FAQ du récurseur DNS public de Google
When I run ping or traceroute against the Google Public DNS resolvers, the response latency is higher than that of other services. Does this mean Google Public DNS is always slower? (http://code.google.com/intl/fr/speed/public-dns/faq.html#ping)
    No. In addition to the ping time, you also need to consider the average time to resolve a name. For example, if your ISP has a ping time of 20 ms, but a mean name resolution time of 500 ms, the overall average response time is 520 ms. If Google Public DNS has a ping time of 300 ms, but resolves many names in 1 ms, the overall average response time is 301 ms. To get a better comparison, we recommend that you test the name resolutions of a large set of domains.
J'ai testé la résolution de différents domaines : Le DNS de Bouygues Telecom est très rapide a répondre comme Google. Le ping fait donc la différence.

Il existe ds saturation de DNS (chez SFR pendant pas mal de temps, actuellement sur les DNS pour les mobiles Bouygues Telecom, ...)

Je vais mettre en place une supervision publique sur lafibre.info pour que tout le monde puisse comparer les serveurs DNS.
Titre: Récursion DNS sur IPv6
Posté par: corrector le 17 avril 2011 à 10:29:00
Citation de: corrector le 13 février 2011 à 05:31:26
Ni l'un ni l'autre (ni ceux de proxad) ne résout en IPv6 : aucun ne peut interroger v6ns1.test-ipv6.com = 2001:470:1:18::1000.

La disparition d'IPv4, c'est pas encore prêt.
Nouvelle tentative :

1 fois sur 2 environ, dns1.proxad.net est capable de résoudre ds.v6ns.test-ipv6.com (NS = v6ns1.test-ipv6.com = 2001:470:1:18::1000).

Est-ce que Free est en train de déployer de nouveaux DNS?
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: corrector le 17 avril 2011 à 10:36:39
Citation de: vivien le 13 février 2011 à 09:01:15
Non, ils résolvent bien en IPv6 (requête AAAA) et en IPv4 (requête A)
Does Google Public DNS support IPv6? (http://code.google.com/intl/fr/speed/public-dns/faq.html#ipv6)
Citer
    Google Public DNS can respond to requests for IPv6 addresses (AAAA requests), but it does not yet support native IPv6 transport and cannot talk to IPv6-only authoritative nameservers.
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: oliviertoto92350 le 06 mai 2017 à 15:36:05
Y a t il un intéret à configurer sur un PC relié à une box ByTel

DNS Primaire  : 194.158.122.10
DNS Secondaire  : 8.8.8.8

Cela veut il dire qu'en cas de panne du DNS de ByTem la résolution se ferait chez Google ?
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: vivien le 06 mai 2017 à 16:46:22
Oui, c'est une solution qui semble pertinente, j'ai déja mis des machines avec en primaire le DNS du FAI (généralement plus rapide) et en secondaire un back-up hors FAI.

C'est le cas du serveur LaFibre.info qui a pour DNS primaire le DNS Adeli et le secondaire celui de Google.

A noter que Généralement les DNS des grands FAI sont le top de ce qui peut se faire au niveau sécurité : Le service est annoncé en anycast et ils sont hébergés sur plusieurs sites avec capacité à gérer de multiples pannes simultanèment sans détériorer les service. Il y a également des protections très complexes, contre les différentes formes de DDOS dont peuvent être victimes les DNS.

Ne pas oublier que sans DNS, il n'y a pas d'Internet et chez beaucoup de FAI pas de VoIP ni de TVoIP.

Le DNS est aussi le principal outil utilisé pour bloquer des sites Internet sur demande de la justice.
Certains hackers tentent de détourner les clients des DNS pour envoyer les clients sur des sites de phishing et récupérer les infos (la sécurisation des box avec un mot de passe qui n'est plus admin ou password est lié a ce type d'attaque - c'est aussi pour cela que de nombreuses box ne proposent plus de modifier les DNS qui sont envoyés aux clients du réseau local)
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: vivien le 07 mai 2017 à 08:22:44
Voici un exemple concret : Une faille de sécurité flash a été exploitée par un site pour se connecter la livebox et changer les DNS afin de mettre des DNS qui revoient certains sites où on rentre sa CB vers une IP contrôlée par le pirate.

Des milliers de LiveBox Orange piratées par un détournement de DNS

Que s'est-il vraiment passé fin mai, dans plusieurs milliers de LiveBox Orange ? Subitement, de nombreux internautes se sont retrouvés dans l'impossibilité de se connecter à l'administration de leur box (par l’adresse 192.168.1.1). Le mot de passe permettant d’accéder à leur interface de paramétrage, par laquelle on gère la  connexion, le Wi-Fi, ou encore de la télévision avait été changé par un inconnu. Plus grave, l'intrus avait modifié les adresses DNS de la LiveBox et dirigé les connexions des internautes vers un serveur malveillant. Sa mission ? Intercepter les données sensibles des personnes piégées. Une attaque dite Man-in-the-middle  (L'homme du milieu). « Tous les flux vers des sites marchands, les banques ont été redirigés vers le fraudeur » s’exclame un responsable d'un service de sécurité informatique bancaire contacté par 01net.

Seule alerte que les clients ont éventuellement pu apercevoir : l'apparition d'un problème de certificat lors de leurs achats en ligne. Autant dire que l'attaque, sournoise, a peut-être fait de gros dégâts, le pirate ayant eu la possibilité de capturer les coordonnées bancaires, les identifiants de connexion, voire leurs coordonnées e-CB sans que les victimes ne puissent s’en rendre compte.

Comment ce cybercriminel a-t-il fait pour se prendre ainsi aux box de milliers d’internautes ? Il semble avoir réussi son tour de passe-passe par le biais d’un site piégé. L'idée était de faire exécuter un script malveillant spécifiquement aux clients Orange grâce à un lien attirant, formulé à leur égard. Celui-ci lançait alors un script automatisé qui se connectait à l’interface d'administration de la LiveBox.

Mise à jour salvatrice pour les Livebox

Le cybercriminel a aussi profité du fait que les clients impactés n'avaient pas changé leurs identifiants de connexion «Usine» de leur LiveBox, le fameux admin/admin. Une attaque facile ? Des codes trainent sur le web permettant, en quelques lignes, de se connecter automatiquement à une LiveBox, de modifier le DNS et de changer le mot de passe. Autant dire un jeu d'enfant pour un pirate.

Orange semble avoir en tout cas pris cette attaque au sérieux : depuis, l’opérateur a mis à jour ses LiveBox qui, dorénavant, n'autorisent plus les changements de DNS. « Je travaille dans une banque et j'en ai ras le bol de traiter des incidents de ce type » souligne le RSSI joint par 01net. On se fait taper dessus par nos clients en leur renouvelant leur CB par mesures préventives. Il serait bien que chacun prenne ses responsabilités… » Il est vrai qu’Orange est loin d’être le seul à avoir subi ce genre d’attaques, qui sont fréquentes chez tous les FAI. Alors, pour vous éviter toute mésaventures, suivez notre petit guide, ci-dessous.

Comment vous prémunir de ce genre d’attaques ?

Pour éviter ce type de piège automatisé, quelques règles d'hygiène numérique simples sont à tenir. D'abord, changer les mots de passe usine de votre LiveBox (mais aussi de votre téléphone, tablette...)

Source : 01net (http://www.01net.com/actualites/des-milliers-de-livebox-orange-piratees-par-un-detournement-de-dns-624138.html), le 22 juillet 2014 par Damien Bancal.
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: corrector le 07 mai 2017 à 08:31:03
Merci de la précision, je n'avais pas bien compris le post précédant.

En effet, le navigateur ayant accès au réseau interne, il peut servir aux sites externe à "rebondir" et accéder indirectement aux ressources internes (et y compris en manipulant les réponses DNS).

Bien sûr, Orange a adopté une solution déplorable qui punit les utilisateurs!
Titre: "le pirate ayant eu la possibilité de capturer les coordonnées bancaires"
Posté par: corrector le 07 mai 2017 à 08:49:14
Citation de: vivien le 07 mai 2017 à 08:22:44
« Tous les flux vers des sites marchands, les banques ont été redirigés vers le fraudeur » s’exclame un responsable d'un service de sécurité informatique bancaire contacté par 01net.

Seule alerte que les clients ont éventuellement pu apercevoir : l'apparition d'un problème de certificat lors de leurs achats en ligne. Autant dire que l'attaque, sournoise, a peut-être fait de gros dégâts, le pirate ayant eu la possibilité de capturer les coordonnées bancaires, les identifiants de connexion, voire leurs coordonnées e-CB sans que les victimes ne puissent s’en rendre compte.
(...)
« Je travaille dans une banque et j'en ai ras le bol de traiter des incidents de ce type » souligne le RSSI joint par 01net. On se fait taper dessus par nos clients en leur renouvelant leur CB par mesures préventives. Il serait bien que chacun prenne ses responsabilités… »
Mon gars, tu te fais "taper dessus" parce que si les coordonnées bancaires qu'on communique aux sites marchands permettent de frauder, c'est que ton système de paiement est de la merde.

Et ta responsabilité est de faire en sorte que les coordonnées bancaires ne permettent PAS de frauder, ce que tu es incapable de faire parce que tu es un gros blaireau.

J'arrête là parce que le reste du message pourrait être un peu désagréable.
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: Marin le 07 mai 2017 à 08:59:25
Citation de: vivien le 07 mai 2017 à 08:22:44
Voici un exemple concret : Une faille de sécurité flash a été exploitée par un site pour se connecter la livebox et changer les DNS afin de mettre des DNS qui revoient certains sites où on rentre sa CB vers une IP contrôlée par le pirate.

Ce n'est pas une faille de sécurité Flash, une vulnérabilité dans Flash vaut beaucoup trop cher pour être utilisée pour ce genre de chose. C'était juste une CSRF exploitée pour faire du pharming (peut-être même un script privilégié qui n'avait pas besoin de ça).

Dans tous les cas, le fait de retirer l'option en plus de corriger le point de l'authentification relève d'une logique de sécurité pensée de façon partielle, au moins autant que l'ergonomie et d'autres points.

Citation de: corrector le 07 mai 2017 à 08:31:03
Bien sûr, Orange a adopté une solution déplorable qui punit les utilisateurs!

Il n'est pas certain qu'elle impacte une large frange d'utilisateurs.
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: teph le 07 mai 2017 à 09:24:02
Les mots de passe de livebox ont été changé depuis au moins 1 ans qui sont maintenant les 8 premier caractères de la clé wifi, c'est plus admin/admin.
en wifi il est facile de récupéré le code , mais en ethernet c'est pas possible
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: corrector le 07 mai 2017 à 09:45:52
Citation de: teph le 07 mai 2017 à 09:24:02
en wifi il est facile de récupéré le code , mais en ethernet c'est pas possible
Tu peux préciser?
Titre: Les DNS primaire et secondaire de la Bbox
Posté par: Marin le 07 mai 2017 à 10:59:31
Il y a encore un ou deux ans, il y avait des comptes non-documentés sur la Livebox qui permettaient l'authentification web en utilisant un mot de passe calculé par HMAC. La formule précise ne pouvait pas être trouvée sans désassembler le firmware, mais les différentes chaînes utilisées pour la génération étaient toutes récupérables via l'API web non-authentifiée.