Auteur Sujet: SFR active par défaut sa « navigation protégée » basée sur un filtrage DNS  (Lu 1520 fois)

NimbuX, thibthib, vivien et 14 Invités sur ce sujet

jerome34

  • Abonné SFR fibre FttH
  • *
  • Messages: 1 513
Je n’arrive pas à comprendre comment le trafic remonte à ce truc. Les abonnés FTTH, câble et xDSL n’ont pas les mêmes « portes de sorties » ?

thibthib

  • Abonné FAI autre
  • *
  • Messages: 18
  • Hanoi (expatrié)
Je n’arrive pas à comprendre comment le trafic remonte à ce truc. Les abonnés FTTH, câble et xDSL n’ont pas les mêmes « portes de sorties » ?

C'est un DNS menteur basique, lorsque le fqdn matche une liste chez eux, le DNS intercepte la vraie réponse et écrit 109.0.66.29 (et l'ipv6) à la place. Le browser se connecte à la fausse IP et fait charger le site. [1]

Je ne suis pas chez SFR donc je vais spéculer :
- soit SFR a appliqué une configuration différente suivant les box lorsque la box récupère ses infos DHCP depuis le réseau SFR (box fibre -> DHCP avec DNS menteur, box pas fibre -> DHCP avec DNS pas menteur), je suppose que SFR peut facilement avoir l'information par un moyen ou un autre (flag dans la requête DHCP ?) si la box est fibre ou pas
- soit SFR fait du split-horizon en fonction d'où vient la requête, là aussi je suppose que SFR a le moyen de savoir si ça vient d'une box fibre ou non, si les box fibre et non-fibre sont sur des plages d'IP différentes

Ça serait intéressant de voir (je ne sais pas si ça se vérifie facilement surles box SFR) une différence de configuration DNS entre un client fibre et un client pas fibre, ça aiguillera sur comment ils font :)

[1] pour continuer sur ce sujet, je me demande comment fonctionne le système en HTTPS, par exemple si l'utilisateur va sur https://microsft.com -> comment l'utilisateur atterrit-il sur https://site-bloque.sfr.fr/(...) de manière transparente ?
Il y a un certificat wildcard ou créé à la volée pour faire une redirection sans lever d'alerte ? En tout cas celui de site-bloque.sfr.fr est un certificat Let's Encrypt assez basique et avec rien de particulier (pas de atlname)...

vivien

  • Administrateur
  • *
  • Messages: 53 033
    • Bluesky LaFibre.info
je me demande comment fonctionne le système en HTTPS, par exemple si l'utilisateur va sur https://microsft.com -> comment l'utilisateur atterrit-il sur https://site-bloque.sfr.fr/(...) de manière transparente ?
Cela me semble impossible d'avoir une redirection transparente, sans accepter l'alerte du navigateur web qui affiche que le certificat ne correspond pas au nom de domaine.

S'il y avait une redirection transparente, c'est qu'il y a un vrai problème de sécurité dans la gestion des certificats.

vivien

  • Administrateur
  • *
  • Messages: 53 033
    • Bluesky LaFibre.info
Pour ceux qui ne sont pas chez SFR, il est possible de regarder ce que cela donne simplement en rentrant les lignes suivantes dans votre fichier hosts :
109.0.66.29 microsft.com
2a02:8400::5757:444e:0 microsft.com

Voici ce que cela donne avec Chromium :

turold

  • Abonné Orange Fibre
  • *
  • Messages: 1 994
  • mp fermée (sauf admin et exceptions temporaires)
    • Site officieux de Paint.NET.
Cela me semble impossible d'avoir une redirection transparente, sans accepter l'alerte du navigateur web qui affiche que le certificat ne correspond pas au nom de domaine.

S'il y avait une redirection transparente, c'est qu'il y a un vrai problème de sécurité dans la gestion des certificats.
Pour avoir déjà eu un blocage par DNS en entreprise, c'est tout à fait possible de faire ça sans déclencher la moindre alerte de certificat TLS dans un navigateur, et ça restait en HTTPS.
Mais je ne connais pas la technique DNS pour paramétrer une tel comportement.

Quand j'avais auto-hébergé un serveur DNS, je n'avais pas du tout l'intention d'en faire un DNS menteur.
Et depuis, j'utilise le DNS de Google le plus possible (chez moi en DNS sécurisé), sinon celui de Cloudfare (en entreprise avec aussi le DNS sécurisé dans Firefox).

thibthib

  • Abonné FAI autre
  • *
  • Messages: 18
  • Hanoi (expatrié)
Pour avoir déjà eu un blocage par DNS en entreprise, c'est tout à fait possible de faire ça sans déclencher la moindre alerte de certificat TLS dans un navigateur, et ça restait en HTTPS.
Mais je ne connais pas la technique DNS pour paramétrer une tel comportement.

En entreprise c'est très facile car l'entreprise est maître des différentes machines.
Et pour ce cas l'entreprise a sa propre CA dont elle injecte le certificat racine dans les systèmes/navigateurs, ce qui lui permet de générer un certificat pour n'importe quel domaine sans que cela fasse la moindre alerte (car la CA est présente sur le poste de l'employém donc la chaîne de certification complète).
Par ailleurs en entreprise, à part pour certains flux (par ex banques), les certificats utilisés sont ceux du pare-feu qui fait une "attaque MITM" et coupe le flux HTTPS pour aller regarder dedans.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 3 023
  • Chambly (60)
https://assistance.sfr.fr/sfrmail-appli/sfr-navigation-protegee/offre-sfr-navigation-protegee.html#avantages
Citer
Lorsque vous naviguez en HTTPS, une page d’erreur s’affiche , si vous cliquez sur « poursuivre sur ce site Web (non recommandé)», la page d’information précédente est alors affichée.
Donc sans surprise, on a la page d'erreur du navigateur avant la page SFR qui informe du blocage.

turold

  • Abonné Orange Fibre
  • *
  • Messages: 1 994
  • mp fermée (sauf admin et exceptions temporaires)
    • Site officieux de Paint.NET.
La seule façon d'en avoir le cœur net, c'est que quelqu'un concerné par ce dispositif nous fasse un retour de comment il atterrit vers la page d'information de blocage, étape par étape.

Pour tester, attention en effet, comme montré par Vivien, la redirection normale à partir de microsft.com se fait en HTTP: Microsoft n’ayant pas mis un bon certificat TLS sur ce domaine.


Edit: messages croisés, j'ai mis plus de 5 minutes à écrire 2 phrases (je réfléchissais et faisait un test en même temps...).
Si c'est comme indiqué sur le site officiel de SFR, c'est en effet qu'un demi-blocage, dans le sens où on peut forcer avec un clic le vrai site.

Edit2: autant pour moi, ça bloque de chez bloque, mais en 2 étapes de blocage.