====== Contourner la censure : informations complémentaires ====== Pour les personnes au profil plus technique, davantage de méthodes et explications... === Informations complémentaires === * L'usage de résolveurs DNS publics n'est pas une solution exempte de problèmes, voir: http://www.bortzmeyer.org/dns-resolveurs-publics.html - Notamment, ceux qui ne proposent pas d'authentification peuvent être détournés, et la confidentialité n'est pas optimale lorsque vous émettez une requête sur la plupart des résolveurs. * Sur la confidentialité : https://dnsprivacy.org/wiki/ ==== Accéder au site directement via son adresse IP ==== Il faut pour cela connaître l'adresse IP du site à visiter. L'inconvénient, c'est que si l'adresse IP change, il faut se tenir informés pour connaître la nouvelle. Exemple avec p2pfr.com : http://5.196.204.209 Remarque: Accéder à un site web via son adresse IP peut ne pas fonctionner si le serveur web n'est pas configuré pour effectuer la redirection. On pourrait aussi remplir le fichier hosts de son système avec ces IPs. Cette fois-ci, le serveur web recevrait la bonne URL, et afficherait donc le bon site. Un exemple de fichier /etc/hosts (sous linux) : # SELF 127.0.0.1 localhost # LAN 192.168.1.15 ordi15 # WEB 5.196.204.209 p2pfr.com Cette manip' étant faite, vous pourrez accéder au site de p2pfr comme vous le faisiez habituellement, même si p2pfr.com venait à être censuré par les serveurs DNS de votre FAI ! :D Mais cette manip' a aussi ses limitations. C'est que si l'adresse IP de la machine hébergeant P2PFR change, votre fichier hosts vous redirigera vers la mauvaise adresse IP. Il n'est en fait pas conseillé de figer dans le marbre cette information... c'est bien pour ça que les serveurs DNS existent. === Installer son propre résolveur DNS === Comme Bobortz le dit en fin de [[http://www.bortzmeyer.org/dns-resolveurs-publics.html|cet article]] : «La meilleure solution est donc un résolveur DNS validant avec DNSSEC et tournant sur une machine du réseau local (la « box » est l'endroit idéal). Cela assure un résolveur non-menteur et sécurisé. Si on veut en plus de la vie privée, il faut lui faire suivre les requêtes non-résolues à un résolveur public de confiance (donc pas Google ou Verisign) et accessible par un canal chiffré (DNS sur TLS).» Vous pouvez opter pour une version plus simple. Si vous utilisez Linux, faisable aussi sous Windows, l'installation en elle-même est relativement simple (il suffit d'installer unbound). L'article suivant fournit des explications qui permettent d'éclairer la situation : http://www.bortzmeyer.org/son-propre-resolveur-dns.html === Divers === * Les ayant-droits se livrent à un jeu de "whack-a-mole" en faisant fermer certains noms de domaines. Les administrateurs de sites de liens doivent alors renouveler régulièrement leur nom de domaine. Ces renouvelements continuels provoquent une incertitude sur l'authenticité des noms de domaines qui sont censés prendre la relève de celui d'origine. Comment retrouver le site officiel parmi ses copies ? * De plus en plus grave, certains réseaux (Bouygues) interceptent les requêtes DNS, quand bien même elles seraient effectuées auprès d'un résolveur autre que celui de votre FAI. Histoire [[https://twitter.com/JohnShaftFr/status/807600947639762944|relatée ici]], un commentaire propose une solution avec dnscrypt-proxy: http://www.nextinpact.com/news/102458-les-majors-font-bloquer-4-sites-streaming-et-19-miroirs-mais-doivent-en-supporter-cout.htm?skipua=1#/comment/5793968 * TorrentFreak et TPB évoquent la possibilité de contourner le système de DNS avec un logiciel intégré au navigateur: http://torrentfreak.com/how-the-pirate-bay-plans-to-beat-censorship-for-good-140105/ * Depuis 2021, il est possible d'utiliser DOH (DNS Over HTTPS) dans Firefox. A vrai dire cette fonction a peu d'intérêt à être activée manuellement, puisque vous pourriez aussi bien changer le résolveur de votre système d'exploitation à la place. Cependant, la politique de Firefox pourrait être d'activer DoH par défaut, hélas certainement avec un résolveur DNS pré-renseigné qui nous déplait (Cloudflare ou autre). ==== Utiliser des Proxys ==== === Roulement de proxys généralistes === Voyez: https://routingpacketsisnotacrime.uk/ Le but est de proposer des fichiers .PAC (auto-configuration de proxys pour les navigateurs) qui permettent de passer par les proxys que la communauté aura désigné. ===== Comment les FAIs mettent-ils précisément en place cette censure ? ===== Voir: un joli article parle du site Yifi, qui s'est ingénié à comprendre comment les fournisseurs d'accès du Royaume-Uni effectuent le blocage pour mieux le contourner: https://torrentfreak.com/how-yify-torrents-is-battling-the-internet-censors-131214 En résumé, les FAIs lisent les IPs indiquées dans le registre DNS du site, et se débrouillent pour rediriger le traffic HTTP à destination de ces adresses vers leurs propres serveurs. En conséquence, il suffit d'utiliser un autre nom de domaine pour empêcher la censure, ou de coupler d'autres solutions comme: l'utilisation d'un CDN (un «Cache» de proximité, comme Cloudflare), et un service comme GeoDNS, qui permet de faire une redirection sur des IPs en fonction de l'emplacement géographique du demandeur. Ainsi, les IPs situées à l'extérieur du Royaume-Uni sont directement dirigées vers les serveurs de Yifi, sans avoir besoin de passer par le CDN. Voici à peu près la même démarche, rédigée cette fois-ci par nos soins : [[:divers:censure-et-controle-sur-internet:le-cas-piratebay-fevrier-2015]] ===== Méthodes pour comprendre quel type de filtrage est effectif sur un réseau ===== Y a-t-il un firewall applicatif (blocage de protocole) en opération ? * On essaie d'accéder à un site web sur le port 80, cela fonctionne * On met en place un serveur SSH en écoute sur le port 80 (il faut donc disposer d'un serveur) et on essaie de s'y connecter depuis le réseau filtré. Suis-je derrière un NAT ? (C'est parfois le cas dans des résidences étudiantes) * Demander à vos voisins qui se connectent au même réseau quelle est l'adresse IP dont ils disposent.