Changer ses serveurs DNS : un contournement rapide d’une censure boiteuse

Suite à un échange sur Twitter, c’est @swisstengu auteur du Tengu’s Blog et fondateur de EthACK.org qui donne sa version pour changer ses serveurs DNS.

 

Imaginez : vous tentez d’accéder à numerama.com ou ethack.org, voire dariablogue.wordpress.com et vous vous retrouvez sur une page officielle vous disant que le site n’est pas visible depuis votre pays, ville voire quartier.

Pourtant, le jour précédent, vous pouviez aller voir sur ce site les informations que vous vouliez. Sauf qu’une décision arbitraire, sans juge, a été prise au niveau du gouvernement pour empêcher la diffusion d’informations.

Votre fournisseur d’accès Internet (FAI), obligé à/de suivre ces décisions, a, pour vous bloquer l’accès, activé un DNS-menteur vous redirigeant, pour certains sites, vers une page d’explications.

L’heure de personnaliser la moindre votre connexion Internet est donc venue.

Serveur DNS : kesako ?

Grossièrement, un serveur DNS est une entité permettant de convertir un nom de domaine (dariablogue.wordpress.com par exemple) en adresse IP (192.0.78.13, 192.0.78.12 par exemple).

De manière à éviter des surcharges inutiles, ainsi que pour garantir des temps de réponse optimaux, la plupart des FAI gère des serveurs DNS dans leur réseau. Cela permet de décharger les serveurs « Root »1, et de répartir ainsi les requêtes de résolution de nom à travers le globe.

Cela a aussi pour effet de permettre à un FAI de mettre en place ce qu’on appelle un DNS-menteur2.

DNS-menteur… ?

Un DNS-menteur est, comme son nom l’indique, un serveur DNS qui ment. Cela peut être à des fins publicitaires (comme OpenDNS) ou de censure (FAI sur ordre de l’état).

Le principe est simple : si on demande la résolution pour un domaine correspondant à des critères (« n’existe pas », « présent dans la liste noire », etc), le serveur sortira une réponse fausse, redirigeant l’internaute vers une page du choix du responsable du DNS.

En l’occurrence, dans le cas d’une censure quelconque, on est en général redirigé vers une page officielle expliquant la raison de cette redirection. Dans des termes en général vagues, parce que la tendance est vers une page générique.

Mais, comme nous allons le voir, contourner ce genre de censure est, à l’heure actuelle, aisée (on verra les limitations plus loin).

Les alternatives

Il existe une pléthore d’alternatives, des bonnes comme des mauvaises. Et la définition de « mauvaise » est sujette à sa propre définition.

La plupart des tutoriaux indique d’utiliser les DNS de google (8.8.8.8 et 8.8.4.4), ou encore ceux d’OpenDNS (208.67.222.222 et 208.67.220.220 par exemple).

Seulement, ces deux possibilités ont leurs propres problèmes :

  • Google n’est pas des plus réputés pour la protection des données personnelles, et employer leurs DNS pourrait leur permettre d’en savoir (encore) plus sur vous.
  • OpenDNS implémentent eux-mêmes un DNS-menteur vous redirigeant sur une page de recherche avec de la publicité dans le cas où le domaine n’existe pas ; ils proposent en outre une série de filtres activables ou non pour vous protéger contre le phishing3, voire censurer des sites à contenus divers (X, commerciaux, violents, etc).

Du coup, remplacer un DNS-menteur par un autre… À vous de voir😉.

Dans ce tutoriel, nous allons employer OpenNIC Project4, une solution communautaire offrant une réelle neutralité (du moins sur le papier). La page d’accueil du site vous fournira les serveurs qui sont les plus proches de vous, et ayant la meilleure disponibilité.

Modifier les serveurs DNS via Network Manager

Si vous employez Ubuntu ou un dérivé, avec Gnome, il y a fort à parier que Network Manager gère votre connexion.

Vous pourrez vous en assurer en repérant, dans le systray, l’une des icônes suivantes :

Si tel est le cas, cliquez sur l’icône et allez dans les options du réseau ; un onglet vous permettant de gérer les « réglages IPv4 » vous permettra de régler la partie DNS : vous pourrez soit prendre ceux fournis par le réseau (i.e. ceux de votre FAI ou de la bidule-box qu’il vous a fourni), soit prendre les vôtres, soit faire un mélange des deux.

En l’occurrence, s’agissant d’éviter le DNS-menteur, il faudra prendre la seconde possibilité : employer uniquement vos DNS. Un dialogue de ce genre permettra de régler l’affaire :

Il convient, en général, de mettre deux serveurs DNS, au cas où le premier est hors-service pour une durée/cause indéterminée.

À la pogne, parce que j’ai pas d’UI

Évidemment, même sans Network Manager, vous pouvez modifier les DNS à votre convenance. L’avantage : c’est plus bas niveau, et ça s’appliquera à n’importe quel réseau. Sans le promettre ni avoir testé, c’est même possible que cela influence Network Manager.

De manière à faire les choses proprement, il faut aller taper dans un fichier de configuration. Il s’agit, plus précisément, du fichier ‘/etc/dhcp/dhclient.conf’.

Dedans, déjà pas mal de trucs sont présents, et des lignes commentées (commençant par #) sont aussi là pour vous aider.

Deux lignes vont nous intéresser :

« request » et « prepend ».

La première décrit ce que votre client DHCP (celui qui demande la configuration réseau pour votre machine) demande réellement ; la seconde vous permettra de modifier certaines choses.

Par défaut, le DHCP va demander plein de trucs. Entre autres « domain-name-servers », autrement dit les fameux DNS.

Il conviendra donc de :

  1. supprimer « domain-name-servers » de la requêtes
  2. ajouter les serveurs que l’on veut dans « prepend », sous la forme suivante :
    • prepend domain-name-servers 46.105.212.15, 5.196.14.201 ;

Il suffit de relancer la couche réseau (sudo service networking restart par exemple), et vous êtes libres des DNS-meuteurs de votre FAI.

Une autre solution consiste à gérer son propre serveur DNS, qu’on appellera alors un « cache DNS »5. Mais c’est un poil plus compliqué (encore que) et dépasse le cadre de ce rapide tutoriel.

Limitations

Il y a, bien entendu, quelques limitations à ces manipulations. Par exemple, elles sous-entendent que le réseau auquel vous êtes connecté accepte de vous laisser faire des requêtes DNS auprès d’autres serveurs que ceux imposés par le réseau. Cela pourrait fort bien changer à court terme, le jour où les législateurs comprendront que leur censure ne tient pas ses promesses.

Dans un tel cas, les modifications à faire sont nettement plus profondes, et seront le sujet d’un autre tutoriel, un jour, peut-être.

Il faut aussi savoir que certains réseaux imposent des proxies transparents6, dans le but avoué de « fournir une meilleure vitesse de connexion en profitant d’un cache sur le réseau local ». En somme, le FAI vous ressert des contenus déjà visualisés par des internautes sans que vous ayez à contacter la source. C’est en effet pratique, mais cela permet aussi de faire pas mal de choses, comme interdire voire modifier des contenus.

Là aussi on peut passer outre, moyennant des modifications et des configurations précises, voire en employant des logiciels dédiés (Tor, par exemple).

Conclusion

La censure par DNS-menteur est simple. Et, surtout, clairement inefficace. Tant mieux pour nous, au final, parce que la liberté de s’informer est vitale. Il est clair aussi que certains cas requièrent un traitement par blocage, comme par exemple la pédopornographie.

Mais ne nous leurrons pas non plus : si cette censure est inefficace pour vous et moi, elle l’est tout autant pour les personnes voulant accéder à ces contenus.

Ce type de censure est clairement une chicane mise en place par des personnes (les législateurs) qui ne comprennent pas le fonctionnement d’Internet. Là encore, tant mieux pour nous. Mais ne perdons pas de vue qu’un jour, il est possible que l’un d’entre eux se réveille, allume son cerveau, et prenne des décisions qui, cette fois, nous empêcheront d’accéder à nos contenus habituels.

Ce jour-là, il faudra être prêt. Il faudra que nous-mêmes soyons au clair sur le fonctionnement de tout ceci, sur les mesures existantes et surtout leur application.

Nos libertés sont menacées. Chaque jour. Par des entreprises privées. Par nos gouvernements. Par nous-mêmes. Il nous faut lutter pour reprendre possessions de nos droits. À commencer par la liberté et le droit à l’information.

Une réflexion sur “Changer ses serveurs DNS : un contournement rapide d’une censure boiteuse

Les commentaires sont fermés.