Un article du New York Times du 27 mars, http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html? , relate le déroulement de la plus grande attaque DDoS jamais effectuée sur Internet.
En résumé, Cyberbunker (hébergeur hollandais) a organisé une attaque DDoS contre Spamhaus (une organisation luttant contre le spam) puis contre CloudFlare qui leur était venu en aide. Cyberbunker reproche à Spamhaus de trop blacklister de providers/d'IP sous prétexte de lutte contre le spam. Ils estiment que cela nuit à la liberté d'expression sur Internet et que Spamhaus se pose en censeur, ce qui n'est pas son rôle.
Le point de vue de CloudFlare sur ce sujet : http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
Le point de vue de Cyberbunker : http://rt.com/news/spamhaus-threat-cyberbunker-ddos-attack-956/
La technique utilisée est décrite là http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack et repose sur le fait que bon nombre d'opérateurs réseaux laissent leurs DNS répondre à toutes les demandes, ce que CloudFlare décrit sous les termes "open DNS resolver".
N'étant pas admin réseau/mail, je ne suis pas touché directement par le sujet, mais pour ceux qui bossent dans le milieu, quel est votre avis ?
A titre personnel, la défense de Kamphuis (de Cyberbunker) me semble bien puérile (parler de se réfugier dans une ambassade pour échapper à d'éventuelles poursuites judiciaires !)
Ceci dit, les reproches envers Spamhaus sont ils justifiés ?
# Résolveurs DNS ouverts
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Il y a des résolveurs DNS ouverts par erreur, mais il y en a aussi par conception, ceux de Google étant les plus connus. J'ignore s'ils ont un moyen d'éviter de servir de support à une telle attaque par amplification mais je ne vois pas trop ce qu'ils pourraient faire pour l'éviter en fait.
[^] # Re: Résolveurs DNS ouverts
Posté par Anonyme . Évalué à 3.
Limiter le trafic d'un serveur DNS (notamment d'un récursif ouvert)
[^] # Re: Résolveurs DNS ouverts
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Google, ce ne sont pas des tanches. Oui, ils connaissaient le problème et ont documenté leurs solutions :
https://developers.google.com/speed/public-dns/docs/security
# Un jour d'avance ou un jour de retard ?
Posté par Tonton Th (Mastodon) . Évalué à 10.
Parce que le troll est déja lancé…
# Plusieurs choses à prendre en compte.
Posté par Kaane . Évalué à 10.
Prenons les différents problèmes dans l'ordre :
I) Qui est SpamHaus ?
SpamHaus est uen société qui gère des listes de filtrage dirigiée contre le spam depuis des années. Le fonctionnement est assez simple : ils maintiennent et mettent à jour des listes d'adresses IP qui sont très susceptibles d'envoyer du spam.
On se retrouve sur ces listes de trois façons différentes :
a) Parceque de façon générale on envoit beaucoup de spam
b) Parceque pendant un temps donné on a envoyé ennormément de spam (suite à une faille de sécurité ou un client vraiment indélicat)
c) Parceque l'on envoit régulièrement du spam mais que l'on ne fait rien pour le corriger malgré les demandes de SpamHaus.
Ils maintiennent aussi une liste de domaines sur lesquels se trouvent des sites de phishing ou des malwares. Cette dernière liste est valide à 100%, si vous vous retrouvez sur la DBL (domain block list) c'est qu'un de vos site sert de plateforme à du phishing ou à des malwares.
Ces listes sont non déterminantes. SpamHaus n'est pas un organe officiel de l'internet et donc libre aux différentes entités (ISP, revendeurs ou clients finaux) d'utiliser ces listes comme ils le veulent. La plupart de ces listes sont en accès gratuit. Vous faites http://www.spamhaus.org/query/bl?ip=xx.xx.xx.xx et vous savez tout de suite si le site est sur une des trois listes de blocage d'IP et si vous faites http://www.spamhaus.org/query/domain/MONDOMAINE.EXT vous savez tout de suite si votre domaine est sur leur liste de blocage de domaine.
Il existe un autre jeu de liste destiné principalement aux opérateurs : les listes DROP et EDROP. Il s'agit de block d'adresses qui sont utilisés de façon malveillantes par des gens qui n'en sont pas propriétaires. En d'autres termes il s'agit de plage d'adresses "volées". Généralement elles appartiennent soit à des companies qui sont mortes ou mourantes, soit à des compagnies qui ne les ont jamais déployées ou rendus publiques. Ce sont des listes qui servent à signaler aux différents ISP qu'il ne faut ni router ni peerer ces plages.
Vu que SpamHaus ne fournit que des listes, ils n'ont AUCUN pouvoir de censure autre que celui que les utilisateurs leur accorde. Par exemple en ce qui concerne la SBL vous pouvez soit l'ignorer (ce que fait encore pas mal de gens), soit vous en servir pour augmenter le score de votre filtre baysien, soit carrément refuser tout mail qui vient d'un serveur sur cette liste.
Comme SpamHaus fait TRES bien son boulot, beaucoup d'appliances ou de configs de filtrage professionnelles ou semi professionnelles utilisent les listes SpamHaus comme des filtres absolus, et de plus en plus d'ISP font confiances à ces listes. En résultat ca donne qui si vous vous retrouvez sur une liste SpamHaus beaucoup d'ISP et de société ne recevront plus vos emails. C'est là que le bas peut blesser. Si on se retrouve sur une liste par erreur, on va être bloqué au niveau mail pendant une heure ou deux le temps de faire retirer le serveur de la liste. C'est particulièrement vrai si un client important utilise la liste zen (qui est un aglomérat de toutes les autres listes) n'importe comment. Ceci étant il est très très rare d'être mis en faux positif chez SpamHaus. Le cas le plus fréquent est un client qui jusque là n'avait pas fait de vagues et qui décide d'un coup d'acheter des listes de centaines de milliers de noms pour faire sa pub auprès de la terre entière.
Généralement ca se résoud très vite. Un peu d'éducation pour le client, un peu d'excuses auprès de SpamHaus et ca passe.
SpamHaus vend des outils de détection de spam, notamment leur datafeed. Généralement les ISP et autres grosses entreprises qui souscrivent au datafeed ne l'utilisent pas pour filtrer les mails, mais pour voir en avant première (i.e avant que cela n'apparaisse sur les listes publiques) quand ils se retrouvent sur une liste. Cela permet de corriger le tir avant la catastrophe.
Il est tout ausi efficace de surveiller les echecs d'envoit de mail par client. Généralement si un client envoit des mails par milliers et qu'il a un taux d'echec d'envoi de plus de 3% réparti sur plusieurs domaines, c'est très probablement qu'il est en train d'utiliser une liste d'emails qu'il a acheté. Fermer la vanne immédiatement et passer un coup de fil à ce moment là permet d'éviter pas mal d'ennuis.
Maintenant pour un spammer authentique c'est plus compliqué. Généralement, à part les très gros, les spammers ne se considèrent pas comme tel. Votre client qui vient de dépenser 10 000€ dans une liste de nom de commerciaux garanti 100% etc. veut se servir de cette liste. Et si c'est un gros client vous allez avoir du mal à lui dire non. Et là SpamHaus va être sans pitié (et ca tombe bien, c'est comme ça qu'on l'aime) - à la deuxième utilisation de la liste ils vont commencer à devenir vraiment pénibles avant de vous sortir des listes. Surtout que généralement ils ont réussi à faire inscrire des noms bidons sur la plupart des grosses listes et qu'ils vont recevoir votre spam directement chez eux (même pas besoin d'attendre une plainte pour vous bloquer). Charge à vous donc de faire de l'éducation auprès de vos clients, et de sortir ceux qui refusent de se plier à la netiquette.
II) Qui est CyberBunker ?
J'en sais rien, j'en ai rien à faire. Vu leur attitude et le DDoS sur SpamHaus, ils viennent de se retrouver sur mes SBL et DBL personels. J'espère que d'autres feront pareils. Ils mélangent alégrement tout (SpamHaus n'a pas les moyens de censurer quoi que ce soit, j'ai pas besoin d'une décision de justice pour empécher qui que ce soit de rentrer chez moi, quand on parle de décision de justice sans arrêt on est prié de ne pas se faire justice soi-même à coup de DDoS etc.)
Donc PLONK de la plage d'adresse complète. Ca c'est fait.
III) Qui est CloudFlare ?
Ce sont des gens qui vendent du service de protection contre les MDDoS, donc une bonne partie de leur argumentaire est plubicitaire. Ceci étant ce sont des gens qui connaissent bien leur métier et l'attaque qui a eut lieu, bien que n'ayant pas été de nature à destabiliser internet (la bande passante consommée étant comparable à celle des IEM Las Vegas), il s'agit d'un type d'attaque qui peut, si elle est utilisé militairement par un pays ou par un gros fournisseur, servir à couper du mode un autre pays.
D'un autre coté, et bien qu'ils mettent en avant et réalisent un joli coup de pub la dessus, tout le monde sait que la meilleure façon d'en prendre plein la gueule est de prétendre que l'on est "inhackable" - de fait ca refroidit un peu l'envie de faire appel à eux.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par Etienne Bagnoud (site web personnel) . Évalué à -2.
[ … ]
C'est pas un peu contradictoire ? Ben soit c'est 100% valide, soit y a des faux positifs, mais les deux ça me semble contradictoire.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Plusieurs choses à prendre en compte.
Posté par Kaane . Évalué à 10.
C'est pas un peu contradictoire ? Ben soit c'est 100% valide, soit y a des faux positifs, mais les deux ça me semble contradictoire.
Pardon si je me suis mal exprimé.
Sur les différentes listes la DBL est 100% sure (ie malware ou phishing), sur les autres il y a des faux positifs mais qui sont très rares.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par bibitte . Évalué à 6. Dernière modification le 28 mars 2013 à 15:00.
Si ça peu te rassurer j'avais compris alors que je ne bosse pas la dedans.
C'était très clair et je te remercie pour ton explication.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par Framasky (site web personnel) . Évalué à 10.
d) Quand on utilise l'IP de son FAI
J'ai testé avec une IP de chez free et boum : 82.224.0.0/11 is listed on the Policy Block List (PBL)
Il me semble que les IP des abonnés de FAI sont bloquées par défaut sur SpamHaus. Parce que Mme Michu n'a pas vocation à héberger son serveur de mail (enfin, je pense que c'est la réponse qu'ils donneraient).
Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par Kaane . Évalué à 5.
d) Quand on utilise l'IP de son FAI
Les FAI sur les PBL 9 fois sur dix c'est eux qui s'y inscrivent tout seul. Donc pas vraiment besoin de chercher pourquoi ils sont là. Mes remarques étaient plus pour des administrateurs réseaux que pour des clients finaux.
Ca n'empêche pas certains FAI de se retrouver quand même régulièrement sur les SBL.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par Tonton Benoit . Évalué à 3.
Pour free je ne pense pas que la demande de blocage vienne de eux, sur un autre préfixe c'est pas bloqué (et j’espère que ça le restera vu que je l'utilise pour l'envoi de mails) :
[^] # Re: Plusieurs choses à prendre en compte.
Posté par briaeros007 . Évalué à 5.
a la décharge de spamhaus, quand on est bloqué "par défaut" par spamhaus (blocage d'un bloc d'ip), il suffit de se rendre sur leur site pour désinscrire son IP de leur liste.
Même si je n'aime pas le "par défaut coupable", la possibilité de se désinscrire est simple.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par totof2000 . Évalué à 2.
Dans ce cas effectivement, même si le principe de "par défaut coupable" me gène, le fait qu'on puisse le débrayer me va quand même.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par jigso . Évalué à 4.
Est-ce que ça veut dire que si je met un serveur de mail pour un domaine michu.tk derrière une Freebox tous les emails sortant vont être considéré comme du spam ?
[^] # Re: Plusieurs choses à prendre en compte.
Posté par Zenitram (site web personnel) . Évalué à 3. Dernière modification le 28 mars 2013 à 16:15.
c'est considéré comme une IP de ton FAI (à raison, factuel)
Après, chacun fait comme il veut dans la gestion de sa politique de spam (ajout d'1 point dans la note de spam, 10 point, ou rejet), de plus en plus de monde rejette sans s'emmerder (point de vue subjectif : à raison, car 99% des mails sont alors des spams et pour le 1% restant rien ne gène e passer par son FAI avec un login/pass et des tests pour vérifier que tu ne t'es pas pris un bot. Mais si j'étais un admin, je mettrai juste un score plus haut, moins bourrin quand même et on gère les chieurs).
[^] # Re: Plusieurs choses à prendre en compte.
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 7.
Si : ça empêche de publier une politique SPF stricte, et ça nuit à la lutte contre le spam en concentrant le courrier sur les serveurs relais, empêchant ainsi les blocages fins.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 5.
Étant donné que chez Free le port 25 est bloqué par défaut, il n’y a aucune raison que les IP des freebox se retrouvent dans ce genre de liste. Par contre, quand elles y sont tout de même, c’est très lourd pour en sortir, et Free s’en fout totalement.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Juke (site web personnel) . Évalué à 2.
N'est ce pas plutot aux utilisateurs de ces listes qu'il faut se plaindre ?
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par totof2000 . Évalué à 3.
Non. Mon IP n'appartient pas à free: (enfin si, mais ils me la mettent à dispo pour que j'en fasse ce que j'en veux). Ce n'est pas à eux de décider si je peux héberger ou non un serveur smtp (ou n'importe quoi d'autre) chez moi.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Zenitram (site web personnel) . Évalué à -1.
Gni??? Free dit juste que ton IP est à un client final.
Il ne décide de rien du tout (il te permet de débloquer le port, et c'est une bonne mesure que de bloquer par défaut), il indique. Après tu te plains à ce qui blackliste les adresses IP des clients finaux (bon courage), ça n'a rien à voir avec Free qui fait son boulot (dire que tu es un client final).
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par totof2000 . Évalué à 8.
Je ne vois pas pourquoi Free devrait déclarer mon IP comme IP de "client final" à qui que ce soit. Il est là le problème. Une IP est une IP, point barre. Tant qu'il n'y a pas eu d'abus, personne n'a à me déclarer nulle part ou à me blacklister ou que ce soit.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Anonyme . Évalué à 4.
Parce que c’est les règles du RIPE et soit tu respecte les règles du RIPE, soit tu vas te faire attribuer tes IP par quelqu’un d’autre.
[^] # Re: Plusieurschosesàprendreen compte.
Posté par Juke (site web personnel) . Évalué à 2.
Ils ne le decident pas mais certains de tes destinataires demandent à un tiers ce qu'il pense de l'ip avant d'accepter ou non le mail.
[^] # Re: Plusieurschosesàprendreen compte.
Posté par totof2000 . Évalué à -1.
Ca aurait un sens de déclarer les IP fixes ou attribuées dynamiquement, mais sans plus … Sinon, c'est limite une atteinte à la vie privée.
[^] # Re: Plusieurschosesàprendreen compte.
Posté par BFG . Évalué à 2.
Ce n'est pas en rapport avec le sujet, mais je note que chacune de vos réponses a modifié l'objet sur LinuxFR en enlevant des espaces à chaque fois.
[^] # Re: Plusieurschosesàprendreen compte.
Posté par bibitte . Évalué à 3.
C'est toujours sur un message de Juke que les espaces disparaissent.
Pourquoi ? faudrait lui demander …
[^] # Re: Plusieurschosesàprendreen compte.
Posté par hercule_savinien . Évalué à 3.
Je dirais que c'est un bug quelque part dans la chaîne DLFP<->monboob<->postfix<->mutt
Le FN est un parti d'extrême droite
[^] # Re:Plusieurschosesàprendreencompte.
Posté par Juke (site web personnel) . Évalué à 1.
Ouais mais je ne sais plus quoi :)
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Kaane . Évalué à 5.
Non. Mon IP n'appartient pas à free
Trois erreurs dans une phrase si courte.
a) L'IP n'appartient pas à Free non plus. Et pas vraiment à l'IANA non plus d'ailleurs, mais bon c'est eux qui décident.
b) L'appartenance de l'IP ne joue pas vraiment, c'est la gestion du segment de réseau lié (routé) à cette IP qui est déterminante dans ce genre de problèmes.
c) Free gère son réseau comme il l'entend dans la limite de ses obligations contractuelles et de la loi en vigueur.
Donc dans l'ordre, ce n'est pas votre IP, ce n'est pas votre réseau, et rien n'oblige contractuellement Free à vous autoriser à envoyer des emails via vos propres outils (pour ce dernier point : dans le cas contraire vous pouvez lancer une action en justice contre Free pour faire valoir vos droits.)
A noter que même chez OVH qui est très très ouvert au niveau de ce que l'on peut faire sur son réseau quand on est abonné ADSL/SDSL, il y a quand même pas mal de services qui sont volontairement bloqués (genre le scan de ports, les réseaux TOR, les VPN vers certains pays etc.)
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Framasky (site web personnel) . Évalué à 9.
Je sais pas, dire qu'ils fournissent un accès à Internet peut-être ? (troll sur la neutralité du net inside)
Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Kaane . Évalué à 5.
Je sais pas, dire qu'ils fournissent un accès à Internet peut-être ? (troll sur la neutralité du net inside)
Pas un troll, mais une incompréhension classique.
En fait il y a cinq niveaux dans le role d'un FAI (dans l'idéal hein)
1°) La loi
2°) La netiquette
3°) La capacité physique
4°) La neutralité
5°) Le contrat utilisateur
Grosso-modo, si c'est interdit par la loi, le FAI doit prendre toutes les mesures nécessaires pour le bloquer chez lui (et charge à nous, dans un régime démocratique, de s'assurer que ce qui est interdit par la loi soit du domaine du raisonnable). Cela inclus le blocage de l'accès à certains sites, certains services et certains comportement.
Ensuite vient (dans l'idéal) la netiquette. C'est à dire une certains respect des autres et une certaine éthique dans le comportement. Si vous êtes totalement imbuvables sur le net et que votre fournisseur d'accès reçoit des plaintes par paquets de douze, il est totalement légitime à vous couper certains services et même à vous foutre dehors manu-militari. Vous êtes un spammer, vous allez voir ailleurs.
Après vient la capacité. typiquement ce n'est pas parce qu'il est théoriquement possible de faire quelque chose que le fournisseur d'accès est tenu d'avoir les infrastructures adéquate pour fournir le service. Par exemple : IPv6 … (trollception launched)
Puis la neutralité. La c'est le FAI qui s'engage lorsqu'il vous offre un service à vous offrir un service entier et de qualité. L'assurance que vos communications et connexions diverses ne seront ni épiées, ni filtrées ni modifiées et qu'une connexion vers un site A sera traité de la même façon qu'une connexion vers un site B (sous réserve des trois premiers points vu ci dessus). Et que si elles sont bloquées c'est nécessairement en vertu de 1°) 2°) ou 3°)
Finalement vient le contrat. C'est à dire la demande du client. Techniquement je peux demander à avoir un filtrage mis en place sur mon accès internet (Par exemple un blocage des sites pornographiques) - mais il s'agit d'un service révocable (toujours dans la limite des 4 points précédents).
L'atteinte à la neutralité du net c'est la volonté qu'ont certains FAI de faire passer le 5°) (le contrat) avant le 4°) (la neutralité) voire de faire disparaitre complètement le 4°) (ce qui dans les faits revient au même).
Dans pas mal de cas les FAI se cachent derrière le 3°). Par exemple pour le peering avec google/youtube (on a pas la capacité de faire autrement - ça nous couterait trop cher/ça nos obligerait à perdre une partie de notre indépendance pour mettre les CDN de google chez nous). Autre exemple : le mail (on a pas les moyens de surveiller en temps réel tous les envois de tous nos abonnées - donc on bloque le port 25. Si on fait autrement on risque d'enfreindre la loi/la netiquette). L'excuse est techniquement valable - après reste à savoir si effectivement la mise en place d'infrastructures ou de liens permettant de résoudre le problème serait vraiment si onéreux que cela ou si les FAI se foutent de notre gueule.
mais ça c'est une tout autre question - A laquelle je laisse M Bayart le soin de répondre…
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Anonyme . Évalué à 5.
Quand on propose des abonnements à faible coût, on vient pas se plaindre que l'investissement dans son réseau coûte trop cher.
Si la prestation de mon FAI me coûte chère, c'est pas pour payer les Mercedes des actionnaires, c'est pour que le service progresse (en terme de qualité) au fil du temps.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Zenitram (site web personnel) . Évalué à 6.
Vu le compte en banque d'un certain Xavier, qui a 10 chiffres, on peut répondre facilement à la question… Qui parlait de pigeons, au fait? ;-)
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Antoine . Évalué à 5.
Peuh ! Moi aussi j'ai un numéro de compte à 10 chiffres.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par CHP . Évalué à 4.
Je suis d'accord, sauf sur un point : je remonterais le contrat à la deuxième place, juste derriere la loi. Un contrat c'est important, ca définit ce que chacun doit faire et peut faire. Si tu dis dans ton contrat "je vais faire cela", alors y'a pas de "ah oui mais non en fait j'en ai pas la capacité physique" (je m'en fous, t'as signé, tu investis pour remplir tes obligations contractuelles), ni de "la netiquette est contre".
[^] # Re: Plusieurs choses à prendre en compte.
Posté par calandoa . Évalué à 3.
Tu peux carrément le faire remonter en première place ex-æquo : « Les conventions légalement formées tiennent lieu de loi à ceux qui les ont faites. » (article 1134 du code civil)
C'est du grand n'importe quoi de faire passer le contrat en dernière position, mais je crois que c'est dû à la déformation professionnelle de tout administrateur qui d'abord envoie chier tout utilisateur, puis qui l'ignore, puis qui le méprise, puis qui en a marre de se faire harceler sans arrêt par des glands, puis qui accepte d'écouter le problème jusqu'au bout, puis qui consent finalement à faire ce pour quoi il est payé plutôt que ce qui l'intéresse…
Cela étant dit, ça ne change pas grand chose au fond du problème, car l'ouverture des ports, le non-blacklistage ou un débit garanti vers Youtube ne sont pas explicitement stipulé dans un abonnement Internet. Si des clients se plaignent, ça sera au juge de trancher et il prendra en compte les autres points pour estimer la bonne foi du FAI et ce qui se fait habituellement.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par CHP . Évalué à 4.
Euh non… Un contrat peut dire ce qu'il veut, si la loi dit le contraire, c'est la loi qui l'emporte. Donc le contrat reste en dessous de la loi.
Sinon, ton deuxième paragraphe sent un peu l'aigreur. T'as été maltraité par un admin ?
[^] # Re: Plusieurs choses à prendre en compte.
Posté par calandoa . Évalué à 3.
Je pars bien sûr du principe que le contrat est valide. Le même genre de subtilité existe entre les différentes lois, la constitution, les accords internationaux… au final, une obligation explicite légale ou contractuelle est imposée par la justice de la même manière et a plus de valeur qu'une RFC ou autre spécification technique.
Pour la suite, effectivement :), pas plus tard qu'hier, les admins de ma boîte me refusaient l'accès à svn par VPN, et me proposaient par contre un accès ftp pour que je me tape les updates et le commits manuellement (chaque branche faisant dans les 150 000 fichiers avec des centaines de commit par jour) en me prétendant que c'est pareil ! Je précise que j'ai aussi été admin dans une vie antérieur et que je connais aussi des histoires d'utilisateurs pénibles…
[^] # Re: Plusieurs choses à prendre en compte.
Posté par CHP . Évalué à 2.
Lol
Si c'est pareil, qu'ils te filent ce que tu demande !
[^] # Re: Plusieurs choses à prendre en compte.
Posté par briaeros007 . Évalué à 0.
si tu étais admin auparavant, tu sait facilement qu'il y a des politiques de sécurité qu'ils doivent suivre.
Politique de sécurité qui dit que tel ou tel port peuvent être ouvert sans autre procédure, ou que d'autres ports doivent faire l'objet de procédure bien plus longues.
Et c'est pas parce qu'un utilisateur pleurniche qu'un admin se mettra en risque de faire une faute grave.
Ps : c'est pour ça que svn sur http(s) existe.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par groumly . Évalué à 5.
1) et qui les decide ces politiques de securite?
2) les admins sont la pour que les autres puissent bosser, pas pour faire les nazis du reseau
3) c'est quoi au juste le probleme de svn over vpn? A part que ca fait du boulot a des gens qui sont payes pour ca, bien sur.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Plusieurs choses à prendre en compte.
Posté par Littleboy . Évalué à 2.
Au lieu de perdre du temps a discuter avec eux, utilise le temps gagne pour mettre a jour ton CV :)
[^] # Re: Plusieurs choses à prendre en compte.
Posté par Kaane . Évalué à 6.
C'est ce que cherchent à faire les FAI. Il faut bien voir qu'ils ne demandent rien d'autre que de signer des contrats qui ne prennent pas en compte leur capacité technique ou la netiquette.
Légalement ton contrat fera que tu pourra toujours faire valoir tes droits devant un tribunal. En d'autres termes, même si le contrat est en cinquième position tu peux toujours obliger le FAI à sursoir à ses obligations ou à t'indemniser. La loi reste en numéro 1.
De fait monter le contrat en 2°) n'aurait pas d'autre effet pour le consommateur que de permettre au FAI de faire des contrats qui ne respectent pas la netiquette et qui ne respectent pas la neutralité du Net. C'est ce qu'ils veulent, et c'est contre cela qu'il faut lutter.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par totof2000 . Évalué à 3.
Remplace "le FAI" par "la poste" pour envoi de courrier et tu comprendras que ton raisonnement ne tient pas la route.
La nous sommes d'accord mais il n'a aucune raison de considérer à priori que je serai un perturbateur. Si à la limite il désactive certaines fonctionnalités "à risque" par défaut pour éviter que la personne qui ne l'utilise pas se fasse piéger, pourquoi pas, mais il devrait donner la possibilité de réactiver ces fonctionnalités (comme Free le fait avec la désactivation du port SMTP qui peut se réactiver facilement par exemple).
Celà dit lorsqu'un FAI fournit de l'IPV6, il devrait être tenuu de fournir un VRAI IPV6 avec un /48 et non un /64 comme c'est le cas aujourd'huii, et limite artificiellement l'utilisation que l'on peut faire d'une réelle IPV6 (et oblige à passer par des horreurs semblables au NAT si on veut avoir plusieurs sous-réseau accédant au NET).
Pour le reste, je serais assez d'accord sur le fait de moduler les tarifs en fonction du débit de la ligne (et non pas de la quantité de données "consommée, ce qui n'a pas de sens dans l'absolu, même si la quantité de bits consommés a plus ou moins un rapport indirect avec le débit).
Illégitime pour un FAI de les désactiver par défaut sans te donner la possibilité de le réactiver. C'est comme si on t'interdisait les couteaux sous pretexte que potentiellement tu peux tuer avec. Un accès internet, c'est une IP avec 65535 ports de disponibles, point barre; L'utilisation que j'en fait ne regarde le FAI qu'en cas de mauvaise utilisation. Sinon ce que je mets derrière ne lui regarde pas. Le reste c'est du discours commercial permettant de surfacturer des trucs qui ne le devraient pas.
L'atteinte à la neutrralité du net, c'est tout simplement une discrimination sur les données envoyées ou reçues par le client. Que ce soit vers un service donné, ou une limitation sur le client lui-même (interdiction de VOIP, interdiction de messagerie instantannée, transformation de services en autre chose, DNS menteurs, etc …). Si on accepte la moindre dérive, la moindre concession soit disant pour le "bien" des utilisateurs, on laisse tomber de fait la neutralité du net. Et tout peut devenir prétexte à la grignoter encore un peu.
Problème de modèle économique des FAI, pas de neutralité du net. Après si le FAI se sert de ses clients comme "otages" (je n'aime pas ce mot mais je n'en vois pas d'autre), il est plutôt là le problème.
La solution de free sur le port 25 me parait raisonnable : on bloque par défaut et on laisse la possibilité de débloquer.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Zenitram (site web personnel) . Évalué à 1.
La poste permet d'envoyer gratos des milliers de courrier?
Non. A offre technique différente, possibilités différentes, et protections à mettre en place différentes.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par totof2000 . Évalué à 4.
C'est moins cher mais ce n'est pas gratos comme tu le dis.
Sinon, la protection en elle même ne me dérange pas tant qu'elle est désactivable. Et lister mon IP sur une liste qui peuit potentiellement m'epêcher de faire ce que je veux de mon IP me gène.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Zenitram (site web personnel) . Évalué à -2.
on en revient au problème initial : ce n'est pas le listing qui pose problème, mais l'utilisation du listing. Donc se plaindre à ceux qui utilisent le listing trop violemment.
Et la liste ne me dérange pas, du moment où elle est utiliser pour noter un mail (ben oui, c'est des stats), après faut se plaindre à celui qui bourrine. Ce n'est pas la faute de la liste elle-même.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par totof2000 . Évalué à 4.
Dans ce cas précis c'est le listing qui pose problème. Faire un listing et le partager auprès d'autre EST un problème en soi. µSi ce n'était pas un peoblème la CNIL n'existerait pas.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Kaane . Évalué à 6.
La poste ne permet pas l'envoi de substances inflamables, explosifs, armes bactériologiques etc. Elle interdit aussi les colis vers certains pays (Afghanistan, Irak, Corée du Nord etc.)
Mon raisonnement va très bien merci.
Oui, mais elle se cache derrière le fait qu'elle ne peut pas controler rapidement qui est un perturbateur et qui n'en est pas un. De fait elle bloque tout le mond epour éviter de se retrouver à effreindre la loi ou la netiquette. (Une fois de plus est-ce justifié, là est la question)
Oui ca serait bien, mais une fois encore les FAI se cachent derrière des problèmes d'infra.
Très très discutable. Par exemple tout ce qui va être broadcast DHCP (pour lequel il pourrait y avoir des applications légales, mais en pratiques 99,99% des applications sont illégales). Après c'est du cas par cas. Si un port est traditionellement associé à un service qui peut pénaliser l'ensemble du réseau, ou causer de gros problèmes vis à vis de la netiquette (comme typiquement l'envoi de mail) le fait de le bloquer sans offrir la possibilité de le réactiver peut être justifié. Il faut avoir géré une plateforme mail un peu conséquente pour comprendre le problème du spam. Si vous ouvrez un service d'envoi de mail sans le blinder de toute part - vous pouvez être sur que dans l'heure qui suit il va y avoir des dizaines de millions de mails qui vont partir de votre réseau (non il n'y a pas d'exagération). Le spammer s'en fout de payer 30€ pour un mois d'abonnement si il peut faire partir ses millions de mails. (Il a probablement vendu le service 100 ou 200 fois ce prix là). Et il s'en fout de se faire bannir au bout de 48h du moment que pendant 48h il innonde le net.
Après il existe d'autres méthodes proactives que le blocage - mais ca implique des ralentissements et des investissements dans l'architecture.
Commercialement Free n'a rien à gagner à vous interdire d'utiliser le port 25 en sortie. Ils ne vendent pas de service d'envoi de mail, il n'y a pas moyen de relayer de la pub sur les envois, ils n'ont pas de partenariat avec les gros webmails du marché etc. Ils coupent le port 25 parce que les autres solutions techniques sont plus compliquées.
Le mot clef est discrimination.
Si tu interdis la VOIP parceque ton réseau à des latences dégueulasses (genre 250ms minimum) et que tu en as marre que ta hotline passe sont temps à expliquer aux gens qu'ils ne peuvent pas améliorer la qualité de tel ou tel service de VOIP parce que l'infrastructure réseau ne permet pas d'avoir une qualité correcte, c'ets une attitude déplorable certes - mais techniquement ca ne porte pas atteinte à la neutralité du net.
Si tu interdis la VOIP parceque tu veux vendre ton pack payant/ton service alternatif/tes minutes de com à plein tarif, mais que ton réseau permet parfaitement la VOIP et qu'il n'existe aucune raison technique ou légale de faire le blocage - alors là oui c'est de l'atteinte à la neutralité.
Après il y a des cas ou c'est tangent. Par exemple le NAT ou le tunneling IPv6 dans IPv4 c'est définitivement de la transformation de paquets. Dire que ca atteint la neutralité ca serait quand même un poil exagéré.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par totof2000 . Évalué à 4.
La poste n'ouvre pas tous les paquets pour contrôler ce point, ni ne pense que par dégfaut tu enverras ce genre de colis. Et l'interdiction de paquets vers certains pays, est clairement un abus.
Non. Par contre te le bloquer lorsque tu abuses, ou résilier ton abonnement pour abus, je le conçois.
Et ce n'est pas à une personne qui potentiellement pourrait légitimement installer un serveur mail d'en faire les frais. Après s'il n'est pas capable de le faire dans les règles de l'art, c'est un autre problème; Et s'il veut utiliser le port 25 sur son IP pour faire autre chose c'est aussi son problème. LMe FAI n'a pas à le filtrer tant qu'il ne dérange personne.
Free propose de le réactiver si besoin, ce qui me parait une démarche saine, contrairement à d'autres FAI qui ne le proposent pas. Et si on se laisse amputer d'un port pour des pseudo-raisons techniques, on en vient à se faire amputer de tous les ports pour ne laisser ouvert que le port 443 et 80 en sortie parce qu'il n'y a plus assez d'IP, que la VOIP et le Peer to Peer ça bouffe de la bande passante, que la messagerie instantannée ca parmet pas au FAI de rentabiliser ses lignes ADSL et d'investir dans la fibre, etc ….
Si : il ne fournis pas un accès internet, point barre. Après si quelqu'un est assez stupide pour vouloir mettre une VOIP alors qu'il se trouve a 10000 KM du DSLAM en ADSL, et que les temps de latence sont trop important, c'est son problème, pas celui du FAI.
Tout dépend … Si le NAT imposé par le FAI te bride l'utilisation de ton accès Internet (typiquement t'empêche de disposer des 65535 ports dispo en entrée ou en sortie et potentiellement d'ouvrir un serveur sur n'importe lequel de ces ports et d'être joignable de n'importe ou sans bidouille immonde), là ça devient une atteinte à la neutralité du net. De même pour le tunneling IPV6/IPV4 Si c'est trnsparent pour l'utilisateur (modulo légère latence ou ralentissement), je n'y vois aucun problème : c'est la tambouille interne du FAI, tant queles paqquets arrivent/partent comme ils le doivent.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par Kaane . Évalué à 3. Dernière modification le 29 mars 2013 à 15:07.
Si ton paquet bouge et pousse des cris effrayés ils vont l'ouvrir.
A noter que le FAI n'analyse pas le contenu, il t'interdit la méthode ou la destination. (De même que la poste refuse les lettres emballées dans du bacon et les colis vers certains pays).
Pour le DHCP et d'autres ports (netbios, bonjour, DNS etc.) c'est de nature à mettre en danger le réseau. Prendre des précautions n'est donc pas idiot.
Ben si. Le mec qui veut monter une plateforme de partage CIFS routé, ben il l'a dans l'os. Dans l'immense majorité des cas c'est la preuve d'un virus et c'est nocif pour le réseau dans son esemble (les partages smb/CIFS hein). Donc on coupe. Pareil pour le DHCP - c'est pas très compliqué de faire un serveur qui ne répond qu'à des demandes très particulières et qui de fait n'a pas d'impact sur le réseau. Mais n'empêche que…
Il faut bien voir qu'il y a dix ans les ports n'étaient pas fermés. Et que le réseau (du FAI) en prenait plein la gueule. Après plusieurs essais pour mitiger, tous les FAI ont commencés à bloquer. Il y a une raison technique valable à cela (pour les DNS/DHCP/SMB/SMTP etc.)
Ok, alors personne au monde ne fournit un accès internet. Même pas Cogent en mode Tier 2. Et personne ne fournira jamais un accès internet (en tout cas pas longtemps ça je peux le garantir). La protection du réseau implique de limiter certains usages.
Si tu créé un réseau ou tout est permis la seule question qui se pose est de savoir si tu vas te faire dérouter/depeerer avant que ton coeur de réseau n'explose.
Il faut bien la faire différence entre des limitations dictées par des impératifs matériels (impératifs que l'on pourrait éventuellement contourner avec un investissement dans du matériel supplémentaire) et des décisions commerciales d'exclusions pour promouvoir/favoriser une solution aux détriments d'autres.
La neutralité du net ne s'occupe que de la deuxième attitude.
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par FDF (site web personnel) . Évalué à 3.
A ce niveau ce n'est même plus du troll, c'est de l'éducation
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par jacobus77 . Évalué à 2.
Pour Free tu aurais pu rajouter, "et ce n'est pas votre box non plus".
[^] # Re: Plusieurs chosesà prendreen compte.
Posté par totof2000 . Évalué à 2.
Et pour certains on peut donc ajouter "ce n'est pas un accès à Internet non plus".
[^] # Re: Plusieurs choses à prendre en compte.
Posté par moulator . Évalué à 2.
En parlant de plonk, www.cyberbunker.com ne répond plus…
[^] # Re: Plusieurs choses à prendre en compte.
Posté par Kioob (site web personnel) . Évalué à 2.
J'aime bien les services de Spamhaus, mais les faux positifs ne sont pas si rares : du moins, quand ils blacklistent toute une /24, oui c'est très probablement parce qu'il y a plusieurs spameurs sur la plage, mais pas tous… C'est un cas que j'ai fréquemment rencontré par le passé sur les réseaux OVH : me faire bloquer à cause de «voisins». C'est ce qui m'a poussé à avoir ma propre /24.
En tous cas la réaction de Cyberbunker me semble plutôt… puérile.
alf.life
# CloudFlare
Posté par ThibG (site web personnel) . Évalué à 7.
Argh, tout ça, ça va faire une pub monstrueuse à CloudFlare, un service qui est pour moi une aberration…
Techniquement, je ne doute pas qu'ils fassent du très bon boulot, mais avoir un tiers entre les sites et les utilisateurs, c'est pas cool. Surtout quand le tiers est entre beaucoup d'utilisateurs et beaucoup de sites. Encore plus quand le tiers voit tout ce qui se passe sur les connections SSL (en HTTPS avec CloudFlare, si ça n'a pas changé, c'est forcément en HTTPS de l'utilisateur à CloudFlare, et éventuellement une seconde connexion chiffrée de CloudFlare au serveur, sans aucune garantie pour l'utilisateur final).
Vous voulez savoir qui peut faire le lien entre ce que vous regardez (ou postez) sur 4chan et votre pseudo sur PCInpact ? CloudFlare. D'ailleurs, ils ont aussi vos identifiants. Même en SSL.
[^] # Re: CloudFlare
Posté par Spack . Évalué à 0.
Et surtout que si Cloudfare s'en va aux fraises, ben c'est tout Internet qui le suit.
[^] # Re: CloudFlare
Posté par Anonyme . Évalué à 6.
C’est tellement tout « l’Internet » qui est lié à CloudFlare que, sans cet article, je n’aurai jamais soupçonner leur existence.
[^] # Re: CloudFlare
Posté par Sufflope (site web personnel) . Évalué à 6.
L'univers fonctionne depuis 13 milliards d'années grâce entre autres à l'interaction forte, alors que tu ne pouvais techniquement pas soupçonner son existence (ou alors tu as raté un prix Nobel en ne te manifestant pas avant ses découvreurs officiels) depuis une fraction tellement infime de ces 13 milliards d'années. Et ?
[^] # Re: CloudFlare
Posté par Anonyme . Évalué à 7.
Cloudflare peut disparaitre demain que ça m’en touchera une sans faire bouger l’autre. Si l’interaction forte « partait aux fraises » c’est une autre histoire.
[^] # Re: CloudFlare
Posté par NeOwA . Évalué à 1.
Juste pour info,
“We do more traffic than Amazon, Wikipedia, Twitter, Zynga, AOL, Apple, Bing, eBay, PayPal and Instagram combined,” chief executive [of Cloudflare] Matthew Prince told.
On parle plus loins de 65 milliards de pages servies par mois.
source: http://venturebeat.com/2012/07/18/cloudflare-amazon-wikipedia-twitter/
[^] # Re: CloudFlare
Posté par dave_null (site web personnel) . Évalué à -1.
En comptant les DDOS HTTP ?
[^] # Re: CloudFlare
Posté par Antoine . Évalué à 2.
À ce que j'en ai compris, CloudFlare est une sorte de gros proxy distribué. Donc, s'ils disparaissent, les gens vont simplement rapatrier le point d'accès de leurs sites chez eux, ils seront un peu plus lents et voilà.
Ensuite, 65 milliards de pages / mois cela fait 25000 pages / seconde en moyenne, je me demande si c'est au-dessus d'un hébergeur comme OVH par exemple.
[^] # Re: CloudFlare
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 1.
J'ai un script qui rapporte à spamcop les spams piégés dans ma boîtacons, et à l'instant je viens d'en avoir un se rapportant à kidala.info (listé dans URIBL), qui est administré par cloudflare.com, et c'est loin d'être la première fois !
Alors effectivement, quand on héberge des domaines spammeurs, et qu'on les garde malgré les rapports, il faut bien avoir un débit plus gros que les voisins.
# Fake ?
Posté par Antoine Roly . Évalué à -3. Dernière modification le 29 mars 2013 à 13:07.
La réalité de cette attaque commence à être sérieusement mise en doute…
http://gizmodo.com/5992652/that-internet-war-apocalypse-is-a-lie
[^] # Re: Fake ?
Posté par CHP . Évalué à 5.
Dans cet article (qui a déja été donné en commentaire plus haut), on ne dit pas que l'attaque n'a pas eu lieu, on conteste le fait que ca soit l'apocalypse du net.
Ou alors, c'est que j'ai mal comprit une phrase.
[^] # Re: Fake ?
Posté par Antoine Roly . Évalué à 1.
Je n'avais pas vu que l'article était déjà cité, au temps pour moi.
Et j'ai peut-être moi aussi mal compris l'article. C'est probable en fait, vendredi toussa… :)
# fin du mystère
Posté par francoisp31 . Évalué à -2.
http://www.usinenouvelle.com/article/la-plus-grosse-cyber-attaque-de-l-histoire-d-internet-n-etait-qu-un-mensonge.N194186
[^] # Re: fin du mystère
Posté par Aissen . Évalué à 3.
Pas aussi simple… voir http://www.lesinrocks.com/2013/03/29/actualite/cyberattaque-nucleaire-non-internet-ne-va-pas-seffondrer-11379197/ , qui eux ont prit la peine d’interroger des experts.
[^] # Re: fin du mystère
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 5.
L'article de l'Usine Nouvelle est médiocre. Il s'attaque à une exagération (fin de l'Internet, on va tous mourir) pour passer à une autre (il ne s'est rien passé, tout a été inventé, on vous ment).
La réalité est sans doute plus simple mais apparemment trop nuancée pour certains : il y a bien eu une attaque de grande ampleur, elle a impacté Cloudflare et donc ses clients, le reste de l'Internet a continué à vivre. Et le marketeux de Cloudflare a trouvé malin d'exagérer (exagérer, pas inventer) pour rapporter du business à sa boîte.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.