Journal myip.fr: le pire des FAI !

Posté par  (site web personnel) .
Étiquettes : aucune
0
24
sept.
2007
Bonsoir,

Je vais vous écrire ce soit pour vous faire part de ma déception concernant mon fournisseur d'acces: myip.fr.

Cette année j'ai déménagé dans une résidence étudiante, et là, pour avoir Internet, il est conseillé d'utiliser ce fabuleux fournisseur d'accès. L'offre est correcte, je trouve. pour 25¤ par mois on a Internet, et pour 30¤ on a en plus le téléphone illimité pour les fixes.

Mais tout n'est pas si rose. En effet, la boîte (*box) qu'on me fournit me filtre tout les ports en entrée. Vous allez me dire que c'est courant et qu'on a la même chose avec les freebox (et autres que je connais moins). Certes, mais ici, aucun moyen de configurer des redirections de port.

mais le plus gênant, c'est que certaines connexions sont redirigés vers d'autres destinations. C'est ainsi que la connexion sur news.gmane.org:119 aboutit directement sur news.tiscali.fr !!!!!

Et il en est de même pour le port SMTP qui aboutit sur mwinf2554.orange.fr.

En fait, on peut ouvrir une connexion n'importe ou sur les ports 25 et 119, on tombera toujours au même endroit, et pas où on veut ! C'est complètement aberrant.

hereusement pour gmane, il est possible de se connecter en sécurisé sur un autre port, mais ce n'est pas le cas avec tous les serveurs de news, comme zoo-logique.org qui contient un forum très intéressant sur Blender ... et d'autres serveurs :/

Mais comment peuvent-ils se prétendre être un FAI, Pour moi, la connectivité Internet, c'est la connectivité au niveau du protocole IP.


Ensuite, concernant le téléphone, il n'y a aucun moyen d'appeler des portables. On pourrait s'attendre à avoir un tarif à la minute, mais non, c'est tout bonnement impossible. Dommage :(


Donc si un jour vous enandez parler de myip, fuyez-les comme la peste. Et demain je tenterai de les appeler pour leur demander si il n' a pas moyen de débloquer leur service. Et si ce n'est pas possible, je me rabattrait sur un autre FAI, si encore c'est possible. J'ai entandu parler que myip pourrait avoir le monopole dans la résidence :(

Sur ces mots, bonne nuit
Mildred
  • # hum

    Posté par  (site web personnel) . Évalué à 5.

    Pour ton problème de "certaines connexions sont redirigés vers d'autres destinations" il pourrait s'agir d'un problème de DNS? Essaye d'utiliser d'autres serveurs DNS dans ton /etc/resolv.conf, par exemple, utilise ceux d'autre FAI ou encore un ROOT DNS. Si tu veux forcer la résolution d'un nom a une IP, peaufine ton /etc/hosts
    Si tu es prêt a payer pour passer des appels sur mobile, tu pourrai envisager l'utilisation d'un logiciel payant VoIP (un des plus connu est skype).
    • [^] # Re: hum

      Posté par  (site web personnel) . Évalué à 9.

      Non, ce n'est pas du tout un problème de DNS, c'est une redirection de ports:

      $ nc 1.2.3.4 119
      200 Bienvenue sur news.orange.fr, le serveur de news est disponible. - newsmaster@orange.fr (posting ok)


      Et un nmap sur n'importe quelle Ip me donne invariablement les ports 25 et 119 ouverts, même si ce n'est pas le cas (car ce sont des IP que je connais).

      $ nmap -P0 louve.dyndns.org
      Starting Nmap 4.20 ( http://insecure.org ) at 2007-09-23 23:33 CEST
      RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
      RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
      Interesting ports on voi38-1-82-233-96-31.fbx.proxad.net (82.233.96.31):
      Not shown: 1695 filtered ports
      PORT STATE SERVICE
      25/tcp open smtp
      119/tcp open nntp

      Nmap finished: 1 IP address (1 host up) scanned in 2956.068 seconds
  • # Légalitée ?

    Posté par  (site web personnel) . Évalué à 10.

    Je me demande dans quelle limite ce genre d'action est légale. En effet, on peut considérer que le FAI fait du détournement de paquets IP, et cela peut s'associer à du spoofing, voir du piratage.

    Si on continue dans cette logique, le FAI pourrait utiliser une telle technique pour, par exemple, récupérer des identifiants de serveur FTP (ex: ftpperso.free.fr par exemple), des login/password d'adresse email, etc...
    • [^] # Re: Légalitée ?

      Posté par  . Évalué à 7.

      Si on continue dans cette logique, le FAI pourrait utiliser une telle technique pour, par exemple, récupérer des identifiants de serveur FTP (ex: ftpperso.free.fr par exemple), des login/password d'adresse email, etc...

      Dans le cas présent, le FAI pourrait (peut ?) se servir de cette redirection pour collecter les adresses emails de tes correspondants ...

      Il faudrait voir ce qui est spécifié sur le contrat en termes de confidentialité et de stockages des données personnelles.
      • [^] # Re: Légalitée ?

        Posté par  (site web personnel) . Évalué à 3.

        Dans le cas présent, le FAI pourrait (peut ?) se servir de cette redirection pour collecter les adresses emails de tes correspondants ...


        Il peut faire mieux : Utiliser du port forwarding afin de diriger toutes les connexions POP/IMAP (quelque soit le host de destination) vers un de ses serveurs, et récupérer tes logins/password. Ensuite, redirection du flux vers vrai le serveur POP/IMAP demandé par le client.

        Le but recherché est le même qu'une attaque de type "man in the middle".
    • [^] # Re: Légalitée ?

      Posté par  (Mastodon) . Évalué à 5.

      Mouais, le FAI voit de toute façon passer tous les paquets, il peut donc obtenir toutes ces informations beaucoup plus facilement et discrètement : en examinant les paquets.

      Le SSL, c'est bon, mangez-en !
      • [^] # Re: Légalitée ?

        Posté par  (site web personnel) . Évalué à 5.

        oui et non : j'aime beaucoup l'exemple américain en la matière (jusqu'à ce jour hein, ca risque de changer dans les années à venir ...)

        - Si un FAI ne fait RIEN côté filtrage (pas de redirection, pas de transparent proxy etc.) il n'a AUCUNE responsabilité sur les contenus qu'il transporte

        - Si un FAI fait le moindre filtrage (proxy, redirection, port bloqué), il est RESPONSABLE des contenus qu'il fait transiter, et peut donc être attaqué comme co-responsable avec l'internaute.

        Donc oui, les FAI peuvent faire beaucoup de chose, mais ne le font (en général) pas ...

        Cette règle a fait suffisamment peur aux FAI pour qu'ils ne filtrent pas depuis un bail ...

        Par ailleurs, je conseille tout de même SSL/TLS avec force. je vous conseille de plus CaCert.org pour générer vos certificats serveurs et les faire reconnaître sur votre station. Très pratique (et gratuit) même s'ils ne sont pas encore dans les navigateurs principaux ...
        • [^] # Re: Légalitée ?

          Posté par  . Évalué à 1.

          euh non, (enfin de tête) :

          la fai , même si elle fait du transparent proxy ou des redirections quelconque est protégé au meme titre que les hébergeurs.
          Elle n'est pas responsable des contenu du moment qu'elle met tout en oeuvre pour les effacer une fois qu'elle en a recu une demande justifié (normalement une commission rogatoire d'un juge).
          • [^] # Re: Légalitée ?

            Posté par  (site web personnel) . Évalué à 4.

            oui, en France c'est probablement le cas (pas de responsabilité même en cas de filtrage / blocage / redirection). Aux USA, non ...

            Cela dit, la responsabilité des hébergeurs et fai en France reste floue : trop peu de références juridiques sont disponibles pour avoir une idée claire des droits et devoirs des fai/hosteurs ...
        • [^] # Re: Légalitée ?

          Posté par  . Évalué à 3.

          je vous conseille de plus CaCert.org pour générer vos certificats serveurs et les faire reconnaître sur votre station. Très pratique (et gratuit) même s'ils ne sont pas encore dans les navigateurs principaux ...

          Si c'est pour devoir importer un certificat racine dans tes navigateurs, autant que ce soit ton tien propre. Tu fais ta mini-PKI comme un grand garçon, comme ça tu signes ce que tu veux comme tu veux, et surtout ton certificat racine ne marche QUE pour tes serveurs à toi. Alors que si tu importes le certificat racine de CaCert, il valide du même coup tous les autres utilisateurs de CaCert, ce qui n'est pas forcément souhaitable.

          Bref, CaCert, tant que c'est pas intégré par défaut partout, ça n'a aucun intérêt (en tous cas par rapport à une CA Racine maison).
          • [^] # Re: CaCert

            Posté par  (site web personnel) . Évalué à 6.

            Euh, bein si justement : pour moi l'intérêt est justement qu'en important le certif racine de CaCert, on accepte les autres, alors qu'en faisant sa pki maison, on ne marche qu'avec soi.

            L'importance de ce point est visible quand on utilise smtpd/tls pour son serveur mx : on peut alors RECEVOIR du mail sur des canaux systématiquement chiffrés et trustés vu que les packages ca-certificates des distributions courantes (redhat et debian testées) ont les certificats racine de CaCert.

            Et dire que "l'on ne veux pas forcément accepter tout ce qui a été signé par CaCert" cela veut dire enlever __aussi__ tous les autres certificats racine et ne pas les accepter "par défaut" alors que les navigateurs les packagent ... dur.

            Pour finir, une ch'tite pub : pour ceux qui veulent configurer leurs softs sous Debian pour faire du ssl/tls en utilisant un certificat CaCert, une doc en fr/en est là : http://doc.serverside.fr/
            • [^] # Re: CaCert

              Posté par  . Évalué à 2.

              Euh, bein si justement : pour moi l'intérêt est justement qu'en important le certif racine de CaCert, on accepte les autres, alors qu'en faisant sa pki maison, on ne marche qu'avec soi.

              Rien n'empêche d'importer AUSSI la (les?) certificats de CaCert là où ils sont nécessaires. Mais j'aime autant séparer ce qui n'a rien à voir.

              Et dire que "l'on ne veux pas forcément accepter tout ce qui a été signé par CaCert" cela veut dire enlever __aussi__ tous les autres certificats racine et ne pas les accepter "par défaut" alors que les navigateurs les packagent ... dur.

              Ouimaisnon. Les vérifications d'identité effectuées par les professionnels de la PKI, quelque discutable que soient leurs méthodes et leurs plans tarifaires, n'ont rien à voir avec les pratiques de CaCert. Valider d'office les signatures de tous les clients de Thawte, ça n'est pas exactement la même chose que valider d'office tous les utilisateurs de CaCert.
  • # page perso hs

    Posté par  (site web personnel) . Évalué à 2.

    Salut Mildred,

    pour info, ton lien "page perso" ne mène à rien (...) tu peux le modifier dans tes préférences pour le supprimer ou mettre une nouvelle url ...
    • [^] # Re: page perso hs

      Posté par  (site web personnel) . Évalué à 2.

      C'est vrai ... en fait j'utilise des fonctionnalités apache (négociation de contenu) qui semblent fragiles ... Et qui semblent ne plus marcher sur les serveurs de free :(
      Domage
  • # Ce n'est pas un bridage mais un solution technique

    Posté par  . Évalué à 3.

    Ce n'est pas un bridage mais un solution technique qui tourne mal.

    Le but est ici probablement de limiter l'envoi de spam par les PC zombies sous un certain OS. En redirigeant vers le port 25 de leur serveur SMTP, tout les messages envoyés sont obligatoirement tracés comme venant d'un utilisateur identifié. Chez les autres FAI, les zombies contactent directement les MX distants du receveur, et la seule solution vient du serveur distant qui doit vérifier que le reverse dns existe (IP= MX) ou autre SPF dans le DNS. Bref, ca doit permettre de bloquer l'émission de spam en identifiant l'auteur. (de même sur les news).

    Par contre, ce qui est anormal c'est de ne pas pouvoir le désactiver. Dans la même optique, chez Free l'émission vers un port SMTP(hors free) est bloquée par défaut, mais réactivable par l'interface.

  • # Mauvais fournisseur, changer fournisseur ...

    Posté par  . Évalué à 5.

    L'offre est correcte, je trouve. pour 25¤ par mois on a Internet, et pour 30¤ on a en plus le téléphone illimité pour les fixes.


    J'ai peut-être loupé quelque chose mais, avec le téléphone, il me semble que c'est le tarif qu'appliquent pour ainsi dire tous les fournisseurs !

    C'est peut-être voulu au niveau de ta résidence, mais en tout cas, ce genre de filtrage doit obligatoirement être écrit noir sur blanc dans ton contrat, faute de quoi, tu t'en sers pour le casser.
    • [^] # Re: Mauvais fournisseur, changer fournisseur ...

      Posté par  . Évalué à 2.

      Les FAI des résidences d'étudiants semblent tous fournir un mauvais service.

      J'ai été abonné quelque temps à MyIP, c'est vraiment ironique mais on se demande vraiment où elle est notre IP, elle change toutes les 10min et est probablement partagée avec d'autres clients.

      Ensuite j'ai été abonné chez odbee (prononcez haut débit), et là encore le débit ben c'est 16ko en upload et 200 en download quand on a pas trop de connexions (typiquement pour le p2p c'est vraiment pas adapté).

      Non seulement le service est mauvais et aussi cher qu'ailleurs mais en plus ils s'arrangent pour afficher un nom qui pointe du doigt leur incompétence...
      J'espère au moins pour eux qu'ils s'en mettent plein les poches (ce qui a l'air d'être le cas vu que énormément de nouveaux arrivants en résidence tombent dans le panneau, moi le premier).
      • [^] # Re: Mauvais fournisseur, changer fournisseur ...

        Posté par  (site web personnel) . Évalué à 5.

        Il faudrait demander à des sites comme presence-pc qui font réguilèrement des évaluations de FAI d'inclure ses FAI de résidences étudiante. Parce que un nouveau venu n'en a jamais entendu parlé. N'oubliez pas de leur faire leur pub sur les affichages publiques des résidence de se genre de problème.

        "La première sécurité est la liberté"

      • [^] # Re: Mauvais fournisseur, changer fournisseur ...

        Posté par  (site web personnel) . Évalué à 1.

        Il faut aussi reconnaître que l'installation est super rapide. Je ne crois pas qu'avec les autres FAI on puisse avoir une connexion en 10min comme j'ai pu l'avoir avec MyIP.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.