MITM as a Service 3G Edition by Bouygues, ou quand ton FAI bousille DNSSEC

Mise à jour Mars 2020 :
Plus de 3 ans après ma découverte de MITM sur DNS chez Bouygues Telecom, le topic que j’ai lancé sur lafibre.info – suite au conseil d’une personne qui m’a informé qu’un des contributeurs du forum était à l’époque employé de Bouygues – est encore actif. On y apprend que Bouygues Telecom à enfin arrêté avec cette connerie d’interception de requêtes DNS, et aussi SMTP (même si en pratique le port TCP 25 n’est pas utilisé, ça reste dégueulasse). Comme quoi, en gueulant au bon endroit et en étant plusieurs à demander des comptes à une entreprise sur ses pratiques, on peut obtenir des résultats, même à 5 gus dans un garage… C’est une petite victoire, petite parce que le mieux reste encore de laisser tomber les résolveurs qui communiquent en claire et configurer un résolveur DNS-over-HTTP ou DNS-over-TLS, technos qui commencent à se répandre, (son propre résolveur, c’est encore mieux). Mais victoire quand même, parce qu’en pratique, on est encore loin du jour où 100% des résolveurs et des clients/OS utilisés par le grand public utilisent par défaut (sans bidouilles/logiciels tierces) du DoH/DoT à la place d’interroger des résolveurs DNS en clair. Donc cette victoire sera utile pour les gens utilisant des appareils avec des OS ne supportant pas DoH/DoT (vieux OS, notamment mobiles, que les fabricants ne maintiennent pas forcément correctement pour mieux vendre de nouveaux appareils… ), ou qui n’ont aucune  idée de ce qu’est un résolveur DNS et comment en choisir et le configurer sur sa machine. Merci à tous les gens qui ont relayé mon article, qui ont fait des tests plus ou moins régulièrement, en publiant les résultats, qui ont contribué de façon constructive au topic sur lafibre.info, et qui ont demandé des comptes à Bouygues. Sans oublier de rester vigilants concernant les atteintes à la neutralité du Net et autres pratqiues dégueulasses, cette victoire se savoure avec une bonne boisson caféinée.

Continue reading “MITM as a Service 3G Edition by Bouygues, ou quand ton FAI bousille DNSSEC”

Configuration du FQDN sous GNU/Linux

Contexte

Récemment j’ai configuré un serveur SMTP sous une machine Debian GNU/Linux pour pouvoir utiliser un client email avec un compte dont le fournisseur ne propose qu’un accès par webmail en envoi (pas de SMTP). Or mon but, c’est de pouvoir signer et de chiffrer mes emails avec ledit compte, donc de passer obligatoirement par un client email lourd (impossible d’utiliser GPG proprement avec un webmail, les plugins pour le faire posent plus trop de problèmes de sécurité)

Continue reading “Configuration du FQDN sous GNU/Linux”