Journal : myip.fr: le pire des FAI !
Posté par Mildred (Jabber id, page perso, ) le 23 septembre 2007
Bonsoir,
Je vais vous écrire ce soit pour vous faire part de ma déception concernant mon fournisseur d'acces: myip.fr.
Cette année j'ai déménagé dans une résidence étudiante, et là, pour avoir Internet, il est conseillé d'utiliser ce fabuleux fournisseur d'accès. L'offre est correcte, je trouve. pour 25¤ par mois on a Internet, et pour 30¤ on a en plus le téléphone illimité pour les fixes.
Mais tout n'est pas si rose. En effet, la boîte (*box) qu'on me fournit me filtre tout les ports en entrée. Vous allez me dire que c'est courant et qu'on a la même chose avec les freebox (et autres que je connais moins). Certes, mais ici, aucun moyen de configurer des redirections de port.
mais le plus gênant, c'est que certaines connexions sont redirigés vers d'autres destinations. C'est ainsi que la connexion sur news.gmane.org:119 aboutit directement sur news.tiscali.fr !!!!!
Et il en est de même pour le port SMTP qui aboutit sur mwinf2554.orange.fr.
En fait, on peut ouvrir une connexion n'importe ou sur les ports 25 et 119, on tombera toujours au même endroit, et pas où on veut ! C'est complètement aberrant.
hereusement pour gmane, il est possible de se connecter en sécurisé sur un autre port, mais ce n'est pas le cas avec tous les serveurs de news, comme zoo-logique.org qui contient un forum très intéressant sur Blender ... et d'autres serveurs :/
Mais comment peuvent-ils se prétendre être un FAI, Pour moi, la connectivité Internet, c'est la connectivité au niveau du protocole IP.
Ensuite, concernant le téléphone, il n'y a aucun moyen d'appeler des portables. On pourrait s'attendre à avoir un tarif à la minute, mais non, c'est tout bonnement impossible. Dommage :(
Donc si un jour vous enandez parler de myip, fuyez-les comme la peste. Et demain je tenterai de les appeler pour leur demander si il n' a pas moyen de débloquer leur service. Et si ce n'est pas possible, je me rabattrait sur un autre FAI, si encore c'est possible. J'ai entandu parler que myip pourrait avoir le monopole dans la résidence :(
Sur ces mots, bonne nuit
Mildred
Je vais vous écrire ce soit pour vous faire part de ma déception concernant mon fournisseur d'acces: myip.fr.
Cette année j'ai déménagé dans une résidence étudiante, et là, pour avoir Internet, il est conseillé d'utiliser ce fabuleux fournisseur d'accès. L'offre est correcte, je trouve. pour 25¤ par mois on a Internet, et pour 30¤ on a en plus le téléphone illimité pour les fixes.
Mais tout n'est pas si rose. En effet, la boîte (*box) qu'on me fournit me filtre tout les ports en entrée. Vous allez me dire que c'est courant et qu'on a la même chose avec les freebox (et autres que je connais moins). Certes, mais ici, aucun moyen de configurer des redirections de port.
mais le plus gênant, c'est que certaines connexions sont redirigés vers d'autres destinations. C'est ainsi que la connexion sur news.gmane.org:119 aboutit directement sur news.tiscali.fr !!!!!
Et il en est de même pour le port SMTP qui aboutit sur mwinf2554.orange.fr.
En fait, on peut ouvrir une connexion n'importe ou sur les ports 25 et 119, on tombera toujours au même endroit, et pas où on veut ! C'est complètement aberrant.
hereusement pour gmane, il est possible de se connecter en sécurisé sur un autre port, mais ce n'est pas le cas avec tous les serveurs de news, comme zoo-logique.org qui contient un forum très intéressant sur Blender ... et d'autres serveurs :/
Mais comment peuvent-ils se prétendre être un FAI, Pour moi, la connectivité Internet, c'est la connectivité au niveau du protocole IP.
Ensuite, concernant le téléphone, il n'y a aucun moyen d'appeler des portables. On pourrait s'attendre à avoir un tarif à la minute, mais non, c'est tout bonnement impossible. Dommage :(
Donc si un jour vous enandez parler de myip, fuyez-les comme la peste. Et demain je tenterai de les appeler pour leur demander si il n' a pas moyen de débloquer leur service. Et si ce n'est pas possible, je me rabattrait sur un autre FAI, si encore c'est possible. J'ai entandu parler que myip pourrait avoir le monopole dans la résidence :(
Sur ces mots, bonne nuit
Mildred
> Lire le journal (20 commentaires, moyenne: 4,3).
Vous avez demandé le commentaire #869130.
Run by 
Cette page a été générée par Templeet en 0.0761s (dont 0.007 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Légalitée ?
Je me demande dans quelle limite ce genre d'action est légale. En effet, on peut considérer que le FAI fait du détournement de paquets IP, et cela peut s'associer à du spoofing, voir du piratage.
Si on continue dans cette logique, le FAI pourrait utiliser une telle technique pour, par exemple, récupérer des identifiants de serveur FTP (ex: ftpperso.free.fr par exemple), des login/password d'adresse email, etc...
[^]Re: Légalitée ?
Dans le cas présent, le FAI pourrait (peut ?) se servir de cette redirection pour collecter les adresses emails de tes correspondants ...
Il faudrait voir ce qui est spécifié sur le contrat en termes de confidentialité et de stockages des données personnelles.
[^]Re: Légalitée ?
Il peut faire mieux : Utiliser du port forwarding afin de diriger toutes les connexions POP/IMAP (quelque soit le host de destination) vers un de ses serveurs, et récupérer tes logins/password. Ensuite, redirection du flux vers vrai le serveur POP/IMAP demandé par le client.
Le but recherché est le même qu'une attaque de type "man in the middle".
[^]Re: Légalitée ?
Mouais, le FAI voit de toute façon passer tous les paquets, il peut donc obtenir toutes ces informations beaucoup plus facilement et discrètement : en examinant les paquets.
Le SSL, c'est bon, mangez-en !
[^]Re: Légalitée ?
oui et non : j'aime beaucoup l'exemple américain en la matière (jusqu'à ce jour hein, ca risque de changer dans les années à venir ...)
- Si un FAI ne fait RIEN côté filtrage (pas de redirection, pas de transparent proxy etc.) il n'a AUCUNE responsabilité sur les contenus qu'il transporte
- Si un FAI fait le moindre filtrage (proxy, redirection, port bloqué), il est RESPONSABLE des contenus qu'il fait transiter, et peut donc être attaqué comme co-responsable avec l'internaute.
Donc oui, les FAI peuvent faire beaucoup de chose, mais ne le font (en général) pas ...
Cette règle a fait suffisamment peur aux FAI pour qu'ils ne filtrent pas depuis un bail ...
Par ailleurs, je conseille tout de même SSL/TLS avec force. je vous conseille de plus CaCert.org pour générer vos certificats serveurs et les faire reconnaître sur votre station. Très pratique (et gratuit) même s'ils ne sont pas encore dans les navigateurs principaux ...
[^]Re: Légalitée ?
euh non, (enfin de tête) :
la fai , même si elle fait du transparent proxy ou des redirections quelconque est protégé au meme titre que les hébergeurs.
Elle n'est pas responsable des contenu du moment qu'elle met tout en oeuvre pour les effacer une fois qu'elle en a recu une demande justifié (normalement une commission rogatoire d'un juge).
Subete ga wakatta toki…watashi ga anta wo korosu.
[^]Re: Légalitée ?
oui, en France c'est probablement le cas (pas de responsabilité même en cas de filtrage / blocage / redirection). Aux USA, non ...
Cela dit, la responsabilité des hébergeurs et fai en France reste floue : trop peu de références juridiques sont disponibles pour avoir une idée claire des droits et devoirs des fai/hosteurs ...
[^]Re: Légalitée ?
je vous conseille de plus CaCert.org pour générer vos certificats serveurs et les faire reconnaître sur votre station. Très pratique (et gratuit) même s'ils ne sont pas encore dans les navigateurs principaux ...
Si c'est pour devoir importer un certificat racine dans tes navigateurs, autant que ce soit ton tien propre. Tu fais ta mini-PKI comme un grand garçon, comme ça tu signes ce que tu veux comme tu veux, et surtout ton certificat racine ne marche QUE pour tes serveurs à toi. Alors que si tu importes le certificat racine de CaCert, il valide du même coup tous les autres utilisateurs de CaCert, ce qui n'est pas forcément souhaitable.
Bref, CaCert, tant que c'est pas intégré par défaut partout, ça n'a aucun intérêt (en tous cas par rapport à une CA Racine maison).
[^]Re: CaCert
Euh, bein si justement : pour moi l'intérêt est justement qu'en important le certif racine de CaCert, on accepte les autres, alors qu'en faisant sa pki maison, on ne marche qu'avec soi.
L'importance de ce point est visible quand on utilise smtpd/tls pour son serveur mx : on peut alors RECEVOIR du mail sur des canaux systématiquement chiffrés et trustés vu que les packages ca-certificates des distributions courantes (redhat et debian testées) ont les certificats racine de CaCert.
Et dire que "l'on ne veux pas forcément accepter tout ce qui a été signé par CaCert" cela veut dire enlever __aussi__ tous les autres certificats racine et ne pas les accepter "par défaut" alors que les navigateurs les packagent ... dur.
Pour finir, une ch'tite pub : pour ceux qui veulent configurer leurs softs sous Debian pour faire du ssl/tls en utilisant un certificat CaCert, une doc en fr/en est là : http://doc.serverside.fr/
[^]Re: CaCert
Euh, bein si justement : pour moi l'intérêt est justement qu'en important le certif racine de CaCert, on accepte les autres, alors qu'en faisant sa pki maison, on ne marche qu'avec soi.
Rien n'empêche d'importer AUSSI la (les?) certificats de CaCert là où ils sont nécessaires. Mais j'aime autant séparer ce qui n'a rien à voir.
Et dire que "l'on ne veux pas forcément accepter tout ce qui a été signé par CaCert" cela veut dire enlever __aussi__ tous les autres certificats racine et ne pas les accepter "par défaut" alors que les navigateurs les packagent ... dur.
Ouimaisnon. Les vérifications d'identité effectuées par les professionnels de la PKI, quelque discutable que soient leurs méthodes et leurs plans tarifaires, n'ont rien à voir avec les pratiques de CaCert. Valider d'office les signatures de tous les clients de Thawte, ça n'est pas exactement la même chose que valider d'office tous les utilisateurs de CaCert.