Bonsoir,
Je vais vous écrire ce soit pour vous faire part de ma déception concernant mon fournisseur d'acces: myip.fr.
Cette année j'ai déménagé dans une résidence étudiante, et là, pour avoir Internet, il est conseillé d'utiliser ce fabuleux fournisseur d'accès. L'offre est correcte, je trouve. pour 25¤ par mois on a Internet, et pour 30¤ on a en plus le téléphone illimité pour les fixes.
Mais tout n'est pas si rose. En effet, la boîte (*box) qu'on me fournit me filtre tout les ports en entrée. Vous allez me dire que c'est courant et qu'on a la même chose avec les freebox (et autres que je connais moins). Certes, mais ici, aucun moyen de configurer des redirections de port.
mais le plus gênant, c'est que certaines connexions sont redirigés vers d'autres destinations. C'est ainsi que la connexion sur news.gmane.org:119 aboutit directement sur news.tiscali.fr !!!!!
Et il en est de même pour le port SMTP qui aboutit sur mwinf2554.orange.fr.
En fait, on peut ouvrir une connexion n'importe ou sur les ports 25 et 119, on tombera toujours au même endroit, et pas où on veut ! C'est complètement aberrant.
hereusement pour gmane, il est possible de se connecter en sécurisé sur un autre port, mais ce n'est pas le cas avec tous les serveurs de news, comme zoo-logique.org qui contient un forum très intéressant sur Blender ... et d'autres serveurs :/
Mais comment peuvent-ils se prétendre être un FAI, Pour moi, la connectivité Internet, c'est la connectivité au niveau du protocole IP.
Ensuite, concernant le téléphone, il n'y a aucun moyen d'appeler des portables. On pourrait s'attendre à avoir un tarif à la minute, mais non, c'est tout bonnement impossible. Dommage :(
Donc si un jour vous enandez parler de myip, fuyez-les comme la peste. Et demain je tenterai de les appeler pour leur demander si il n' a pas moyen de débloquer leur service. Et si ce n'est pas possible, je me rabattrait sur un autre FAI, si encore c'est possible. J'ai entandu parler que myip pourrait avoir le monopole dans la résidence :(
Sur ces mots, bonne nuit
Mildred
Journal myip.fr: le pire des FAI !
24
sept.
2007
# hum
Posté par fsck222 (site web personnel) . Évalué à 5.
Si tu es prêt a payer pour passer des appels sur mobile, tu pourrai envisager l'utilisation d'un logiciel payant VoIP (un des plus connu est skype).
[^] # Re: hum
Posté par Mildred (site web personnel) . Évalué à 9.
$ nc 1.2.3.4 119
200 Bienvenue sur news.orange.fr, le serveur de news est disponible. - newsmaster@orange.fr (posting ok)
Et un nmap sur n'importe quelle Ip me donne invariablement les ports 25 et 119 ouverts, même si ce n'est pas le cas (car ce sont des IP que je connais).
$ nmap -P0 louve.dyndns.org
Starting Nmap 4.20 ( http://insecure.org ) at 2007-09-23 23:33 CEST
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
Interesting ports on voi38-1-82-233-96-31.fbx.proxad.net (82.233.96.31):
Not shown: 1695 filtered ports
PORT STATE SERVICE
25/tcp open smtp
119/tcp open nntp
Nmap finished: 1 IP address (1 host up) scanned in 2956.068 seconds
# Légalitée ?
Posté par Olivier (site web personnel) . Évalué à 10.
Si on continue dans cette logique, le FAI pourrait utiliser une telle technique pour, par exemple, récupérer des identifiants de serveur FTP (ex: ftpperso.free.fr par exemple), des login/password d'adresse email, etc...
[^] # Re: Légalitée ?
Posté par Nicolas S. . Évalué à 7.
Dans le cas présent, le FAI pourrait (peut ?) se servir de cette redirection pour collecter les adresses emails de tes correspondants ...
Il faudrait voir ce qui est spécifié sur le contrat en termes de confidentialité et de stockages des données personnelles.
[^] # Re: Légalitée ?
Posté par Olivier (site web personnel) . Évalué à 3.
Il peut faire mieux : Utiliser du port forwarding afin de diriger toutes les connexions POP/IMAP (quelque soit le host de destination) vers un de ses serveurs, et récupérer tes logins/password. Ensuite, redirection du flux vers vrai le serveur POP/IMAP demandé par le client.
Le but recherché est le même qu'une attaque de type "man in the middle".
[^] # Re: Légalitée ?
Posté par Buf (Mastodon) . Évalué à 5.
Le SSL, c'est bon, mangez-en !
[^] # Re: Légalitée ?
Posté par Benjamin (site web personnel) . Évalué à 5.
- Si un FAI ne fait RIEN côté filtrage (pas de redirection, pas de transparent proxy etc.) il n'a AUCUNE responsabilité sur les contenus qu'il transporte
- Si un FAI fait le moindre filtrage (proxy, redirection, port bloqué), il est RESPONSABLE des contenus qu'il fait transiter, et peut donc être attaqué comme co-responsable avec l'internaute.
Donc oui, les FAI peuvent faire beaucoup de chose, mais ne le font (en général) pas ...
Cette règle a fait suffisamment peur aux FAI pour qu'ils ne filtrent pas depuis un bail ...
Par ailleurs, je conseille tout de même SSL/TLS avec force. je vous conseille de plus CaCert.org pour générer vos certificats serveurs et les faire reconnaître sur votre station. Très pratique (et gratuit) même s'ils ne sont pas encore dans les navigateurs principaux ...
[^] # Re: Légalitée ?
Posté par briaeros007 . Évalué à 1.
la fai , même si elle fait du transparent proxy ou des redirections quelconque est protégé au meme titre que les hébergeurs.
Elle n'est pas responsable des contenu du moment qu'elle met tout en oeuvre pour les effacer une fois qu'elle en a recu une demande justifié (normalement une commission rogatoire d'un juge).
[^] # Re: Légalitée ?
Posté par Benjamin (site web personnel) . Évalué à 4.
Cela dit, la responsabilité des hébergeurs et fai en France reste floue : trop peu de références juridiques sont disponibles pour avoir une idée claire des droits et devoirs des fai/hosteurs ...
[^] # Re: Légalitée ?
Posté par Larry Cow . Évalué à 3.
Si c'est pour devoir importer un certificat racine dans tes navigateurs, autant que ce soit ton tien propre. Tu fais ta mini-PKI comme un grand garçon, comme ça tu signes ce que tu veux comme tu veux, et surtout ton certificat racine ne marche QUE pour tes serveurs à toi. Alors que si tu importes le certificat racine de CaCert, il valide du même coup tous les autres utilisateurs de CaCert, ce qui n'est pas forcément souhaitable.
Bref, CaCert, tant que c'est pas intégré par défaut partout, ça n'a aucun intérêt (en tous cas par rapport à une CA Racine maison).
[^] # Re: CaCert
Posté par Benjamin (site web personnel) . Évalué à 6.
L'importance de ce point est visible quand on utilise smtpd/tls pour son serveur mx : on peut alors RECEVOIR du mail sur des canaux systématiquement chiffrés et trustés vu que les packages ca-certificates des distributions courantes (redhat et debian testées) ont les certificats racine de CaCert.
Et dire que "l'on ne veux pas forcément accepter tout ce qui a été signé par CaCert" cela veut dire enlever __aussi__ tous les autres certificats racine et ne pas les accepter "par défaut" alors que les navigateurs les packagent ... dur.
Pour finir, une ch'tite pub : pour ceux qui veulent configurer leurs softs sous Debian pour faire du ssl/tls en utilisant un certificat CaCert, une doc en fr/en est là : http://doc.serverside.fr/
[^] # Re: CaCert
Posté par Larry Cow . Évalué à 2.
Rien n'empêche d'importer AUSSI la (les?) certificats de CaCert là où ils sont nécessaires. Mais j'aime autant séparer ce qui n'a rien à voir.
Et dire que "l'on ne veux pas forcément accepter tout ce qui a été signé par CaCert" cela veut dire enlever __aussi__ tous les autres certificats racine et ne pas les accepter "par défaut" alors que les navigateurs les packagent ... dur.
Ouimaisnon. Les vérifications d'identité effectuées par les professionnels de la PKI, quelque discutable que soient leurs méthodes et leurs plans tarifaires, n'ont rien à voir avec les pratiques de CaCert. Valider d'office les signatures de tous les clients de Thawte, ça n'est pas exactement la même chose que valider d'office tous les utilisateurs de CaCert.
# page perso hs
Posté par Benjamin (site web personnel) . Évalué à 2.
pour info, ton lien "page perso" ne mène à rien (...) tu peux le modifier dans tes préférences pour le supprimer ou mettre une nouvelle url ...
[^] # Re: page perso hs
Posté par Mildred (site web personnel) . Évalué à 2.
Domage
# Ce n'est pas un bridage mais un solution technique
Posté par fcartegnie . Évalué à 3.
Le but est ici probablement de limiter l'envoi de spam par les PC zombies sous un certain OS. En redirigeant vers le port 25 de leur serveur SMTP, tout les messages envoyés sont obligatoirement tracés comme venant d'un utilisateur identifié. Chez les autres FAI, les zombies contactent directement les MX distants du receveur, et la seule solution vient du serveur distant qui doit vérifier que le reverse dns existe (IP= MX) ou autre SPF dans le DNS. Bref, ca doit permettre de bloquer l'émission de spam en identifiant l'auteur. (de même sur les news).
Par contre, ce qui est anormal c'est de ne pas pouvoir le désactiver. Dans la même optique, chez Free l'émission vers un port SMTP(hors free) est bloquée par défaut, mais réactivable par l'interface.
[^] # Re: Ce n'est pas un bridage mais un solution technique
Posté par jeffcom . Évalué à 6.
# Mauvais fournisseur, changer fournisseur ...
Posté par Obsidian . Évalué à 5.
J'ai peut-être loupé quelque chose mais, avec le téléphone, il me semble que c'est le tarif qu'appliquent pour ainsi dire tous les fournisseurs !
C'est peut-être voulu au niveau de ta résidence, mais en tout cas, ce genre de filtrage doit obligatoirement être écrit noir sur blanc dans ton contrat, faute de quoi, tu t'en sers pour le casser.
[^] # Re: Mauvais fournisseur, changer fournisseur ...
Posté par Anonyme . Évalué à 2.
J'ai été abonné quelque temps à MyIP, c'est vraiment ironique mais on se demande vraiment où elle est notre IP, elle change toutes les 10min et est probablement partagée avec d'autres clients.
Ensuite j'ai été abonné chez odbee (prononcez haut débit), et là encore le débit ben c'est 16ko en upload et 200 en download quand on a pas trop de connexions (typiquement pour le p2p c'est vraiment pas adapté).
Non seulement le service est mauvais et aussi cher qu'ailleurs mais en plus ils s'arrangent pour afficher un nom qui pointe du doigt leur incompétence...
J'espère au moins pour eux qu'ils s'en mettent plein les poches (ce qui a l'air d'être le cas vu que énormément de nouveaux arrivants en résidence tombent dans le panneau, moi le premier).
[^] # Re: Mauvais fournisseur, changer fournisseur ...
Posté par Nicolas Boulay (site web personnel) . Évalué à 5.
"La première sécurité est la liberté"
[^] # Re: Mauvais fournisseur, changer fournisseur ...
Posté par Mildred (site web personnel) . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.