Stéphane Bortzmeyer a écrit 655 commentaires

Avant de faire la publicité de ce rapport, il faudrait noter qu'il contient plein d'énormités nationalistes et, surtout, qu'il prône la censure (p. 65, soutien au gouvernement islamo-conservateur de Turquie, le félicitant d'avoir censuré Twitter).

Ouh là là, beaucoup d'erreurs et d'approximations dans ce message ! Commençons par les adresses IP : http://www.lemonde.fr/pixels/article/2014/07/01/couper-l-iran-du-web-la-mission-impossible-d-une-avocate-israelienne_4448267_4408996.html

Ensuite, pour le DNS, le DNS étant décentralisé, le domaine de M. Michu (mettons mmichu.fr) ne se trouve pas dans les serveurs racine et ne peut donc pas en être retiré.

Les domaines No-IP ont été rendus et remarchent à nouveau (deux bémols : certains domaines, comme no-ip.org, sont toujours chez Microsoft et les caches DNS feront que la réparation ne sera pas immédiate pour tout le monde).

Aucune communication publique à ce sujet, je ne sais pas si la justice US a changé d'avis ou bien si Microsoft a cédé.

Petite précision : c'est surtout difficile, dans le contexte de l'espionnage, d'exfiltrer toutes les données (ça se voit si le routeur copie tout son trafic à l'extérieur).

Dans le contexte du déni de service (arrêter les routeurs à distance), c'est sans doute plus facile d'avoir une porte dérobée peu détectable.

Pour un serveur, pas mal de composants ont leur propre ordinateur+OS, non libre, non audité, et qui a accès à tout le matos (la carte RAID, qui peut écrire partout en DMA, a son propre OS).

Les États-Unis n'ont pas d'alliés. Uniquement des vassaux et des ennemis.

Sérieusement, les types qui croient que Washington les considère comme des alliés (ce qui suppose un peu d'égalité et de respect mutuel), euh, comment dire, ils se font des illusions graves.

La plupart des mesures ne font pas de différence entre sondes installées dans un cœur de réseau et sondes installées chez un particulier. Ce n'est dailleurs que depuis très récemment (trois semaines ?) que l'hébergeur d'une sonde a la possibilité d'indiquer le type d'hébergement, via des "tags" qu'il met dans l'interface Web de gestion des sondes.

Il est important qu'il y ait des sondes aux divers endroits : cela donne des points de vue différents. Partout où il y a de l'Internet, il faut qu'il y ait des sondes :-)

Non, l'amer semble avoir été éteint depuis.

L'Atlas n'a pas de privilèges particuliers : elle envoie des paquets IP et prie qu'ils arrivent. Il ne servirait donc à rien de la brancher dans un réseau fasciste où seul TCP/80 est autorisé en sortie.

Pour trouver où c'est le plus utile, le mieux est d'utiliser le moteur de recherche https://atlas.ripe.net/results/maps/network-coverage/ qui permet de chercher par localisation physique, par numéro d'AS, par préfixe.

L'Atlas ne fait pas de mesures de capacité (pour éviter de consommer des ressources réseau chez son hébergeur).

Le gros problème de Grenouille, c'est le fait qu'on teste surtout le PC sur lequel il tourne : un gros travail, un virus (je sais, pas sur Linux…) et les mesures sont moins bonnes. Pour mesurer le réseau, il faut des sondes matérielles dédiées (Atlas, SamKnows, Bismark, etc).

Il faudrait voir cela avec le RIPE car c'est tout à fait anormal. L'Atlas ne fait pas de tests de capacité (contrairement à la SamKnows) et consomme donc très peu. Aucun autre hébergeur d'Atlas n'a signalé cela.

Non, on ne faisait pas autrement dans les années 90. On ne faisait rien. Les FAI/hébergeurs/etc ne mesuraient pas depuis l'extérieur, ou alors seulement depuis deux ou trois points installés chez des concurrents ou copains.

Depuis que les boîtes sérieuses mesurent leur réseau avec des trucs comme les Atlas (5 000 points de mesure dans le monde, c'est énorme, aucun service commercial n'a l'équivalent), on s'est aperçu qu'on était rarement bien joignable depuis 100 % de la planète. L'Internet est de plus en plus fragmenté.

Donc, oui, les mesures des sondes Atlas sont réellement utilisées. L'un des cas où cela m'avait été le plus utile, dans mon métier, avait été en testant la connectivité depuis le monde entier, de découvrir un routeur défaillant à AMS-IX qui perdait quelques paquets (cela ne se voyait pas depuis la France, car ce routeur n'était jamais sur notre chemin). Les Atlas ont servi pour l'affaire du réseau 128 sur les Juniper http://www.bortzmeyer.org/reseau-128.html pour regarder la répartition des clients d'un serveur DNS racine https://labs.ripe.net/Members/stephane_bortzmeyer/the-many-instances-of-the-l-root-name-server pour étudier les bavures de la censure chinoise sur le TLD allemand https://labs.ripe.net/Members/pk/denic-case-study-using-ripe-atlas etc.

En effet, l'explicaton de XMPP est confuse et, je soupçonne, fausse. XMPP est un système fédéré (comme le courrier) et donc (heureusement !) il n'y a pas besoin d'un compte sur le système destination.

Damned, j'avais donc cafouillationné par négligence excessive et paresse ? Merci au chaton pour la correction.

Le CVE a été publié bien après l'alerte.

Si, c'est bien CloudFLare qui a publié trop tôt sur la bogue, avant que tout le monde ne soit prêt https://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities

Il n'y a rien de Bitcoin dans Bitmessage. Pas le code, mais aucune idée non plus (personne n'a jamais pu me citer un concept de Bitcoin qu'on retrouve dans Bitmessage). Donc, se réclamer de Bitcoin (qui est très connu et très populaire), ce n'est pas honnête.

On peut en effet toujours redéfinir le vocabulaire comme on veut et appeler centralisé ce qui ne l'est pas. C'est comme si Microsoft décidait tout à coup que Windows est du logiciel libre, en argumentant qu'on peut lancer Word ou IE, au choix, on est libre.

N'avoir qu'une adresse IP en ayant deux connexions (ce qui, au passage, aurait des conséquences pas forcément agréables pour la vie privée) est l'idée de séparation de l'identificateur et du localisateur. Vieux projet, mis en œuvre dans des techniques comme ILNP, HIP ou LISP, mais qui n'a rien à voir avec le caractère centralisé ou pas.

.dns, c'est les gens d'okTurtles.

Non, aucun rapport.

Hmmmm, ce commentaire utilise un vocabulaire très approximatif. D'abord, les adresses IP : leur distribution n'est pas centralisée (je viens d'allouer 2a01:e35:8bd9:8bb0::bad:dcaf tout seul sans demander à personne). Elle est arborescente, ce qui n'a pas du tout les mêmes conséquences. Ensuite, le routage, lui, non seulement n'est pas centralisé mais il n'est même pas arborescent. La phrase « la manière dont les table [sic] de routage sont établie [sic] » est donc incompréhensible.

Quant au DNS, lui aussi est arborescent et non centralisé (Benoit peut créer foobar.linuxfr.org comme il veut sans rien demander à personne).

Quant à « essaye de promouvoir namecoin pour le DNS », cela n'a pas non plus de sens puisqu'il s'agit de deux protocoles différents. C'est comme écrire « essaye de promouvoir Linux pour Windows ».

Je précise ces points car je pense qu'une des raisons du peu de succès des techniques « alternatives » est justement le manque de rigueur technique de leurs promoteurs.

Non, contrairement à ce qui est écrit dans le journal, les deux systèmes n'ont aucun rapport. Certains promoteurs de BitMessage ont juste malhonnètement tenté de profiter de la notoriété de Bitcoin.

Non, je le répète, "fr" est une zone DNS comme les autres.

S'il y a des problèmes précis de configuration de DNS, faut les indiquer (avec les messages d'erreur de Zonecheck ou d'un autre outil de test), ici ou sur la liste dns-fr. « Ça marche pas » n'est pas un message utile.

Le test avec Zonecheck n'est plus obligatoire depuis (sauf erreur) un an et demi.

Non, c'est tout à fait faux. Le TLD "fr" est un TLD comme un autre et n'a rien de particulier.

Quant aux affirmations comme quoi le registre de "fr" aurait la main sur votre config… c'est du délire, tout simplement.

djbdns est à fuir absolument. Logiciel non maintenu et à qui il manque la plupart des fonctions utiles (DNSSEC, IPv6, etc).