Je sors donc de mes 2 mois ultra chargés en déplacements pour rentrer dans le mois de la chaleur et de la sieste. M’enfin, pour la sieste, je repasserai, car j’ai encore pas mal à faire dans les jours qui viennent.
Notamment, la Nuit du HackLeHack qui se déroulera à la fin de la semaine ! J’y serai et j’espère pouvoir vous y voir nombreux ! J’aurai le temps de papoter donc n’hésitez pas à venir échanger avec moi ou avec l’équipe de YesWeHack si vous voulez causer bug bounty.
Autrement j’ai sorti la piscine pour les enfants dans le jardin et ça fait un bien fou surtout avec cette petite canicule de fourbe. Piscine + Kindle étanche et c’est parti pour des heures de plaisir.
Au cas où vous ne le saviez pas, tout ce que vous faites ou presque comme acte de « consommation » génère une consommation d’électricité et/ou des émissions de gaz. Et surfer sur le web ne fait pas exception à la règle.
Mais il est difficile de prendre conscience de cela tant qu’on ne peut pas le visualiser. Heureusement, il existe une extension pour Firefox qui s’appelle Carbonalyser et qui permet de savoir combien d’électricité vous consommez et combien de gaz à effet de serre vous produisez en naviguant sur internet.
Le numérique émet aujourd’hui 4 % des gaz à effet de serre du monde, et sa consommation énergétique s’accroît de 9 % par an
The Shift Project
Une fois l’extension installée, il vous suffit de cliquer sur le bouton « Démarrer l’analyse » et de laisser rouler durant l’une de vos journées standard. À la fin de la journée, vous saurez alors combien vous avez passé de temps sur le net, combien de data et de kWh vous avez consommé, et de grammes de Co2 vous avez produit.
23 min de surf, 227 Mo = 1,2 km en voiture, 33 smartphones chargés
Carbonalyser vous donnera alors des équivalents en kilomètres parcourus en voiture ainsi qu’une évaluation en nombre de smartphones rechargés.
Cette extension a été mise au point dans le cadre du Think Thank TheShiftProject (+ d’infos ici). Quant à savoir si les datas que l’extension renvoie sont pertinentes, je ne peux pas me prononcer là-dessus. Mais je pense que nous pouvons quand même changer quelques habitudes (passer moins de temps sur des sites comme Facebook par exemple, acheter moins de gadget, passer en mode lowtech), compenser votre production de Co2 ou planter des centaines d’arbres.
Personnellement, je suis encore assez débutant sur le sujet et il y a tellement d’infos contradictoires qu’il est difficile de savoir ce qu’il y a de plus efficace pour débuter.
Mais pour « commencer », en plus de continuer à réduire encore un peu plus le poids du site, je réfléchis à mettre en place une migration du site chez un hébergeur fonctionnant à 100% sur des énergies renouvelables dès que possible.
Après Age Of Wonders III, voici un autre jeu proposé par Epic Games en téléchargement gratuit jusqu’au 18 juillet : Torchlight.
J’ai joué à ce RPG sorti en 2009, il y a hyper longtemps et il vraiment cool puisque vous y incarnez un héros ou une héroïne qui accompagné de son animal fétiche part explorer les profondeurs du monde souterrain de mines d’Ember.
Les donjons de Torchlight sont infestés de créatures mystérieuses et de trésors et vous devrez gagner les quêtes pour augmenter vos pouvoirs ou acquérir de nouveaux objets mythiques.
J’avais déjà fait un article sur le sujet et beaucoup étaient arrivés après la bataille, mais sachez le, Age of Wonders III est à nouveau proposé gratuitement sur Steam.
Je vous ai parlé des DNS chiffrés et de leur intérêt dans un article précédent, du coup pourquoi ne pas vous partager ce petit tuto trouvé sur Zdnet et dédié au navigateur Firefox. Le seul à gérer les DNS via HTTPS (DNS-over-HTTPS ou DoH) pour l’instant … mais pas par défaut.
Il va donc falloir mettre les mains dans le cambouis mais je sais que vous aimez ça ! 😉 Rassurez-vous c’est simple comme bonjour.
Comment ça marche ?
Le protocole DNS fonctionne en prenant le nom de domaine qu’un utilisateur saisit dans son navigateur et en envoyant une requête à un serveur DNS pour connaître l’adresse IP du serveur Web qui héberge ce site spécifique. Même principe pour les DNS chiffrés sauf que la requête est envoyée à un serveur DNS compatible et qu’elle est chiffrée via HTTPS sur le port 443, plutôt qu’envoyée en clair sur le port 53.
De cette façon, le protocole DoH masque les requêtes DNS au sein d’un trafic HTTPS normal de manière à ce que les observateurs tiers (FAI & Co) ne puissent pas connaitre les requêtes DNS exécutées par les utilisateurs. Ce qui empêche de déterminer quels sont les sites visités.
De plus le protocole fonctionne au niveau des applications, c’est-à-dire que les applis peuvent intégrer en dur une liste de serveurs compatibles vers lesquels envoyer automatiquement les requêtes. Liste qui prend alors le pas sur les DNS paramétrés par défaut présents au niveau de la config de l’OS. Dans la plupart des cas, ces derniers sont définis par votre fournisseur de services Internet.
Les applications prenant en charge DoH peuvent donc contourner assez efficacement les filtres des FAI locaux et accéder à du contenu pouvant être bloqué par un opérateur téléphonique ou un gouvernement local. Ce qui explique pourquoi les DoH font actuellement pas mal de bruit, c’est un pas de plus vers une confidentialité améliorée et une meilleure sécurité des utilisateurs. Et vu comme la surveillance généralisée prend de l’ampleur c’est toujours bon à prendre !
Bon maintenant préparez-vous un café et revenons au super-méchant de l’histoire (enfin selon les FAI britanniques) : Mozilla. Il existe 2 moyens d’activer les DNS via HTTPS dans votre Firefox, mais tout d’abord assurez-vous d’être à jour et d’avoir au minimum la version 62 du navigateur.
Méthode n°1 : Via les paramètres de Firefox (la plus simple)
1. Tapez directement about:preferences dans votre barre d’URL.
2. Dans la section Général (la page par défaut), rendez-vous en bas de page sur Paramètres Réseau et cliquez sur Paramètres.
3. Dans la fenêtre qui va s’ouvrir, vous devrez cocher l’option « Activer le DNS via HTTPS » puis sélectionner votre serveur DNS compatible. Par défaut ce sera le serveur de Cloudflare (Cloudflare 1.1.1.1 mais attention si vous avez une Livebox) avec qui Mozilla a un partenariat, mais vous pouvez aussi personnaliser le choix si nécessaire.
Opter pour Cloudflare est un choix correct car ce dernier collecte très peu de données sur les requêtes DoH provenant d’utilisateurs de Firefox. (D’où le partenariat)
Méthode n° 2 : via le fichier de configuration Firefox (pour les utilisateurs plus avancés)
1. Tapez about:config dans votre barre d’URL et appuyez sur « Entrée ». Vous accéderez alors au panneau de configuration de Firefox dans lequel vous allez devoir modifier 3 petites choses.
2. Le premier paramètre à chercher est celui qui gère le support des DoH, à savoir network.trr.mode. Vous devez passer sa valeur sur 2 (DoH est activé et le DNS normal prend le relais en cas de soucis). Pour modifier la valeur, il suffit de faire un clic droit -> modifier ou de double cliquer sur la ligne.
3. Second paramètre : network.trr.uri . Ce dernier gère l’URL du serveur compatible à contacter, par défaut ce sera donc https://mozilla.cloudflare-dns.com/dns-query, mais comme nous l’avons vu plus haut, d’autres URLs existent.
4. Cette dernière modification n’est pas obligatoire, mais elle servira de « filet de sécurité » en cas ou l’étape précédente ne fonctionne pas. L’option network.trr.bootstrapAddress va vous permettre d’entrer numériquement l’adresse du serveur choisit à l’étape 3. Pour Cloudflare ce sera 1.1.1.1 , pour Google 8.8.8.8. et pour les autres vous aurez besoin de connaitre l’adresse IP du serveur DNS compatible « over HTTPS ».
5. Vous pouvez aussi chiffrer le SNI en modifiant la valeur network.security.esni.enabled à true et en allant vérifier (après redémarrage que cela fonctionne sur le service de Cloudflare. (Merci à DeCo pour l’astuce)
Que vous utilisiez l’une ou l’autre de ces méthodes, tout devrait fonctionner directement. Si ce n’est pas le cas, redémarrez le navigateur et tadam !
Vous profiterez ainsi d’un surf un peu plus sécurisé qu’auparavant.
Le blocage de sites pirates est considéré comme un outil assez efficace par les ayants droit de tous bords. C’est d’ailleurs devenu une mesure importante pour l’industrie du divertissement qui cible ces sites puis demande leur suppression.
La pratique du blocage existe déjà depuis plus d’une décennie et s’est progressivement étendue à des dizaines de pays à travers le monde. Concrètement le blocage d’un site est effectué par les fournisseurs Internet, souvent à la suite d’une décision de justice. Ces mesures peuvent aller du simple blocage DNS à des actions plus élaborées impliquant par exemple « l’indication du nom du serveur » (ou SNI en anglais : Server Name Indication), voire une combinaison des deux.
Et ça ne fonctionne pas trop mal puisque plus de 4000 sites ont déjà étés bloqués dans 31 pays (dont beaucoup sont européens). Pour votre culture générale, sachez que le premier site blacklisté a été AllOfMP3 au Danemark en 2006. Et la tendance s’accélère, car si sur les 10 premières années (2006-2016), seuls environs 1000 sites ont étés bloqués , il y en a eu plus de 3000 depuis (2016-2019). Dont « seulement » une petite quarantaine en France.
Cependant, les experts des réseaux et les fournisseurs d’accès à Internet préviennent que de nouvelles « menaces » anti-blocage se profilent à l’horizon.
La première est l’utilisation accrue des DNS chiffrés (DoH ou DNS over HTTPS). Cela permet de faire passer le trafic DNS via le protocole sécurisé HTTPS. Du coup il est plus difficile pour les gens de l’extérieur, y compris les FAI, d’espionner les sites auxquels les utilisateurs accèdent. Et si le fournisseur ne peut plus voir les sites web visités par ses clients, il a forcément plus de mal à les bloquer.
British Telecom, via Andy Fidler (le principal architecte réseau du groupe), est conscient de ce « problème » et s’en est d’ailleurs ému récemment (vous pouvez retrouver sa présentation dans ce PDF).
«Si les FAI britanniques ne sont plus un passage obligé pour les requêtes DNS, ils risquent de ne pas être en mesure de répondre à certaines demandes de blocage issues de demandes de tribunaux spécifiques », note Fidler dans son exposé.
Il explique également que le blocage DNS est l’action la plus fine et précise qu’il est possible de mener actuellement, et sans elle le blocage devient moins spécifique (blocage via adresse IP du serveur …). Et bien qu’il reconnaisse qu’une plus grande confidentialité pour les utilisateurs n’est pas en soi une mauvaise chose (c’est déjà ça de prit vous me direz) … les blocages de sites web devenus inefficaces, les filtres parentaux rendus inutiles…etc sont considérés comme problématiques.
Mais le processus est déjà bien enclenché et il y a peu de chances qu’un retour en arrière s’effectue. Pour ne citer qu’eux, Cloudflare et Firefox (depuis la v62) supportent déjà les DNS chiffrés et cela devrait se généraliser petit à petit. Car petit à petit l’oiseau fait son SNI (vous l’avez ?).
En effet il faudra aussi compter avec la démocratisation des SNI chiffrés (ESNI – E pour Encrypted) qui permettent d’héberger plusieurs sites web sur une même adresse IP.
Aujourd’hui, alors que HTTPS couvre près de 80% de tout le trafic Web, le fait qu’un SNI classique permette à votre FAI de connaitre tous les sites que vous consultez est devenu une véritable faille en matière de confidentialité. Avec un SNI chiffré, ce ne sera plus le cas. Là encore Firefox et Cloudflare sont précurseurs, d’ailleurs je vous conseille ce très bon article sur le sujet.
Source : Cloudflare
C’est cette combinaison de DNS et SNI chiffrés qui rendra compliqué le travail de censure des fournisseurs d’accès Internet. Attention cela ne veut pas dire pour autant qu’ils ne pourront plus bloquer de sites, juste que ce sera plus difficile et moins précis. Si un site pirate est identifié sur une IP qui est partagée avec d’autres, l’IP pourra toujours être bloquée. Mais les autres sites (peut être tout à fait légitimes) vont morfler en même temps, et ça va hurler dans tous les sens.
Bref nous allons encore voir de nombreux sites disparaître avant que tout cela ne devienne la norme, et même lorsque ce sera le cas, ce ne sera pas la fête du slip pour autant. Il faudra sans doute encore plusieurs années avant que les réseaux et les navigateurs ne supportent tous les DoH et ESNI et d’ici là d’autres moyens / protocoles auront fait leurs apparitions dans cette course sans fin.
