Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierTech Généraliste

Le DNS souverain européen DNS4EU forcé par la justice française de bloquer des sites pirates

✇Korben
Par : Vincent Lautier
29 avril 2026 à 13:44

Coup dur pour DNS4EU. Le résolveur DNS public co-financé par la Commission européenne, présenté il y a moins d'un an comme l'alternative souveraine à Google et Cloudflare, doit désormais bloquer une trentaine de domaines de streaming pirate, sur ordre du tribunal judiciaire de Paris.

La décision date du 17 avril, après deux ordonnances réclamées par Canal+ et restées sans réponse côté défense.

Concrètement, l'ordonnance vise 37 domaines au total, répartis entre 16 sites qui diffusaient illégalement le MotoGP et 21 autres qui faisaient pareil avec la Formule 1. On y retrouve des grands classiques de l'IPTV pirate comme daddylive3.comiptvsupra.com ou king365tv.me.

Whalebone, la société tchèque qui opère DNS4EU pour le compte de l'Union européenne, doit donc rentrer ces noms de domaine dans son moteur de blocage et empêcher leur résolution depuis la France.

Sauf que la mesure déborde déjà du territoire français. Le blocage est appliqué même pour des utilisateurs basés hors de France, ce qui pose une vraie question de juridiction et de portée extraterritoriale d'une décision parisienne sur un service censé desservir 450 millions d'Européens. 

Bref, le DNS public européen finit par être plus restrictif que prévu, et pas vraiment dans le sens où Bruxelles l'avait vendu.

L'autre détail gênant : Whalebone n'a même pas comparu à l'audience du 19 février. Le tribunal a donc statué par défaut, en faveur de Canal+, sans le moindre argument contradictoire. Difficile de mieux perdre un procès.

La société tchèque, qui s'est vendue auprès de Bruxelles comme un acteur clé de la souveraineté numérique européenne, va devoir s'expliquer sur cette absence.

En pratique, ce genre de blocage DNS reste contournable en quelques minutes par n'importe quel utilisateur un peu débrouillard, qui n'a qu'à changer son résolveur dans les paramètres système pour pointer ailleurs. Mais la portée symbolique est assez moche, parce qu'elle inscrit DNS4EU dans la même logique de contrôle que les services qu'il prétendait justement remplacer.

Et ce n'est pas la première fois que la justice française élargit le périmètre. Depuis 2024, les ordonnances de blocage anti-piratage ont visé successivement les FAI, puis les résolveurs DNS de Google, Cloudflare et Cisco, puis les VPN comme NordVPN ou ExpressVPN, et désormais le DNS souverain européen lui-même.

Canal+ s'appuie à chaque fois sur l'article L.333-10 du Code du sport, qui permet de viser "toute personne susceptible de contribuer" à remédier au piratage.

Bref, un DNS public financé par l'UE pour protéger les Européens, qui finit forcé de filtrer hors de ses frontières par un tribunal national. C'est un peu n'importe quoi.

Source : TorrentFreak

Technitium - Le DNS qui remplace Pi-hole, Unbound, BIND

✇Korben
Par : Korben ✨
28 avril 2026 à 08:43

Et si vous aviez UN seul soft qui bloque les pubs comme Pi-hole, qui parle DoH/DoT/DoQ comme AdGuard Home, ET qui sait faire du serveur DNS faisant autorité pour vos zones perso ?

Hé bien c'est exactement ce que fait Technitium DNS Server , un projet open source sous licence GPLv3 maintenu par TechnitiumSoftware. Concrètement, avec ce truc, vous obtenez un résolveur récursif, un sinkhole avec blocklists, et un serveur de zones (Primary, Secondary, Stub) dans le même process. Du coup, pour un homelab type, fini d'empiler Pi-hole + Unbound + BIND, tout est dans la même console web !

Pour démarrer sur Linux ou Raspberry Pi, l'installeur officiel fait tout en moins d'une minute :

curl -sSL https://download.technitium.com/dns/install.sh | sudo bash

Sinon Docker marche aussi avec docker pull technitium/dns-server:latest. Vous tapez ensuite http://localhost:5380/ dans le navigateur, login admin/admin (à changer dare-dare !), et hop, vous êtes dans la console web. Le serveur tourne direct, faudra juste pointer votre routeur ou vos clients dessus pour qu'il filtre tout le réseau.

La console web Technitium - tableau de bord principal

Côté blocage, la console propose un Quick Add pour piocher direct dans les block lists populaires (du style Hagezi). Les listes se mettent à jour quotidiennement, et l'app interne Advanced Blocking gère même des regex et des listes différentes par IP ou sous-réseau client. Pratique, non ?

Genre du blocage strict pour la tablette du salon, plus permissif sur votre ordi, et un mode safe-search obligatoire pour la chambre des gosses. Notez quand même que certaines Smart TV Samsung ou apps gaming hardcodent leur DNS, du coup faudra ajouter une règle de routage sur le firewall de la box pour vraiment forcer Technitium.

L'écran d'ajout des block lists, avec le bouton Quick Add

Niveau protocoles, c'est du costaud : DNS-over-TLS, DNS-over-HTTPS (HTTP/1.1, HTTP/2, HTTP/3), DNS-over-QUIC, plus le DNS-over-PROXY-protocol pour les load balancers. Y'a aussi le DNSSEC complet (RSA, ECDSA, EdDSA, NSEC/NSEC3, DANE TLSA), les transferts de zones AXFR/IXFR, le routage Tor pour les forwarders, et le support du Cloudflare hidden DNS resolver. Soit le set qu'on attend chez un FAI sérieux.

Côté perfs, le serveur encaisse plus de 100 000 requêtes/seconde sur du Gigabit Ethernet d'après les benchs officiels. Sur un Raspberry Pi 4 avec 2 Go de RAM, ça tourne peinard pour une famille de 4 (genre 200 à 300 Mo de RAM en charge avec Hagezi Pro et ses 750 000 entrées, donc carrément de la marge).

Et y'a aussi un DHCP multi-réseaux, du clustering, du SSO via OpenID Connect, du 2FA TOTP, plus des apps internes pour DNS64 (clients IPv6-only), DNS Rebinding Protection, et Advanced Forwarding. Tout ça pour un soft destiné à tourner chez vous.

Côté zones, on peut monter du Primary (zone classique gérée localement), du Secondary (réplique d'une autre zone), du Stub, ou du Conditional Forwarder, plus du Catalog Zones pour ceux qui automatisent à grande échelle. Pratique pour gérer un domaine perso, un homelab entier, ou un split-horizon entre réseau interne et externe. Pas mal pour un soft "maison".

À noter quand même quelques pièges. À part sur Linux et Raspberry Pi où ça tourne nickel, sous Windows 10/11 c'est plus chaotique : Internet Connection Sharing, Hyper-V, Docker Desktop et Defender Application Guard squattent tous le port 53, donc faudra changer le port d'écoute si vous tournez sur un poste de travail. Y'a même des cas tordus où Hyper-V garde le port après désinstallation, et le seul fix c'est un net stop hns ou un reboot complet.

Si vous chargez beaucoup de blocklists volumineuses, la RAM grimpe vite (les pros conseillent de consolider sur une seule liste comme Hagezi Pro). Le cache est aussi froid au premier démarrage, donc les premières requêtes prennent leur temps avant que tout se fluidifie (genre 30 secondes à 1 minute pour redevenir réactif, donc évitez de rebooter en pleine visio).

Mais avec tout ça, vous gagnez un truc rare : un seul outil pour filtrer pubs et trackers à l'échelle du réseau (utile à l'heure où certains pays parlent de criminaliser les bloqueurs côté navigateur ), résoudre vos requêtes en récursif, et héberger vos propres zones DNS. Tout ça avec une UI web qui supporte le dark mode (oui, ça compte aussi ^^).

Bref, franchement à tester si vous voulez la main complète sur votre infrastructure DNS sans bricoler 3 softs en parallèle. Sur un Pi à 35 balles posé derrière la box, ça dépote sa race. Le projet est sur GitHub, le site officiel est ici, et merci à Axala sur Discord pour le tuyau !

Source

❌
❌