Cloudflare classe archive.today comme « C&C/Botnet », résolution impossible via 1.1.1.2

 (radar.cloudflare.com)
1 points par GN⁺ 2026-03-23 | 1 commentaires | Partager sur WhatsApp
  • Le service DNS de Cloudflare a classé le domaine archive.today comme un site lié à un centre de commande et de contrôle (C&C) ou à un botnet
  • En conséquence, via le DNS de sécurité 1.1.1.2, ce domaine ne se résout pas correctement
  • Lors de l’accès à la page radar.cloudflare.com, une procédure de vérification anti-bot est automatiquement exécutée
  • Les utilisateurs doivent activer JavaScript et les cookies, et le message « Vérification de sécurité en cours » s’affiche
  • Cette procédure fait partie du mécanisme de sécurité de Cloudflare visant à bloquer les bots malveillants et à protéger le trafic légitime

Procédure de vérification de sécurité lors de l’accès à radar.cloudflare.com

  • radar.cloudflare.com applique un service de sécurité destiné à se protéger contre les bots malveillants
    • Une procédure de vérification anti-bot est exécutée afin de confirmer que l’utilisateur est bien une personne réelle
    • Durant ce processus, JavaScript et les cookies doivent être activés
  • La page affiche le message « Vérification de sécurité en cours » ainsi qu’un état d’attente de confirmation de l’utilisateur
    • Une fois la vérification terminée, le message « Vérification réussie. En attente de la réponse de radar.cloudflare.com » apparaît
  • Cette procédure fait partie du système de protection de sécurité de Cloudflare, destiné à bloquer les accès automatisés et à n’autoriser que le trafic légitime

À lire aussi

1 commentaires

 
GN⁺ 2026-03-23
Avis sur Hacker News

  • archive.today et ses domaines sont classés par le DNS 1.1.1.2 de Cloudflare dans des catégories comme CIPA Filter, Command and Control & Botnet et DNS Tunneling
    Dans un exemple de requête, archive.is renvoie 0.0.0.0 avec l’annotation "EDE(16): Censored"
    Parmi les discussions liées, on trouve un billet affirmant qu’Archive.today a mené une attaque DDoS contre un blog, un cas où Wikipedia a commencé à supprimer des liens archive.today et un message demandant des explications sur le comportement étrange d’archive.today

  • Je pense qu’il faut voir cette affaire sous deux angles. L’un concerne l’attaque contre le blog, l’autre le fait qu’archive.today fait l’objet d’une enquête du FBI
    Par ailleurs, une organisation ferait pression au moyen de fausses accusations de CSAM
    Voir l’article sur l’assignation du FBI et l’explication d’AdGuard sur le blocage

    • Jani Patokallio de gyrovague.com a publié un billet de blog visant à doxxer l’opérateur d’archive.today
      Il affirme avoir enquêté parce qu’il trouvait étrange de ne pas savoir qui gère un service aussi largement utilisé
      Mais archive.today est un projet d’archivage d’intérêt public proposé gratuitement. Son opérateur maintient le service en assumant des risques juridiques
      À mes yeux, tenter de révéler l’identité réelle de quelqu’un est bien plus grave qu’un DDoS. Ce genre de comportement relève davantage du harcèlement obsessionnel que du simple soutien excessif
    • Au final, il existe donc deux visions: archive.today commettrait des actes illégaux, tout en faisant parallèlement l’objet d’une enquête des autorités judiciaires américaines
    • Un autre point de vue soutient aussi qu’archive.today peut favoriser des violations du droit d’auteur. Il m’arrive moi-même de l’utiliser pour contourner des paywalls

  • Cloudflare se comporte, selon moi, comme une façade de services de renseignement secrets. Avec des organisations comme Spamhaus, l’entreprise exerce un pouvoir excessif

  • Si vous vous demandez pourquoi un DNS public bloque un site, 1.1.1.2 est un DNS destiné au blocage des malwares. Ce n’est pas la même chose que le 1.1.1.1 classique
    Pour le contexte lié au DDoS, voir gyrovague.com

    • À noter que 1.1.1.3 est un DNS destiné au blocage des contenus pour adultes
    • Je pensais que 1.1.1.1/1.0.0.1 ne résolvaient déjà plus non plus des domaines comme archive.today

  • J’ai déjà lu le billet de blog de quelqu’un qui travaillait autrefois chez Google Europe et qui, après avoir souvent utilisé archive.today, avait essayé de retrouver l’opérateur
    Il avait fini par abandonner en concluant qu’il aimerait au moins lui offrir une bière, mais son enquête était allée assez loin

    • Il s’agit probablement de ce billet. C’était controversé, mais je l’ai trouvé intéressant à lire. Certains y voient du doxxing, moi non

  • L’attaque d’archive.today contre gyrovague.com dure depuis plus de deux mois
    Les IP situées en Finlande se retrouvent dans une boucle infinie de CAPTCHA, et une fois le premier CAPTCHA passé, un snippet JS se met à appeler en spam la fonction de recherche du site

    • Je ne suis pas développeur web, mais je me demande s’il n’y aurait pas un moyen d’empêcher l’exécution de ce type de script via des en-têtes CORS ou du contrôle d’accès
    • J’observe la même boucle infinie de CAPTCHA avec une IP de Californie du Sud. Soit quelque chose dysfonctionne gravement, soit c’est malveillant
    • Je me demande si bloquer le JavaScript d’archive.today avec NoScript suffit bien à ne pas participer au DDoS
    • Je ne comprends pas pourquoi archive.today attaque gyrovague
    • L’accès est bloqué non seulement depuis des IP finlandaises, mais aussi via VPN, donc je cherche un service de remplacement

  • La chronologie de cette affaire est intéressante
    (1) En mai 2019, un message signalait qu’archive.is était inaccessible via « Cloudflare DNS (1.1.1.1) », et Cloudflare avait répondu: « nous ne bloquons aucun domaine »
    Cloudflare expliquait qu’archive.is renvoyait une mauvaise réponse à cause de la politique de 1.1.1.1, qui ne transmet pas les informations de sous-réseau EDNS
    Cloudflare disait ne pas transmettre ces informations pour protéger la vie privée des utilisateurs et empêcher la surveillance à l’échelle nationale
    (2) En septembre 2021, une discussion de suivi demandait: « Cloudflare 1.1.1.1 bloque-t-il archive.is ? »

    • Le 1.1.1.1 mentionné plus haut est le résolveur par défaut de Cloudflare, tandis que 1.1.1.2 et 1.1.1.3 servent au blocage de malwares et de contenus

  • Rien qu’en lisant ce fil, on a l’impression que plusieurs personas liés à archive.today sont actifs en même temps. Cela ressemble à des sockpuppets ou à une opération plus large

  • Sans archive.today, une bonne partie des messages HN n’aurait pas pu être lue

    • C’est probablement une confusion avec archive.org

  • Les classifications DNS Tunneling et C&C/botnet paraissent étranges. Cela ne renvoie pas à un simple crawl, mais plutôt à de l’exfiltration de données ou à un contournement de pare-feu
    Je me demande quel type de trafic a pu déclencher une telle classification