Manipulation de l'espace des noms de domaine

altéreration volontaire des informations du DNS
(Redirigé depuis Dns menteurs)

La manipulation de l'espace des noms de domaine (en anglais : DNS hijacking, DNS redirection ou DNS mangling) consiste, pour un opérateur, à altérer délibérément les informations du DNS avant leur transmission au client.

Le recours à cette technique est controversé. Les détracteurs qualifient un serveur qui manipule les données de DNS menteur.

Utilisation

modifier

Une utilisation fréquente de cette technique consiste à remplacer les indications NXDOMAIN (fournies quand un nom de domaine n'existe pas) par l'adresse d'un serveur qui propose des services ou de la publicité. Cette altération est opérée au niveau des serveurs DNS récursifs des fournisseurs d'accès à Internet ou d'opérateurs de serveurs récursifs ouverts et peut être effective à n'importe quel niveau de la hiérarchie DNS.

Le RFC 4924[1] (section 2.5.2) mentionne ce cas de substitution et relève les problèmes qu'il cause dans le cadre de DNSSEC. L'Afnic a vivement critiqué le recours à cette technique dans un communiqué[2] concluant que « Ces manipulations ne devraient donc jamais être imposées aux utilisateurs de l'Internet ».

Une technique apparentée, nommée joker ou synthesized answer, est également possible au niveau du registre de noms de domaine (domain name registry), c'est-à-dire le gestionnaire d'un domaine de premier niveau. La substitution se limite alors aux noms de domaine de 2e niveau inexistants dépendant du registre en question. Cette méthode avait déjà été utilisée par Verisign pour les noms de domaines inexistants sous .com et .net en 2003 et redirigeait les internautes vers le site Site Finder quand ils tentaient d'accéder à un domaine non défini[3].

L'ICANN s'est exprimé défavorablement vis-à-vis de ces techniques dans un document daté de [4].

Cas pratiques

modifier

En , Comcast avait créé une polémique en annonçant le déploiement de cette technique[5].

Au mois d', le fournisseur d'accès SFR s'est également essayé à la mise en place de serveurs « DNS menteurs » à destination de ses clients. L'information[6] a suscité une vive réaction des acteurs de l'Internet en France[7],[8],[9].

En dépit des critiques qui indiquent une entrave à la neutralité du réseau ainsi que, dans certains cas, à la sécurité, SFR a expliqué que cette pratique avait essentiellement pour objet de « faciliter la vie des clients »[10]. Les clients n'ont cependant pas eu le choix d'y adhérer ou non.

Le , le FAI Free déploie sur sa Freebox Révolution la mise à jour 1.1.9[11] qui inclut un bloqueur de publicité activé par défaut (dans un 1er temps), basé sur des DNS menteurs[12]. Les DNS menteurs sont parfois utilisé dans les portails captifs.

Exemple

modifier

Le domaine xxx.wikipedia.org n'existant pas, il donnera lieu soit à une erreur dans le navigateur, soit à une redirection vers la page du fournisseur d'accès à Internet si la manipulation DNS est en service.

Références

modifier

Voir aussi

modifier

Liens externes

modifier