Manipulation de l'espace des noms de domaine
La manipulation de l'espace des noms de domaine (en anglais : DNS hijacking, DNS redirection ou DNS mangling) consiste, pour un opérateur, à altérer délibérément les informations du DNS avant leur transmission au client.
Le recours à cette technique est controversé. Les détracteurs qualifient un serveur qui manipule les données de DNS menteur.
Utilisation
modifierUne utilisation fréquente de cette technique consiste à remplacer les indications NXDOMAIN (fournies quand un nom de domaine n'existe pas) par l'adresse d'un serveur qui propose des services ou de la publicité. Cette altération est opérée au niveau des serveurs DNS récursifs des fournisseurs d'accès à Internet ou d'opérateurs de serveurs récursifs ouverts et peut être effective à n'importe quel niveau de la hiérarchie DNS.
Le RFC 4924[1] (section 2.5.2) mentionne ce cas de substitution et relève les problèmes qu'il cause dans le cadre de DNSSEC. L'Afnic a vivement critiqué le recours à cette technique dans un communiqué[2] concluant que « Ces manipulations ne devraient donc jamais être imposées aux utilisateurs de l'Internet ».
Une technique apparentée, nommée joker ou synthesized answer, est également possible au niveau du registre de noms de domaine (domain name registry), c'est-à-dire le gestionnaire d'un domaine de premier niveau. La substitution se limite alors aux noms de domaine de 2e niveau inexistants dépendant du registre en question. Cette méthode avait déjà été utilisée par Verisign pour les noms de domaines inexistants sous .com et .net en 2003 et redirigeait les internautes vers le site Site Finder quand ils tentaient d'accéder à un domaine non défini[3].
L'ICANN s'est exprimé défavorablement vis-à-vis de ces techniques dans un document daté de [4].
Cas pratiques
modifierEn , Comcast avait créé une polémique en annonçant le déploiement de cette technique[5].
Au mois d', le fournisseur d'accès SFR s'est également essayé à la mise en place de serveurs « DNS menteurs » à destination de ses clients. L'information[6] a suscité une vive réaction des acteurs de l'Internet en France[7],[8],[9].
En dépit des critiques qui indiquent une entrave à la neutralité du réseau ainsi que, dans certains cas, à la sécurité, SFR a expliqué que cette pratique avait essentiellement pour objet de « faciliter la vie des clients »[10]. Les clients n'ont cependant pas eu le choix d'y adhérer ou non.
Le , le FAI Free déploie sur sa Freebox Révolution la mise à jour 1.1.9[11] qui inclut un bloqueur de publicité activé par défaut (dans un 1er temps), basé sur des DNS menteurs[12]. Les DNS menteurs sont parfois utilisé dans les portails captifs.
Exemple
modifierLe domaine xxx.wikipedia.org n'existant pas, il donnera lieu soit à une erreur dans le navigateur, soit à une redirection vers la page du fournisseur d'accès à Internet si la manipulation DNS est en service.
Références
modifier- (en) « Reflections on Internet Transparency », Request for comments no 4924,
- (en) « Warning on Internet Transparency and Neutrality (RFC 4924) » [« Avertissement sur la transparence et la neutralité technique de l'Internet (RFC 4924) »], (consulté le )
- Paul Vixie on Verisign, septembre 2003
- Harms Caused by NXDOMAIN Substitution in Top-level and Other Registry-class Domain Names
- Domain Helper service: Here to help you
- Des DNS menteurs chez SFR par Romain Le Disez, , sur frnog.org
- Neutralité : des DNS menteurs chez SFR, de vraies plaintes
- Avec ses DNS menteurs, SFR se substitue au navigateur
- SFR violerait la neutralité du net avec un DNS menteur
- DNS menteurs : les justifications officielles de SFR
- Mise à jour Freebox Server 1.1.9 par Florian Fainelli, , sur dev.freebox.fr/blog
- Comment Free bloque les pubs par Stéphane Bortzmeyer, , sur www.bortzmeyer.org
Voir aussi
modifierLiens externes
modifier- Les réponses à la consultation publique sur la neutralité de l'Internet en 2010 (la réponse de l'AFNIC discute le cas des DNS menteurs)
- Stéphane Bortzmeyer, Le déploiement des résolveurs DNS menteurs,