Manipulation de l'espace des noms de domaine

Cet article est une ébauche concernant Internet.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

La manipulation de l'espace des noms de domaine (en anglais : DNS hijacking, DNS redirection ou DNS mangling) consiste, pour un opérateur, à altérer délibérément les informations du DNS avant leur transmission au client.

Le recours à cette technique est controversé. Les détracteurs qualifient un serveur qui manipule les données de DNS menteur.

Utilisation modifier

Une utilisation fréquente de cette technique consiste à remplacer les indications NXDOMAIN (fournies quand un nom de domaine n'existe pas) par l'adresse d'un serveur qui propose des services ou de la publicité. Cette altération est opérée au niveau des serveurs DNS récursifs des fournisseurs d'accès à Internet ou d'opérateurs de serveurs récursifs ouverts et peut être effective à n'importe quel niveau de la hiérarchie DNS.

Le RFC 4924^[1] (section 2.5.2) mentionne ce cas de substitution et relève les problèmes qu'il cause dans le cadre de DNSSEC. L'AFNIC a vivement critiqué le recours à cette technique dans un communiqué^[2] concluant que « Ces manipulations ne devraient donc jamais être imposées aux utilisateurs de l'Internet ».

Une technique apparentée, nommée joker ou synthesized answer, est également possible au niveau du registre de noms de domaine (domain name registry), c'est-à-dire le gestionnaire d'un domaine de premier niveau. La substitution se limite alors aux noms de domaine de 2^e niveau inexistants dépendant du registre en question. Cette méthode avait déjà été utilisée par Verisign pour les noms de domaines inexistants sous .com et .net en 2003 et redirigeait les internautes vers le site Site Finder quand ils tentaient d'accéder à un domaine non défini^[3].

L'ICANN s'est exprimé défavorablement vis-à-vis de ces techniques dans un document daté de novembre 2009^[4].

Cas pratiques modifier

En juillet 2009, Comcast avait créé une polémique en annonçant le déploiement de cette technique^[5].

Au mois d'août 2009, le fournisseur d'accès SFR s'est également essayé à la mise en place de serveurs « DNS menteurs » à destination de ses clients. L'information^[6] a suscité une vive réaction des acteurs de l'Internet en France^[7]^,^[8]^,^[9].

En dépit des critiques qui indiquent une entrave à la neutralité du réseau ainsi que, dans certains cas, à la sécurité, SFR a expliqué que cette pratique avait essentiellement pour objet de « faciliter la vie des clients »^[10]. Les clients n'ont cependant pas eu le choix d'y adhérer ou non.

Le 3 janvier 2013, le FAI Free déploie sur sa Freebox Révolution la mise à jour 1.1.9^[11] qui inclut un bloqueur de publicité activé par défaut (dans un 1^er temps), basé sur des DNS menteurs^[12]. Les DNS menteurs sont parfois utilisé dans les portails captifs.

Exemple modifier

Le domaine xxx.wikipedia.org n'existant pas, il donnera lieu soit à une erreur dans le navigateur, soit à une redirection vers la page du fournisseur d'accès à Internet si la manipulation DNS est en service.

Références modifier

↑ (en) « Reflections on Internet Transparency », Request for comments n^o 4924, juillet 2007
↑ (en) « Warning on Internet Transparency and Neutrality (RFC 4924) » [« Avertissement sur la transparence et la neutralité technique de l'Internet (RFC 4924) »], 9 octobre 2007 (consulté le 6 juin 2022)
↑ Paul Vixie on Verisign, septembre 2003
↑ Harms Caused by NXDOMAIN Substitution in Top-level and Other Registry-class Domain Names
↑ Domain Helper service: Here to help you
↑ Des DNS menteurs chez SFR par Romain Le Disez, 7 août 2009, sur frnog.org
↑ Neutralité : des DNS menteurs chez SFR, de vraies plaintes
↑ Avec ses DNS menteurs, SFR se substitue au navigateur
↑ SFR violerait la neutralité du net avec un DNS menteur
↑ DNS menteurs : les justifications officielles de SFR
↑ Mise à jour Freebox Server 1.1.9 par Florian Fainelli, 2 janvier 2013, sur dev.freebox.fr/blog
↑ Comment Free bloque les pubs par Stéphane Bortzmeyer, 5 janvier 2013, sur www.bortzmeyer.org

Voir aussi modifier

Liens externes modifier

Les réponses à la consultation publique sur la neutralité de l'Internet en 2010 (la réponse de l'AFNIC discute le cas des DNS menteurs)
Stéphane Bortzmeyer, Le déploiement des résolveurs DNS menteurs, 16 juillet 2009

Portail d’Internet

[RFC-4924-t-d-1] (en) « Reflections on Internet Transparency », Request for comments n^o 4924, juillet 2007

[2] (en) « Warning on Internet Transparency and Neutrality (RFC 4924) » [« Avertissement sur la transparence et la neutralité technique de l'Internet (RFC 4924) »], 9 octobre 2007 (consulté le 6 juin 2022)

[3] Paul Vixie on Verisign, septembre 2003

[4] Harms Caused by NXDOMAIN Substitution in Top-level and Other Registry-class Domain Names

[5] Domain Helper service: Here to help you

[6] Des DNS menteurs chez SFR par Romain Le Disez, 7 août 2009, sur frnog.org

[7] Neutralité : des DNS menteurs chez SFR, de vraies plaintes

[8] Avec ses DNS menteurs, SFR se substitue au navigateur

[9] SFR violerait la neutralité du net avec un DNS menteur

[10] DNS menteurs : les justifications officielles de SFR

[11] Mise à jour Freebox Server 1.1.9 par Florian Fainelli, 2 janvier 2013, sur dev.freebox.fr/blog

[12] Comment Free bloque les pubs par Stéphane Bortzmeyer, 5 janvier 2013, sur www.bortzmeyer.org

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]