Manipulation de l'espace des noms de domaine

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

La manipulation de l'espace des noms de domaine (DNS Mangling) consiste, pour un opérateur, à altérer délibérément les informations du DNS avant leur transmission au client. Le recours à cette technique est controversé. Les détracteurs qualifient les serveurs qui manipulent les données de « DNS menteurs ».

Utilisation[modifier | modifier le code]

Une utilisation fréquente de cette technique consiste à remplacer les indications NXDOMAIN (fournies quand un nom de domaine n'existe pas) par l'adresse d'un serveur qui propose des services ou de la publicité. Cette altération est opérée au niveau des serveurs DNS récursifs des fournisseurs d'accès à Internet ou d'opérateurs de serveurs récursifs ouverts et peut être effectif à n'importe quel niveau de la hiérarchie DNS.

La RFC 4924 (section 2.5.2) mentionne ce cas de substitution et relève les problèmes qu'il cause dans le cadre de DNSSEC. L'AFNIC a vivement critiqué le recours à cette technique dans un communiqué[1] concluant que « Ces manipulations ne devraient donc jamais être imposées aux utilisateurs de l'internet ».

Une technique apparentée, nommée joker ou synthesized answer, est également possible au niveau de la registry, c'est-à-dire le gestionnaire d'un domaine de premier niveau. La substitution se limite alors au noms de domaine de 2e niveau inexistants dépendant de la registry en question. Cette méthode avait déjà été utilisée par Verisign pour les noms de domaines inexistants sous .com et .net en 2003 et redirigeait les internautes vers le site Site Finder (en) quand ils tentaient d'accéder à un domaine non défini[2].

L'ICANN s'est exprimé défavorablement vis-à-vis de ces techniques dans un document daté de novembre 2009[3].

Cas pratiques[modifier | modifier le code]

En juillet 2009, Comcast avait créé une polémique en annonçant le déploiement de cette technique[4].

Au mois d'août 2009, le fournisseur d'accès SFR s'est également essayé à la mise en place de serveurs « DNS menteurs » à destination de ses clients. L'information[5], a suscité une vive réaction des acteurs de l'Internet en France[6],[7],[8].

En dépit des critiques qui indiquent une entrave à la neutralité du réseau ainsi que, dans certains cas, à la sécurité, SFR a expliqué que cette pratique avait essentiellement pour objet de « faciliter la vie des clients »[9]. Les clients n'ont cependant pas eu le choix d'y adhérer ou non.

Le 3 janvier 2013 le FAI Free déploie sur sa Freebox Révolution la mise à jour 1.1.9[10] qui inclut un bloqueur de publicité activé par défaut (dans un 1er temps), basé sur des DNS menteurs[11].


Exemple[modifier | modifier le code]

  • http://xxx.wikipedia.org/ ce nom de domaine n'existant pas, il donnera lieu soit à une erreur dans le navigateur, soit à une redirection vers la page du fournisseur d'accès à Internet si la manipulation DNS est en service.

Lien externe[modifier | modifier le code]

Références[modifier | modifier le code]

  1. Avertissement sur la transparence et la neutralité technique de l'internet (RFC 4924)
  2. Paul Vixie on Verisign, septembre 2003
  3. Harms Caused by NXDOMAIN Substitution in Top-level and Other Registry-class Domain Names
  4. Domain Helper service: Here to help you
  5. Des DNS menteurs chez SFR par Romain Le Disez, 7 août 2009, sur frnog.org
  6. Neutralité : des DNS menteurs chez SFR, de vraies plaintes
  7. Avec ses DNS menteurs, SFR se substitue au navigateur
  8. SFR violerait la neutralité du net avec un DNS menteur
  9. DNS menteurs : les justifications officielles de SFR
  10. Mise à jour Freebox Server 1.1.9 par Florian Fainelli, 2 janvier 2013, sur dev.freebox.fr/blog
  11. Comment Free bloque les pubs par Stéphane Bortzmeyer, 5 janvier 2013, sur www.bortzmeyer.org