- Manipulation de l'espace des noms de domaine
-
La manipulation de l'espace des noms de domaine (DNS Mangling) consiste, pour un opérateur, a altérer délibérément les informations du DNS avant leur transmission au client. Le recours a cette technique est controversé. Les détracteurs qualifient les serveurs qui manipulent les données de « DNS menteurs ».
Sommaire
Utilisation
Une utilisation fréquente de cette technique consiste à remplacer les indications NXDOMAIN (fournies quand un nom de domaine n'existe pas) par l'adresse d'un serveur qui propose des services ou de la publicité. Cette altération est opérée au niveau des serveurs DNS récursifs des fournisseurs d'accès à Internet ou d'opérateurs de serveurs récursifs ouverts et peut être effectif à n'importe quel niveau de la hiérarchie DNS.
La RFC 4924 (section 2.5.2) mentionne ce cas de substitution et relève les problèmes qu'il cause dans le cadre de DNSSEC. L'AFNIC a vivement critiqué le recours a cette technique dans un communiqué[1] concluant que « Ces manipulations ne devraient donc jamais être imposées aux utilisateurs de l'internet ».
Une technique apparentée, nommée joker ou synthesized answer, est également possible au niveau de la registry, c'est-à-dire le gestionnaire d'un domaine de premier niveau. La substitution se limite alors au noms de domaine de 2e niveau inexistants dépendant de la registry en question. Cette méthode avait déjà été utilisée par VeriSign pour les noms de domaines inexistants sous .com et .net en 2003 et redirigeait les internautes vers le site Site Finder (en) quand ils tentaient d'accéder à un domaine non défini[2].
L'ICANN s'est exprimé défavorablement vis-à-vis de ces techniques dans un document daté de novembre 2009[3].
Cas pratiques
En juillet 2009, Comcast avait créé une polémique en annonçant le déploiement de cette technique[4].
Au mois d'août 2009, le fournisseur d'accès SFR s'est également essayé à la mise en place de serveurs « DNS menteurs » à destination de ses clients. L'information[5], a suscité une vive réaction des acteurs de l'Internet en France[6],[7],[8].
En dépit des critiques qui indiquent une entrave à la neutralité du réseau ainsi que, dans certains cas, à la sécurité, SFR a expliqué que cette pratique avait essentiellement pour objet de « faciliter la vie des clients »[9]. Les clients n'ont cependant pas eu le choix d'y adhérer ou non.
Exemple
- http://xxx.wikipedia.org/ ce nom de domaine n'existant pas, il donnera lieu soit à une erreur dans le navigateur, soit à une redirection vers la page du fournisseur d'accès à Internet si la manipulation DNS est en service.
Lien externe
- Les réponses à la consultation publique sur la neutralité de l'Internet en 2010. Celle de l'AFNIC discute le cas des DNS menteurs.
Références
- Avertissement sur la transparence et la neutralité technique de l'internet (RFC 4924)
- Paul Vixie on VeriSign, septembre 2003
- Harms Caused by NXDOMAIN Substitution in Top-level and Other Registry-class Domain Names
- Domain Helper service: Here to help you
- Des DNS menteurs chez SFR par Romain Le Disez, 7 août 2009, sur frnog.org
- Neutralité : des DNS menteurs chez SFR, de vraies plaintes
- Avec ses DNS menteurs, SFR se substitue au navigateur
- SFR violerait la neutralité du net avec un DNS menteur
- DNS menteurs : les justifications officielles de SFR
Wikimedia Foundation. 2010.
