SlideShare une entreprise Scribd logo

Conséquences du filtrage Internet par le DNS

Afnic
Afnic

Le conseil scientifique de l’Afnic s'est penché sur la technique du filtrage Internet par le DNS et partage son rapport.

1  sur  6
Télécharger pour lire hors ligne
Conséquences du filtrage Internet par le DNS 1 Rapport du Conseil scientifique de l’Afnic Conséquences du filtrage Internet par le DNS Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr
Conséquences du filtrage Internet par le DNS 2 Conséquences du filtrage Internet par le DNS 1 En France et dans le monde, le filtrage dans l’Internet a été au cœur de récents événements 2 et abordé dans des décrets ou projets de lois (ARJEL 3, LOPPSI24, SOPA 5, PIPA 6...). Les initiatives législatives ou réglementaires concernent différents domaines, comme la protection contre les virus ou malwares, la protection de l’enfance contre la pédopornographie, l’interdiction d’accès à des sites de jeux en lignes non autorisés ou la lutte contre le piratage. Le filtrage, ou blocage, peut s’effectuer aussi bien au niveau des adresses IP que des noms de domaines. Dans ce document, le conseil scientifique de l’Afnic fait le point sur les techniques pouvant être employées lorsque le filtrage intervient au niveau du nommage dans le DNS (Domain Name System, et les conséquences prévisibles de ce type de mesures. 1. Filtrage des noms de domaines Le filtrage consiste à modifier le processus normal de résolution d’un nom d’un serveur vers une adresse IP soit en bloquant la réponse, soit en répondant un message d’erreur, soit en retournant l’adresse d’un autre serveur indiquant généralement que l’accès à ce site est interdit. Contrairement aux réseaux téléphoniques qui reposent sur une infrastructure dédiée, le service DNS s’appuie, comme les autres services Internet qui l’utilisent (Web, Mail…), sur le réseau Internet lui-même, pour échanger des données. Il est à noter que le DNS est arrivé relativement tardivement dans l’histoire de l’Internet quand les noms des équipements connectés ne pouvaient plus être stockés dans un simple fichier 7. 1 Ce texte reprend notamment des extraits d’un document de référence produit par CENTR, l’organisation européenne des registres de premier niveau de l’Internet, http://centr.org/system/files/agenda/attachment/centr-paper-blocking-20120302.pdf 2 À titre indicatif, affaires “The Pirate Bay” (http://money.cnn.com/2012/01/20/technology/pirate_bay/index.htm), wikileaks (http://fr.wikipedia.org/wiki/WikiLeaks), copwatch (http://abonnes.lemonde.fr/societe/article/2011/10/14/la- justice-interdit-le-site-web-copwatch_1588162_3224.html)... 3 http://www.arjel.fr/ 4 http://fr.wikipedia.org/wiki/Loi_d'orientation_et_de_programmation_pour_la_performance_de_la_s %C3%A9curit%C3%A9_int%C3%A9rieure 5 http://en.wikipedia.org/wiki/Stop_Online_Piracy_Act 6 http://en.wikipedia.org/wiki/PROTECT_IP_Act 7 Historiquement, ces informations étaient stockées dans un fichier hosts.txt que l’on peut toujours utiliser prioritairement au DNS, même dans les systèmes d’exploitation les plus modernes. Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr
Conséquences du filtrage Internet par le DNS 3 Le DNS fonctionne de manière distribuée, selon une architecture où l’information de référence est très largement déléguée à de nombreux acteurs. Des registres comme l’Afnic aiguillent vers les serveurs effectuant la correspondance entre les adresses IP et les noms. Pour rendre le système à la fois plus robuste et plus efficace, trois mécanismes sont mis en œuvre : la hiérarchisation de l’information, l’utilisation de plusieurs répliques des serveurs et la mise en cache des réponses obtenues. La hiérarchisation est basée sur la structuration du nom. Ainsi, lors de la résolution du nom www.wikipedia.fr, un serveur, dit racine, est interrogé pour aiguiller sur les serveurs de noms de la zone .fr, zone dite « de premier niveau ». L’un des serveurs de .fr est à son tour interrogé pour aiguiller sur les serveurs de noms de la zone wikipedia.fr (zone déléguée sous .fr). Enfin, l’un des serveurs de noms de wikipedia.fr est interrogé à son tour. Ce dernier retourne alors l’adresse IP recherchée (celle de www.wikipedia.fr ). Les résolveurs permettent de traiter de manière itérative les requêtes précédemment décrites. Ils ont besoin d’une configuration minimale, notamment une connaissance des adresses des serveurs de la racine, et permettent de mettre en cache les réponses obtenues pour éviter de trop solliciter l’architecture du DNS. Les FAI grand public mettent en place pour leurs clients des résolveurs dont les adresses sont fournies avec les autres paramètres de configuration. Mais le client peut très bien configurer une autre adresse de résolveur soit sur sa « box », soit sur son ordinateur. Le nombre de résolveurs dans le monde est très important (de l’ordre de la dizaine de millions) et croît régulièrement 8. Google9 et OpenDNS offrent ce service. Un utilisateur peut même installer son propre résolveur sur son ordinateur. Le blocage d’information de correspondance peut donc se faire à deux endroits, soit au niveau du registre qui ne publie plus les informations qui disparaîtront progressivement des caches, soit au niveau des résolveurs. Sur ceux-ci, le filtrage peut s’effectuer par liste noire (Black List) fournie par les instances gouvernementales ou judiciaires. Ce système dépend de la coopération des FAI ou d’autres opérateurs de résolveurs pour tenir à jour la liste dans la configuration des résolveurs. Techniquement le blocage d’une résolution est disponible dans certaines distributions logicielles telles que BIND (une des plus employées), mais cette fonctionnalité n’est pas standardisée10. Notons qu’il y a peu de recul sur l’impact du filtrage à l’échelle d’un pays. 8 L’ICANN estime leur nombre à environ à 10 millions dans le monde (http://blog.icann.org/2012/03/ten-million-dns-resolvers-on-the-internet/) 9 https://en.wikipedia.org/wiki/Google_Public_DNS 10 Ce logiciel possède depuis 2011 l’option RPZ (Response Policy Zone) permettant à un serveur de mentir lors d’une résolution soit en retournant une erreur soit en renvoyant une autre valeur. Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr
Conséquences du filtrage Internet par le DNS 4 2. Le filtrage est peu efficace Tant que le contenu demeure en ligne 11, le filtrage d’un nom de domaine n’atteint pas totalement son objectif. L’utilisateur peut toujours accéder au contenu visé, soit en tapant directement l’adresse IP du serveur, soit en mettant la correspondance nom-adresse dans un fichier sur sa machine. Le site peut également créer des noms alternatifs ne faisant pas partie de la liste des sites bloqués 12. Si une résolution de nom est filtrée dans un pays, l’utilisation de proxy http anonymes permet d’accéder (généralement gratuitement) au contenu à partir d’un autre pays. Les moteurs de recherche offrent des listes de proxys. L’utilisation des VPN (réseaux privés virtuels) s’avère plus complexe, mais offre plus de stabilité et moins de risques que le mécanisme de proxy http anonyme. En effet, les VPN permettent à l’utilisateur d’apparaître comme connecté d’un autre lieu. Ils nécessitent souvent un compte payant, mais il est facilement imaginable qu’un site commercial, comme un casino en ligne, l’offre à ses clients en contrepartie de l’abonnement. L’utilisateur peut également configurer sa machine ou sa box pour utiliser un résolveur DNS alternatif comme ceux de Google ou de OpenDNS. Dans ce cas, le filtrage effectué par l’opérateur devient inefficace, à moins de bloquer les requêtes DNS 13. Par ailleurs, pour les établissements utilisant leurs propres résolveurs, le blocage au niveau des résolveurs des FAIs n’a pas d’effet. 3. Le filtrage accroît l’exposition de l’utilisateur aux menaces Le principe de base soutenant le DNS implique que l’utilisateur doit obtenir l’information qu’il recherche et qui lui permette d’atteindre le site désiré. C’est la raison pour laquelle de nombreux messages de sécurité conseillent à l’utilisateur de vérifier le nom du site dans sa barre d’URL avant d’entrer des données confidentielles. Le filtrage et les redirections affaiblissent cette règle. L’utilisateur perd un des repères de confiance lorsqu’il consulte un site web ou reçoit du courrier électronique. Les utilisateurs peuvent découvrir que le contenu auquel ils souhaitent accéder est toujours en ligne, mais que les règles d’accès ont changé. En modifiant le comportement de leur navigateur ou de leur machine (comme indiqué précédemment), ils pourront de nouveau y avoir accès. Ces modifications risquent de se développer à grande échelle. 11 Il peut être même répliqué comme l’ont montré les cas de wikileaks ou de copwatch. 12 La liste de ces contournements est longue, par exemple les serveurs de piratebay peuvent être accessibles par exemple via l’URL http://www.baiedespirates.be/ 13 Plusieurs protocoles sont en cours de définition permettant de chiffrer les requêtes vers un autre résolveur en utilisant TLS, soit en utilisant pour le protocole de résolution un format actuellement plus standard comme XML au dessus de HTTP. Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr
Conséquences du filtrage Internet par le DNS 5 Le proxy ainsi configuré peut, à l’insu de l’utilisateur, détourner le trafic vers un autre site, capturer le trafic de l’utilisateur et obtenir des données confidentielles. L’usage qui est fait de ces données, souvent personnelles, par les fournisseurs de ces services, n’est dans la plupart des cas pas contrôlé par l’utilisateur. La mise en place de résolveurs alternatifs peut également augmenter les risques d’hameçonnage. Un utilisateur peut configurer son système pour accéder à un site de jeux en ligne. Quelques jours plus tard, voulant se connecter à sa banque, il peut être dirigé vers un faux site, sans faire la relation entre les deux événements. De manière indirecte, le blocage expose donc l’utilisateur à de nouvelles menaces. Le filtrage peut également avoir des effets de bord non négligeables. Le blocage par nom de domaine ne permet pas de bloquer au moyen du DNS un sous-ensemble des pages ou URL d’un site 14. Au contraire, le blocage d’un nom de domaine bloque l’ensemble des URL utilisant ce nom, autrement dit un site web complet. On parle alors de surblocage. Par exemple, on imaginera aisément les perturbations que provoquerait un blocage complet de Wikipedia, Facebook ou Dailymotion suite à un contenu illégal précis (comme cela avait été le cas en Grande-Bretagne pour un article sur l’album musical “Virgin Killer” 15). De telles possibilités de déni de service par blocage complet pourraient donner lieu à des abus. De nombreux exemples montrent que des erreurs de configuration ou un mauvais filtrage peuvent avoir des effets néfastes. Par exemple, en 2006, bizar.dk, un site danois, se retrouve bloqué par erreur 16, ce qui amènera le titulaire à menacer la police danoise de procès pour diffamation, avant que celle-ci ne s’excuse et ne supprime le site de la liste de blocage. 4. Les résultats de l'enquête Afnic L'Afnic a publié l’édition 2012 de son enquête de « toile de fond technologique » 17 sur les tendances et évolutions technologiques prévisibles au cours des dix prochaines années, auprès d’experts et professionnels de l’Internet. Deux questions de cette enquête sont particulièrement pertinentes pour le présent document. Les questions sont énoncées sous forme d’assertions de prévisions et appellent une réponse exprimant un niveau d’accord sur les assertions. La première question/assertion (Q70 de l’enquête) est énoncée comme suit : « Les résolveurs DNS locaux (caches installés sur des machines utilisateurs) vont prendre une part significative (25% ou plus) par rapport aux résolveurs des FAI ou résolveurs “ouverts” type 14 Pour une granularité plus fine, il faut bloquer les requêtes HTTP conduisant à un surcoût important. 15 http://www.ecrans.fr/Wikipedia-victime-collaterale-de,5883.html 16 http://translate.google.com/translate?sl=da&tl=fr&js=n&prev=_t&hl=en&ie=UTF- 8&layout=2&eotf=1&u=http%3A%2F%2Fm.cw.dk%2Fart%2F33184%2Fpolitiet-erkender-censurbroeler-paa- nettet 17 http://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/6392/show/l-internet-dans-10- ans-des-professionnels-repondent-a-l-enquete-afnic.html Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr
Conséquences du filtrage Internet par le DNS 6 Google DNS ». Les résultats de l’enquête montrent une divergence sur les prévisions entre deux « écoles » (40% d’accord, 42% pas d’accord et 18% qui ne se prononcent pas). Il est ainsi possible de retenir qu’il y a tout de même 40% des répondants qui prévoient un recours aux résolveurs individuels en remplacement des résolveurs communs (qu’ils soient ceux du FAI ou d’un fournisseur alternatif tel que Google DNS). La seconde question/assertion (Q71 de l’enquête) est quant à elle formulée comme suit : « Pour les cas de requêtes DNS confiées à un tiers (FAI ou offreurs de résolveurs alternatifs), le recours aux résolveurs alternatifs dépassera l’utilisation du résolveur de son propre FAI ». Là aussi, il y a divergence entre « deux écoles » (41% d’accord, 39% pas d’accord et 20% nsp). À nouveau, on peut noter que presque la moitié de ceux qui se prononcent prédisent une érosion progressive de l’usage du résolveur du FAI au profit de fournisseurs alternatifs, aboutissant à une inversion du rapport des forces. Par ailleurs, les répondants qui sont d’accord avec l’une ou l’autre des deux assertions ci- dessous sont interrogés sur la motivation de leur réponse. Ils pensent en majorité que d’une part, « cela permet une meilleure garantie de l'intégrité des réponses », et de l’autre, « cela permet une meilleure performance ». Cela montre le crédit qu’ils accordent à ces méthodes alternatives au résolveur de leur propre FAI. 5. Conclusion Le DNS est un maillon essentiel dans l’architecture de l’Internet. Beaucoup d’efforts sont mis en œuvre pour le sécuriser, comme l’introduction de la cryptographie pour valider les réponses avec DNSSEC. La sécurité technique apportée par DNSSEC pour protéger de bout en bout l’intégrité du DNS contre les attaques d’intermédiaires malveillants risque d’être perturbée par la mise en place de filtrage par altération des réponses, et de compromettre l’adoption de ces extensions de sécurité. Par ailleurs, pendant des années, les FAI et les sites de commerce électronique ont éduqué les internautes aux risques courants. En compromettant le mécanisme de résolution de noms, et de ce fait en encourageant un comportement risqué, le filtrage du DNS risque de réduire la confiance dans le commerce électronique. Le DNS n’a pas été conçu pour filtrer les contenus. Si une décision relative à l’utilisation du blocage reposant sur le DNS ou d’autres techniques était envisagée, elle devrait être évaluée au regard de la proportionnalité entre l’objectif visé, l’efficacité relative de la mesure, et en tenant compte des conséquences ci-dessus 18. 18 http://www.securityweek.com/dns-blocking-where-technical-considerations-meet-political-considerations Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr

Recommandé

Internet et ses services
Internet et ses servicesInternet et ses services
Internet et ses servicesAbdoulaye Dieng
 
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...Keep Alert
 
Interopérabilité et échanges de données pour les archives
Interopérabilité et échanges de données pour les archivesInteropérabilité et échanges de données pour les archives
Interopérabilité et échanges de données pour les archivesPauline Moirez
 
Internet Web
Internet WebInternet Web
Internet WebKhaled Koubaa
 
Dns
DnsDns
DnsMark Cisco
 
CRFCB AMU evolutions_catalogage_091213_web de données
CRFCB AMU evolutions_catalogage_091213_web de donnéesCRFCB AMU evolutions_catalogage_091213_web de données
CRFCB AMU evolutions_catalogage_091213_web de donnéesnonue12
 
quand le lien fait sens
quand le lien fait sensquand le lien fait sens
quand le lien fait sensFabien Gandon
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dnsNoël
 

Recommandé

Internet et ses services
Internet et ses servicesInternet et ses services
Internet et ses servicesAbdoulaye Dieng
 
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...Keep Alert
 
Interopérabilité et échanges de données pour les archives
Interopérabilité et échanges de données pour les archivesInteropérabilité et échanges de données pour les archives
Interopérabilité et échanges de données pour les archivesPauline Moirez
 
Internet Web
Internet WebInternet Web
Internet WebKhaled Koubaa
 
Dns
DnsDns
DnsMark Cisco
 
CRFCB AMU evolutions_catalogage_091213_web de données
CRFCB AMU evolutions_catalogage_091213_web de donnéesCRFCB AMU evolutions_catalogage_091213_web de données
CRFCB AMU evolutions_catalogage_091213_web de donnéesnonue12
 
quand le lien fait sens
quand le lien fait sensquand le lien fait sens
quand le lien fait sensFabien Gandon
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dnsNoël
 
C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativePRONETIS
 
Droit Internet
Droit Internet Droit Internet
Droit Internet Prof. Jacques Folon (Ph.D)
 
5625
56255625
5625Youssef Rvd
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurColloqueRISQ
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleOlivier MJ Crépin-Leblond
 
Bien sécuriser et gérer ses données
Bien sécuriser et gérer ses donnéesBien sécuriser et gérer ses données
Bien sécuriser et gérer ses donnéesCom'3elles - www.com3elles.com
 
Domain Name System
Domain Name SystemDomain Name System
Domain Name Systembabaoui mohamed
 
Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...
Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...
Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...Prof. Jacques Folon (Ph.D)
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSAfnic
 
Infographie des fonctions IANA
Infographie des fonctions IANAInfographie des fonctions IANA
Infographie des fonctions IANAICANN
 
IPv6 news-fr-20121009
IPv6 news-fr-20121009IPv6 news-fr-20121009
IPv6 news-fr-20121009Bart Hanssens
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien communAnDaolVras
 
Presentation
PresentationPresentation
PresentationAbdelghafour Zguindou
 
23508212 vpn
23508212 vpn23508212 vpn
23508212 vpnErys Diabs
 
Architecture des Systèmes Logiciels
Architecture des Systèmes LogicielsArchitecture des Systèmes Logiciels
Architecture des Systèmes LogicielsGhazouani Mahdi
 
Res,fr,fic,080,000
Res,fr,fic,080,000Res,fr,fic,080,000
Res,fr,fic,080,000ma7a
 
(services)
(services)(services)
(services)Anouar Abtoy
 
Databases for Bioinformatics
Databases for BioinformaticsDatabases for Bioinformatics
Databases for BioinformaticsKarim Mezhoud
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.pptwebhostingguy
 
Mettre nos données en réseau (données de l'IST en France)
Mettre nos données en réseau (données de l'IST en France)Mettre nos données en réseau (données de l'IST en France)
Mettre nos données en réseau (données de l'IST en France)Y. Nicolas
 
Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Afnic
 
Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Afnic
 

Contenu connexe

Similaire à Conséquences du filtrage Internet par le DNS

C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativePRONETIS
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurColloqueRISQ
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleOlivier MJ Crépin-Leblond
 
Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...
Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...
Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...Prof. Jacques Folon (Ph.D)
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSAfnic
 
Infographie des fonctions IANA
Infographie des fonctions IANAInfographie des fonctions IANA
Infographie des fonctions IANAICANN
 
IPv6 news-fr-20121009
IPv6 news-fr-20121009IPv6 news-fr-20121009
IPv6 news-fr-20121009Bart Hanssens
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien communAnDaolVras
 
Architecture des Systèmes Logiciels
Architecture des Systèmes LogicielsArchitecture des Systèmes Logiciels
Architecture des Systèmes LogicielsGhazouani Mahdi
 
Res,fr,fic,080,000
Res,fr,fic,080,000Res,fr,fic,080,000
Res,fr,fic,080,000ma7a
 
Databases for Bioinformatics
Databases for BioinformaticsDatabases for Bioinformatics
Databases for BioinformaticsKarim Mezhoud
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.pptwebhostingguy
 
Mettre nos données en réseau (données de l'IST en France)
Mettre nos données en réseau (données de l'IST en France)Mettre nos données en réseau (données de l'IST en France)
Mettre nos données en réseau (données de l'IST en France)Y. Nicolas
 

Similaire à Conséquences du filtrage Internet par le DNS (20)

C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicative
 
Droit Internet
Droit Internet Droit Internet
Droit Internet
 
5625
56255625
5625
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeur
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégrale
 
Bien sécuriser et gérer ses données
Bien sécuriser et gérer ses donnéesBien sécuriser et gérer ses données
Bien sécuriser et gérer ses données
 
Domain Name System
Domain Name SystemDomain Name System
Domain Name System
 
Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...
Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...
Cours Université de Metz: Internte, noms de domaines, droit d\'auteur et droi...
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNS
 
Infographie des fonctions IANA
Infographie des fonctions IANAInfographie des fonctions IANA
Infographie des fonctions IANA
 
IPv6 news-fr-20121009
IPv6 news-fr-20121009IPv6 news-fr-20121009
IPv6 news-fr-20121009
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien commun
 
Presentation
PresentationPresentation
Presentation
 
23508212 vpn
23508212 vpn23508212 vpn
23508212 vpn
 
Architecture des Systèmes Logiciels
Architecture des Systèmes LogicielsArchitecture des Systèmes Logiciels
Architecture des Systèmes Logiciels
 
Res,fr,fic,080,000
Res,fr,fic,080,000Res,fr,fic,080,000
Res,fr,fic,080,000
 
(services)
(services)(services)
(services)
 
Databases for Bioinformatics
Databases for BioinformaticsDatabases for Bioinformatics
Databases for Bioinformatics
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 
Mettre nos données en réseau (données de l'IST en France)
Mettre nos données en réseau (données de l'IST en France)Mettre nos données en réseau (données de l'IST en France)
Mettre nos données en réseau (données de l'IST en France)
 

Plus de Afnic

Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Afnic
 
Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Afnic
 
Securing Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolSecuring Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolAfnic
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
 
Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Afnic
 
Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Afnic
 
.fr domain name life cycle
.fr domain name life cycle .fr domain name life cycle
.fr domain name life cycle Afnic
 
Cycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frCycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frAfnic
 
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...Afnic
 
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...Afnic
 
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...Afnic
 
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetJCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetAfnic
 
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetJCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetAfnic
 
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...Afnic
 
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013Afnic
 
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...Afnic
 
New gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesNew gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesAfnic
 
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineNouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineAfnic
 
Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Afnic
 
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic
 

Plus de Afnic (20)

Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)
 
Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)
 
Securing Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolSecuring Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocol
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
 
Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?
 
Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?
 
.fr domain name life cycle
.fr domain name life cycle .fr domain name life cycle
.fr domain name life cycle
 
Cycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frCycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .fr
 
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
 
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
 
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
 
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetJCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
 
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetJCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
 
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
 
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
 
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
 
New gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesNew gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain names
 
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineNouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
 
Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012
 
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 characters
 

Conséquences du filtrage Internet par le DNS

  • 1. Conséquences du filtrage Internet par le DNS 1 Rapport du Conseil scientifique de l’Afnic Conséquences du filtrage Internet par le DNS Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr
  • 2. Conséquences du filtrage Internet par le DNS 2 Conséquences du filtrage Internet par le DNS 1 En France et dans le monde, le filtrage dans l’Internet a été au cœur de récents événements 2 et abordé dans des décrets ou projets de lois (ARJEL 3, LOPPSI24, SOPA 5, PIPA 6...). Les initiatives législatives ou réglementaires concernent différents domaines, comme la protection contre les virus ou malwares, la protection de l’enfance contre la pédopornographie, l’interdiction d’accès à des sites de jeux en lignes non autorisés ou la lutte contre le piratage. Le filtrage, ou blocage, peut s’effectuer aussi bien au niveau des adresses IP que des noms de domaines. Dans ce document, le conseil scientifique de l’Afnic fait le point sur les techniques pouvant être employées lorsque le filtrage intervient au niveau du nommage dans le DNS (Domain Name System, et les conséquences prévisibles de ce type de mesures. 1. Filtrage des noms de domaines Le filtrage consiste à modifier le processus normal de résolution d’un nom d’un serveur vers une adresse IP soit en bloquant la réponse, soit en répondant un message d’erreur, soit en retournant l’adresse d’un autre serveur indiquant généralement que l’accès à ce site est interdit. Contrairement aux réseaux téléphoniques qui reposent sur une infrastructure dédiée, le service DNS s’appuie, comme les autres services Internet qui l’utilisent (Web, Mail…), sur le réseau Internet lui-même, pour échanger des données. Il est à noter que le DNS est arrivé relativement tardivement dans l’histoire de l’Internet quand les noms des équipements connectés ne pouvaient plus être stockés dans un simple fichier 7. 1 Ce texte reprend notamment des extraits d’un document de référence produit par CENTR, l’organisation européenne des registres de premier niveau de l’Internet, http://centr.org/system/files/agenda/attachment/centr-paper-blocking-20120302.pdf 2 À titre indicatif, affaires “The Pirate Bay” (http://money.cnn.com/2012/01/20/technology/pirate_bay/index.htm), wikileaks (http://fr.wikipedia.org/wiki/WikiLeaks), copwatch (http://abonnes.lemonde.fr/societe/article/2011/10/14/la- justice-interdit-le-site-web-copwatch_1588162_3224.html)... 3 http://www.arjel.fr/ 4 http://fr.wikipedia.org/wiki/Loi_d'orientation_et_de_programmation_pour_la_performance_de_la_s %C3%A9curit%C3%A9_int%C3%A9rieure 5 http://en.wikipedia.org/wiki/Stop_Online_Piracy_Act 6 http://en.wikipedia.org/wiki/PROTECT_IP_Act 7 Historiquement, ces informations étaient stockées dans un fichier hosts.txt que l’on peut toujours utiliser prioritairement au DNS, même dans les systèmes d’exploitation les plus modernes. Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr
  • 3. Conséquences du filtrage Internet par le DNS 3 Le DNS fonctionne de manière distribuée, selon une architecture où l’information de référence est très largement déléguée à de nombreux acteurs. Des registres comme l’Afnic aiguillent vers les serveurs effectuant la correspondance entre les adresses IP et les noms. Pour rendre le système à la fois plus robuste et plus efficace, trois mécanismes sont mis en œuvre : la hiérarchisation de l’information, l’utilisation de plusieurs répliques des serveurs et la mise en cache des réponses obtenues. La hiérarchisation est basée sur la structuration du nom. Ainsi, lors de la résolution du nom www.wikipedia.fr, un serveur, dit racine, est interrogé pour aiguiller sur les serveurs de noms de la zone .fr, zone dite « de premier niveau ». L’un des serveurs de .fr est à son tour interrogé pour aiguiller sur les serveurs de noms de la zone wikipedia.fr (zone déléguée sous .fr). Enfin, l’un des serveurs de noms de wikipedia.fr est interrogé à son tour. Ce dernier retourne alors l’adresse IP recherchée (celle de www.wikipedia.fr ). Les résolveurs permettent de traiter de manière itérative les requêtes précédemment décrites. Ils ont besoin d’une configuration minimale, notamment une connaissance des adresses des serveurs de la racine, et permettent de mettre en cache les réponses obtenues pour éviter de trop solliciter l’architecture du DNS. Les FAI grand public mettent en place pour leurs clients des résolveurs dont les adresses sont fournies avec les autres paramètres de configuration. Mais le client peut très bien configurer une autre adresse de résolveur soit sur sa « box », soit sur son ordinateur. Le nombre de résolveurs dans le monde est très important (de l’ordre de la dizaine de millions) et croît régulièrement 8. Google9 et OpenDNS offrent ce service. Un utilisateur peut même installer son propre résolveur sur son ordinateur. Le blocage d’information de correspondance peut donc se faire à deux endroits, soit au niveau du registre qui ne publie plus les informations qui disparaîtront progressivement des caches, soit au niveau des résolveurs. Sur ceux-ci, le filtrage peut s’effectuer par liste noire (Black List) fournie par les instances gouvernementales ou judiciaires. Ce système dépend de la coopération des FAI ou d’autres opérateurs de résolveurs pour tenir à jour la liste dans la configuration des résolveurs. Techniquement le blocage d’une résolution est disponible dans certaines distributions logicielles telles que BIND (une des plus employées), mais cette fonctionnalité n’est pas standardisée10. Notons qu’il y a peu de recul sur l’impact du filtrage à l’échelle d’un pays. 8 L’ICANN estime leur nombre à environ à 10 millions dans le monde (http://blog.icann.org/2012/03/ten-million-dns-resolvers-on-the-internet/) 9 https://en.wikipedia.org/wiki/Google_Public_DNS 10 Ce logiciel possède depuis 2011 l’option RPZ (Response Policy Zone) permettant à un serveur de mentir lors d’une résolution soit en retournant une erreur soit en renvoyant une autre valeur. Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr
  • 4. Conséquences du filtrage Internet par le DNS 4 2. Le filtrage est peu efficace Tant que le contenu demeure en ligne 11, le filtrage d’un nom de domaine n’atteint pas totalement son objectif. L’utilisateur peut toujours accéder au contenu visé, soit en tapant directement l’adresse IP du serveur, soit en mettant la correspondance nom-adresse dans un fichier sur sa machine. Le site peut également créer des noms alternatifs ne faisant pas partie de la liste des sites bloqués 12. Si une résolution de nom est filtrée dans un pays, l’utilisation de proxy http anonymes permet d’accéder (généralement gratuitement) au contenu à partir d’un autre pays. Les moteurs de recherche offrent des listes de proxys. L’utilisation des VPN (réseaux privés virtuels) s’avère plus complexe, mais offre plus de stabilité et moins de risques que le mécanisme de proxy http anonyme. En effet, les VPN permettent à l’utilisateur d’apparaître comme connecté d’un autre lieu. Ils nécessitent souvent un compte payant, mais il est facilement imaginable qu’un site commercial, comme un casino en ligne, l’offre à ses clients en contrepartie de l’abonnement. L’utilisateur peut également configurer sa machine ou sa box pour utiliser un résolveur DNS alternatif comme ceux de Google ou de OpenDNS. Dans ce cas, le filtrage effectué par l’opérateur devient inefficace, à moins de bloquer les requêtes DNS 13. Par ailleurs, pour les établissements utilisant leurs propres résolveurs, le blocage au niveau des résolveurs des FAIs n’a pas d’effet. 3. Le filtrage accroît l’exposition de l’utilisateur aux menaces Le principe de base soutenant le DNS implique que l’utilisateur doit obtenir l’information qu’il recherche et qui lui permette d’atteindre le site désiré. C’est la raison pour laquelle de nombreux messages de sécurité conseillent à l’utilisateur de vérifier le nom du site dans sa barre d’URL avant d’entrer des données confidentielles. Le filtrage et les redirections affaiblissent cette règle. L’utilisateur perd un des repères de confiance lorsqu’il consulte un site web ou reçoit du courrier électronique. Les utilisateurs peuvent découvrir que le contenu auquel ils souhaitent accéder est toujours en ligne, mais que les règles d’accès ont changé. En modifiant le comportement de leur navigateur ou de leur machine (comme indiqué précédemment), ils pourront de nouveau y avoir accès. Ces modifications risquent de se développer à grande échelle. 11 Il peut être même répliqué comme l’ont montré les cas de wikileaks ou de copwatch. 12 La liste de ces contournements est longue, par exemple les serveurs de piratebay peuvent être accessibles par exemple via l’URL http://www.baiedespirates.be/ 13 Plusieurs protocoles sont en cours de définition permettant de chiffrer les requêtes vers un autre résolveur en utilisant TLS, soit en utilisant pour le protocole de résolution un format actuellement plus standard comme XML au dessus de HTTP. Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr
  • 5. Conséquences du filtrage Internet par le DNS 5 Le proxy ainsi configuré peut, à l’insu de l’utilisateur, détourner le trafic vers un autre site, capturer le trafic de l’utilisateur et obtenir des données confidentielles. L’usage qui est fait de ces données, souvent personnelles, par les fournisseurs de ces services, n’est dans la plupart des cas pas contrôlé par l’utilisateur. La mise en place de résolveurs alternatifs peut également augmenter les risques d’hameçonnage. Un utilisateur peut configurer son système pour accéder à un site de jeux en ligne. Quelques jours plus tard, voulant se connecter à sa banque, il peut être dirigé vers un faux site, sans faire la relation entre les deux événements. De manière indirecte, le blocage expose donc l’utilisateur à de nouvelles menaces. Le filtrage peut également avoir des effets de bord non négligeables. Le blocage par nom de domaine ne permet pas de bloquer au moyen du DNS un sous-ensemble des pages ou URL d’un site 14. Au contraire, le blocage d’un nom de domaine bloque l’ensemble des URL utilisant ce nom, autrement dit un site web complet. On parle alors de surblocage. Par exemple, on imaginera aisément les perturbations que provoquerait un blocage complet de Wikipedia, Facebook ou Dailymotion suite à un contenu illégal précis (comme cela avait été le cas en Grande-Bretagne pour un article sur l’album musical “Virgin Killer” 15). De telles possibilités de déni de service par blocage complet pourraient donner lieu à des abus. De nombreux exemples montrent que des erreurs de configuration ou un mauvais filtrage peuvent avoir des effets néfastes. Par exemple, en 2006, bizar.dk, un site danois, se retrouve bloqué par erreur 16, ce qui amènera le titulaire à menacer la police danoise de procès pour diffamation, avant que celle-ci ne s’excuse et ne supprime le site de la liste de blocage. 4. Les résultats de l'enquête Afnic L'Afnic a publié l’édition 2012 de son enquête de « toile de fond technologique » 17 sur les tendances et évolutions technologiques prévisibles au cours des dix prochaines années, auprès d’experts et professionnels de l’Internet. Deux questions de cette enquête sont particulièrement pertinentes pour le présent document. Les questions sont énoncées sous forme d’assertions de prévisions et appellent une réponse exprimant un niveau d’accord sur les assertions. La première question/assertion (Q70 de l’enquête) est énoncée comme suit : « Les résolveurs DNS locaux (caches installés sur des machines utilisateurs) vont prendre une part significative (25% ou plus) par rapport aux résolveurs des FAI ou résolveurs “ouverts” type 14 Pour une granularité plus fine, il faut bloquer les requêtes HTTP conduisant à un surcoût important. 15 http://www.ecrans.fr/Wikipedia-victime-collaterale-de,5883.html 16 http://translate.google.com/translate?sl=da&tl=fr&js=n&prev=_t&hl=en&ie=UTF- 8&layout=2&eotf=1&u=http%3A%2F%2Fm.cw.dk%2Fart%2F33184%2Fpolitiet-erkender-censurbroeler-paa- nettet 17 http://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/6392/show/l-internet-dans-10- ans-des-professionnels-repondent-a-l-enquete-afnic.html Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr
  • 6. Conséquences du filtrage Internet par le DNS 6 Google DNS ». Les résultats de l’enquête montrent une divergence sur les prévisions entre deux « écoles » (40% d’accord, 42% pas d’accord et 18% qui ne se prononcent pas). Il est ainsi possible de retenir qu’il y a tout de même 40% des répondants qui prévoient un recours aux résolveurs individuels en remplacement des résolveurs communs (qu’ils soient ceux du FAI ou d’un fournisseur alternatif tel que Google DNS). La seconde question/assertion (Q71 de l’enquête) est quant à elle formulée comme suit : « Pour les cas de requêtes DNS confiées à un tiers (FAI ou offreurs de résolveurs alternatifs), le recours aux résolveurs alternatifs dépassera l’utilisation du résolveur de son propre FAI ». Là aussi, il y a divergence entre « deux écoles » (41% d’accord, 39% pas d’accord et 20% nsp). À nouveau, on peut noter que presque la moitié de ceux qui se prononcent prédisent une érosion progressive de l’usage du résolveur du FAI au profit de fournisseurs alternatifs, aboutissant à une inversion du rapport des forces. Par ailleurs, les répondants qui sont d’accord avec l’une ou l’autre des deux assertions ci- dessous sont interrogés sur la motivation de leur réponse. Ils pensent en majorité que d’une part, « cela permet une meilleure garantie de l'intégrité des réponses », et de l’autre, « cela permet une meilleure performance ». Cela montre le crédit qu’ils accordent à ces méthodes alternatives au résolveur de leur propre FAI. 5. Conclusion Le DNS est un maillon essentiel dans l’architecture de l’Internet. Beaucoup d’efforts sont mis en œuvre pour le sécuriser, comme l’introduction de la cryptographie pour valider les réponses avec DNSSEC. La sécurité technique apportée par DNSSEC pour protéger de bout en bout l’intégrité du DNS contre les attaques d’intermédiaires malveillants risque d’être perturbée par la mise en place de filtrage par altération des réponses, et de compromettre l’adoption de ces extensions de sécurité. Par ailleurs, pendant des années, les FAI et les sites de commerce électronique ont éduqué les internautes aux risques courants. En compromettant le mécanisme de résolution de noms, et de ce fait en encourageant un comportement risqué, le filtrage du DNS risque de réduire la confiance dans le commerce électronique. Le DNS n’a pas été conçu pour filtrer les contenus. Si une décision relative à l’utilisation du blocage reposant sur le DNS ou d’autres techniques était envisagée, elle devrait être évaluée au regard de la proportionnalité entre l’objectif visé, l’efficacité relative de la mesure, et en tenant compte des conséquences ci-dessus 18. 18 http://www.securityweek.com/dns-blocking-where-technical-considerations-meet-political-considerations Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr Twitter : @AFNIC | Facebook : afnic.fr