objectif général : Savoir utiliser efficacement Internet
objectifs opérationnels :
Connaître la suite de protocoles d’Internet
Connaître le service de noms de domaines
Connaître le modèle Client/Serveur
Utiliser le service de messagerie
Utiliser le service de transfert de fichier
Utiliser le service Web
Rechercher sur le Web
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...Keep Alert
Keep Alert présente la surveillance des noms de domaine : entre bonnes pratiques et usages méconnus.
Quelles sont les sources de données ? Comment analyser un grand nombre de résultats ? Comment utiliser une surveillance pour faire de l'intelligence économique ?
Cette présentation a été effectuée lors de la 15ème Journée PI organisée par Legiteam
Interopérabilité et échanges de données pour les archivesPauline Moirez
L'échange de données pour les institutions culturelles : le protocole OAI-PMH, le format Dublin Core, les portails de ressources culturelles et patrimoniales
CRFCB AMU evolutions_catalogage_091213_web de donnéesnonue12
Support 3 de la journée d'études du 09 déc. 2013 sur l'évolution des catalogues et du catalogage organisée par le CRFCB de Marseille et le sous-groupe formations du groupe technique sur l'adoption de RDA en France.
objectif général : Savoir utiliser efficacement Internet
objectifs opérationnels :
Connaître la suite de protocoles d’Internet
Connaître le service de noms de domaines
Connaître le modèle Client/Serveur
Utiliser le service de messagerie
Utiliser le service de transfert de fichier
Utiliser le service Web
Rechercher sur le Web
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...Keep Alert
Keep Alert présente la surveillance des noms de domaine : entre bonnes pratiques et usages méconnus.
Quelles sont les sources de données ? Comment analyser un grand nombre de résultats ? Comment utiliser une surveillance pour faire de l'intelligence économique ?
Cette présentation a été effectuée lors de la 15ème Journée PI organisée par Legiteam
Interopérabilité et échanges de données pour les archivesPauline Moirez
L'échange de données pour les institutions culturelles : le protocole OAI-PMH, le format Dublin Core, les portails de ressources culturelles et patrimoniales
CRFCB AMU evolutions_catalogage_091213_web de donnéesnonue12
Support 3 de la journée d'études du 09 déc. 2013 sur l'évolution des catalogues et du catalogage organisée par le CRFCB de Marseille et le sous-groupe formations du groupe technique sur l'adoption de RDA en France.
Full version of IPv6 Matrix project presentation, in French, as given at INET Tunis.
Includes a section focusing on the last IPv4 address blocks available, and another section on African IPv6 connectivity - with a parallel to the spread on Internet in Africa between 1994-1997, thanks to my archives on International Connectivity.
La version intégrale de la présentation du projet IPv6 Matrix, en français, comme présentée au congrès INET Tunis.
Comprend une section consacrée au dernier blocs d'adresses IPv4 disponibles, et une autre section sur la connectivité IPv6 en Afrique - avec un parallèle de propagation Internet en Afrique entre 1994-1997, grâce à mes archives sur la connectivité internationale.
La sécurité de tout système dépend à la fois de la sécurisation de ses différentes composantes et des interactions entre celles-ci. Ce constat est aussi valable pour le DNS (Domain Name System), maillon clé du fonctionnement de l’Internet, car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre.
Mettre nos données en réseau (données de l'IST en France)Y. Nicolas
Intervention lors de la journée d'étude 2009 de l'ADBU : Quelle économie de l’IST en France ? et pour quelle politique ?
Je fais une intro ultra light au Web des données pour un public de décideurs des bibliothèques universitaires françaises.
J'annonce les futurs services de l'ABES autour des autorités Sudoc.
L’Afnic publie désormais un bilan trimestriel de ses procédures alternatives de résolution de litiges. Découverte de l’étude de ce premier trimestre 2015.
Contenu connexe
Similaire à Conséquences du filtrage Internet par le DNS
Full version of IPv6 Matrix project presentation, in French, as given at INET Tunis.
Includes a section focusing on the last IPv4 address blocks available, and another section on African IPv6 connectivity - with a parallel to the spread on Internet in Africa between 1994-1997, thanks to my archives on International Connectivity.
La version intégrale de la présentation du projet IPv6 Matrix, en français, comme présentée au congrès INET Tunis.
Comprend une section consacrée au dernier blocs d'adresses IPv4 disponibles, et une autre section sur la connectivité IPv6 en Afrique - avec un parallèle de propagation Internet en Afrique entre 1994-1997, grâce à mes archives sur la connectivité internationale.
La sécurité de tout système dépend à la fois de la sécurisation de ses différentes composantes et des interactions entre celles-ci. Ce constat est aussi valable pour le DNS (Domain Name System), maillon clé du fonctionnement de l’Internet, car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre.
Mettre nos données en réseau (données de l'IST en France)Y. Nicolas
Intervention lors de la journée d'étude 2009 de l'ADBU : Quelle économie de l’IST en France ? et pour quelle politique ?
Je fais une intro ultra light au Web des données pour un public de décideurs des bibliothèques universitaires françaises.
J'annonce les futurs services de l'ABES autour des autorités Sudoc.
Similaire à Conséquences du filtrage Internet par le DNS (20)
L’Afnic publie désormais un bilan trimestriel de ses procédures alternatives de résolution de litiges. Découverte de l’étude de ce premier trimestre 2015.
Securing Internet communications end-to-end with the DANE protocolAfnic
Highlighting the fact that securing communications over the Internet is more important than ever before, Afnic launches an issue paper on the DANE protocol
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
Alors que la sécurisation des communications sur Internet n’a jamais été autant d’actualité, l’Afnic lance un dossier thématique consacré au protocole DANE
AFNIC just published a Practical Guide to DNSSEC deployment: this implementation and deployment manual provides practical guidance for DNS hosts to configure DNSSEC on their infrastructure;
L'Afnic vient de publier un guide pratique de déploiement de DNSSEC : ce manuel de mise en œuvre et de déploiement permet d’aider concrètement les hébergeurs de DNS à configurer DNSSEC sur leurs infrastructures. Plus d'information sur http://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/7380/show/l-afnic-s-engage-dans-la-promotion-de-dnssec-2.html
The document discusses the life cycle of .FR domain names. Domain names are registered for 1 to 10 years and must be renewed before expiration to remain active. Domain names that are not renewed on time will first be put on hold, then deleted and made available for new registration after a certain waiting period if not renewed by the original owner.
Voir cette présentation en vidéo sur http://www.youtube.com/watch?v=mLQT_i-Lgsk
Isabelle Chrisment (Inria) présente "L'initiative PLATON (PLATeforme d'Observation de l'interNet) lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...Afnic
Voir la présentation en vidéo sur http://www.youtube.com/watch?v=lhkAtsCm6fw
Pierre Lorinquer (ANSSI) et Samia M'Timet (Afnic) présentent l'essentiel de l'Observatoire 2012 de la résilience de l'Internet en France lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
L'Observaoire en question est en ligne sr http://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/7126/show/l-observatoire-sur-la-resilience-de-l-internet-francais-publie-son-rapport-2012-2.html
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...Afnic
Voir la présentation en vidéo sur http://www.youtube.com/watch?v=Om1zqb2VuPM
Luigi Iannone (Télécom ParisTech) présente "Vers un renforcement de l'architecture Internet : le protocole LISP ("Locator/Identifier Separation Protocol")" lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetAfnic
Pascal Thubert (Cisco) présente "La frange polymorphe de l'Internet" lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetAfnic
Voir la vidéo sur http://www.youtube.com/watch?v=tVzz_CSFs8A
Laurent Toutain (Télécom Bretagne) présente "La frange polymorphe de l'Internet" lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...Afnic
Retrouvez la vidéo en français sur http://www.youtube.com/watch?v=3ezs-JDac0k
Christian Jacquenet (Orange Labs) présente "Un nouveau shéma d'acheminement de trafic déterministe" lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...Afnic
Voir la vidéo de cette présentation sur http://www.youtube.com/watch?v=HW1gkg8D7s8
Stéphane Bortzmeyer (Ingénieur R&D à l'Afnic) présente son tutoriel "Tout réseau a besoin d'identificateurs. Lesquels choisir ?" lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
Au sujet de ce tutoriel, Stéphane Bortzmeyer indique :
Dans tout réseau, il faut identifier les objets (machines, humains, programmes en cours
d'exécution, fichiers, etc.). Cela a toujours mené à des très longs débats. Par exemple, dans les cours universitaires classiques, mais aussi dans des normes techniques comme le RFC 791, on trouve de savantes définitions des noms, des adresses, des routes, définitions que je trouve imparfaites et qui, surtout, ne collent pas du tout avec la réalité de l'Internet. On entend aussi souvent des erreurs comme de prétendre qu'un URL indique où se trouve une ressource (rien n'est plus faux). Il vaut donc mieux adopter une autre perspective, celle des propriétés.
Plutôt que d'essayer de définir la différence entre un nom et une adresse, ou de reprendre le débat philosophique entre URL et URN, attachons-nous à déterminer les propriétés des différents types d'identificateurs et voyons lesquelles sont importantes pour chaque cas d'usage.
La discussion est d'autant plus importante que, si certains identificateurs n'ont qu'on rôle technique et sont largement cachés à l'utilisateur (pensons aux adresses MAC par exemple), d'autres sont un vecteur d'identité.
Sur l'Internet, vous n'êtes pas Jean Dupont, né le 3 octobre 1978 à Bois-le-Roi, vous êtes "jdupont43" sur Twitter, vous êtes jean.dupont.fr, vous êtes jeannot@gmail.com, et
ces identificateurs, qui apparaissent à tous, sont votre identité. La première partie de l'exposé portera donc sur ces vecteurs d'identité. Quel est notre futur ?
Quelle identité sera la principale ? Aurons-nous une pluralité d'identités ou bien Facebook sera t-il le seul fournisseur d'identité (comme c'est le cas aujourd'hui pour certaines entreprises qui mettent leur identifiant Facebook sur leurs cartes de visite et publicités) ? Les identités seront-elles basées sur un système centralisé comme Facebook, sur un système arborescent comme les noms de domaine (avec, par exemple, la technologie WebFinger) ou sur autre chose ?
La deuxième partie sera consacrée aux identificateurs fondés sur le contenu. Popularisés par les magnets (utilisés notamment par BitTorrent), normalisés sous la forme des URI "ni", quelle place prendront-ils dans le bestiaire des identificateurs ? Des systèmes de résolution efficaces seront-ils mis en place pour ces identificateurs ?
The document discusses the introduction of new generic top-level domains (gTLDs) by the Internet Corporation for Assigned Names and Numbers (ICANN). It notes that while most domain names use .com and country code TLDs, ICANN's new gTLD program will allow for greater diversification. The new gTLDs will launch starting in late 2013, with some targeting specific regions, communities or industries. However, uptake of new gTLDs will depend on promotion efforts and whether users find them intuitive. The document analyzes challenges around establishing new gTLDs and ensuring users understand and adopt them.
Observatoire sur la résilience Internet en France-2012Afnic
Créé par l’Afnic & l’ANSSI, il a pour objectifs de définir puis de mesurer des indicateurs représentatifs de la résilience de l'Internet français.
Plus d'information sur http://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/7126/show/l-observatoire-sur-la-resilience-de-l-internet-francais-publie-son-rapport-2012-2.html
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic
This document provides an overview of a public consultation conducted by Afnic, the .fr registry, regarding opening registration of 1 and 2 character domain names under .fr. The consultation gathered opinions on possible opening procedures and naming restrictions through an online survey. Most discussion of the consultation was positive on social media. Contributions recommended a sunrise period to protect rights holders, special high pricing to prevent speculation, and limited naming restrictions. In general, the consultation suggested opening with a sunrise period, dissuasive pricing, and limited restrictions for 1 and 2 character .fr domains.
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Conséquences du filtrage Internet par le DNS
1. Conséquences du filtrage Internet par le DNS 1
Rapport du Conseil scientifique de l’Afnic
Conséquences du
filtrage Internet
par le DNS
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr
Twitter : @AFNIC | Facebook : afnic.fr
2. Conséquences du filtrage Internet par le DNS 2
Conséquences du filtrage Internet par le DNS 1
En France et dans le monde, le filtrage dans l’Internet a été au cœur de récents événements 2
et abordé dans des décrets ou projets de lois (ARJEL 3, LOPPSI24, SOPA 5, PIPA 6...). Les
initiatives législatives ou réglementaires concernent différents domaines, comme la
protection contre les virus ou malwares, la protection de l’enfance contre la
pédopornographie, l’interdiction d’accès à des sites de jeux en lignes non autorisés ou la lutte
contre le piratage.
Le filtrage, ou blocage, peut s’effectuer aussi bien au niveau des adresses IP que des noms de
domaines. Dans ce document, le conseil scientifique de l’Afnic fait le point sur les techniques
pouvant être employées lorsque le filtrage intervient au niveau du nommage dans le DNS
(Domain Name System, et les conséquences prévisibles de ce type de mesures.
1. Filtrage des noms de domaines
Le filtrage consiste à modifier le processus normal de résolution d’un nom d’un serveur vers
une adresse IP soit en bloquant la réponse, soit en répondant un message d’erreur, soit en
retournant l’adresse d’un autre serveur indiquant généralement que l’accès à ce site est
interdit.
Contrairement aux réseaux téléphoniques qui reposent sur une infrastructure dédiée, le
service DNS s’appuie, comme les autres services Internet qui l’utilisent (Web, Mail…), sur le
réseau Internet lui-même, pour échanger des données. Il est à noter que le DNS est arrivé
relativement tardivement dans l’histoire de l’Internet quand les noms des équipements
connectés ne pouvaient plus être stockés dans un simple fichier 7.
1
Ce texte reprend notamment des extraits d’un document de référence produit par CENTR, l’organisation
européenne des registres de premier niveau de l’Internet,
http://centr.org/system/files/agenda/attachment/centr-paper-blocking-20120302.pdf
2 À titre indicatif, affaires “The Pirate Bay”
(http://money.cnn.com/2012/01/20/technology/pirate_bay/index.htm), wikileaks
(http://fr.wikipedia.org/wiki/WikiLeaks), copwatch (http://abonnes.lemonde.fr/societe/article/2011/10/14/la-
justice-interdit-le-site-web-copwatch_1588162_3224.html)...
3 http://www.arjel.fr/
4
http://fr.wikipedia.org/wiki/Loi_d'orientation_et_de_programmation_pour_la_performance_de_la_s
%C3%A9curit%C3%A9_int%C3%A9rieure
5 http://en.wikipedia.org/wiki/Stop_Online_Piracy_Act
6 http://en.wikipedia.org/wiki/PROTECT_IP_Act
7 Historiquement, ces informations étaient stockées dans un fichier hosts.txt que l’on peut toujours
utiliser prioritairement au DNS, même dans les systèmes d’exploitation les plus modernes.
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr
Twitter : @AFNIC | Facebook : afnic.fr
3. Conséquences du filtrage Internet par le DNS 3
Le DNS fonctionne de manière distribuée, selon une architecture où l’information de
référence est très largement déléguée à de nombreux acteurs. Des registres comme l’Afnic
aiguillent vers les serveurs effectuant la correspondance entre les adresses IP et les noms.
Pour rendre le système à la fois plus robuste et plus efficace, trois mécanismes sont mis en
œuvre : la hiérarchisation de l’information, l’utilisation de plusieurs répliques des serveurs et
la mise en cache des réponses obtenues.
La hiérarchisation est basée sur la structuration du nom. Ainsi, lors de la résolution du nom
www.wikipedia.fr, un serveur, dit racine, est interrogé pour aiguiller sur les serveurs de
noms de la zone .fr, zone dite « de premier niveau ». L’un des serveurs de .fr est à son tour
interrogé pour aiguiller sur les serveurs de noms de la zone wikipedia.fr (zone déléguée
sous .fr). Enfin, l’un des serveurs de noms de wikipedia.fr est interrogé à son tour. Ce
dernier retourne alors l’adresse IP recherchée (celle de www.wikipedia.fr ).
Les résolveurs permettent de traiter de manière itérative les requêtes précédemment décrites.
Ils ont besoin d’une configuration minimale, notamment une connaissance des adresses des
serveurs de la racine, et permettent de mettre en cache les réponses obtenues pour éviter de
trop solliciter l’architecture du DNS. Les FAI grand public mettent en place pour leurs clients
des résolveurs dont les adresses sont fournies avec les autres paramètres de configuration.
Mais le client peut très bien configurer une autre adresse de résolveur soit sur sa « box », soit
sur son ordinateur. Le nombre de résolveurs dans le monde est très important (de l’ordre de
la dizaine de millions) et croît régulièrement 8. Google9 et OpenDNS offrent ce service. Un
utilisateur peut même installer son propre résolveur sur son ordinateur.
Le blocage d’information de correspondance peut donc se faire à deux endroits, soit au
niveau du registre qui ne publie plus les informations qui disparaîtront progressivement des
caches, soit au niveau des résolveurs. Sur ceux-ci, le filtrage peut s’effectuer par liste noire
(Black List) fournie par les instances gouvernementales ou judiciaires. Ce système dépend de
la coopération des FAI ou d’autres opérateurs de résolveurs pour tenir à jour la liste dans la
configuration des résolveurs. Techniquement le blocage d’une résolution est disponible dans
certaines distributions logicielles telles que BIND (une des plus employées), mais cette
fonctionnalité n’est pas standardisée10. Notons qu’il y a peu de recul sur l’impact du filtrage à
l’échelle d’un pays.
8
L’ICANN estime leur nombre à environ à 10 millions dans le monde
(http://blog.icann.org/2012/03/ten-million-dns-resolvers-on-the-internet/)
9 https://en.wikipedia.org/wiki/Google_Public_DNS
10 Ce logiciel possède depuis 2011 l’option RPZ (Response Policy Zone) permettant à un serveur de mentir
lors d’une résolution soit en retournant une erreur soit en renvoyant une autre valeur.
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr
Twitter : @AFNIC | Facebook : afnic.fr
4. Conséquences du filtrage Internet par le DNS 4
2. Le filtrage est peu efficace
Tant que le contenu demeure en ligne 11, le filtrage d’un nom de domaine n’atteint pas
totalement son objectif. L’utilisateur peut toujours accéder au contenu visé, soit en tapant
directement l’adresse IP du serveur, soit en mettant la correspondance nom-adresse dans un
fichier sur sa machine. Le site peut également créer des noms alternatifs ne faisant pas partie
de la liste des sites bloqués 12.
Si une résolution de nom est filtrée dans un pays, l’utilisation de proxy http anonymes permet
d’accéder (généralement gratuitement) au contenu à partir d’un autre pays. Les moteurs de
recherche offrent des listes de proxys.
L’utilisation des VPN (réseaux privés virtuels) s’avère plus complexe, mais offre plus de
stabilité et moins de risques que le mécanisme de proxy http anonyme. En effet, les VPN
permettent à l’utilisateur d’apparaître comme connecté d’un autre lieu. Ils nécessitent
souvent un compte payant, mais il est facilement imaginable qu’un site commercial, comme
un casino en ligne, l’offre à ses clients en contrepartie de l’abonnement.
L’utilisateur peut également configurer sa machine ou sa box pour utiliser un résolveur DNS
alternatif comme ceux de Google ou de OpenDNS. Dans ce cas, le filtrage effectué par
l’opérateur devient inefficace, à moins de bloquer les requêtes DNS 13. Par ailleurs, pour les
établissements utilisant leurs propres résolveurs, le blocage au niveau des résolveurs des
FAIs n’a pas d’effet.
3. Le filtrage accroît l’exposition de l’utilisateur aux menaces
Le principe de base soutenant le DNS implique que l’utilisateur doit obtenir l’information
qu’il recherche et qui lui permette d’atteindre le site désiré. C’est la raison pour laquelle de
nombreux messages de sécurité conseillent à l’utilisateur de vérifier le nom du site dans sa
barre d’URL avant d’entrer des données confidentielles. Le filtrage et les redirections
affaiblissent cette règle. L’utilisateur perd un des repères de confiance lorsqu’il consulte un
site web ou reçoit du courrier électronique.
Les utilisateurs peuvent découvrir que le contenu auquel ils souhaitent accéder est toujours
en ligne, mais que les règles d’accès ont changé. En modifiant le comportement de leur
navigateur ou de leur machine (comme indiqué précédemment), ils pourront de nouveau y
avoir accès. Ces modifications risquent de se développer à grande échelle.
11 Il peut être même répliqué comme l’ont montré les cas de wikileaks ou de copwatch.
12 La liste de ces contournements est longue, par exemple les serveurs de piratebay peuvent être accessibles
par exemple via l’URL http://www.baiedespirates.be/
13
Plusieurs protocoles sont en cours de définition permettant de chiffrer les requêtes vers un autre
résolveur en utilisant TLS, soit en utilisant pour le protocole de résolution un format actuellement plus standard
comme XML au dessus de HTTP.
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr
Twitter : @AFNIC | Facebook : afnic.fr
5. Conséquences du filtrage Internet par le DNS 5
Le proxy ainsi configuré peut, à l’insu de l’utilisateur, détourner le trafic vers un autre site,
capturer le trafic de l’utilisateur et obtenir des données confidentielles. L’usage qui est fait de
ces données, souvent personnelles, par les fournisseurs de ces services, n’est dans la plupart
des cas pas contrôlé par l’utilisateur.
La mise en place de résolveurs alternatifs peut également augmenter les risques
d’hameçonnage. Un utilisateur peut configurer son système pour accéder à un site de jeux en
ligne. Quelques jours plus tard, voulant se connecter à sa banque, il peut être dirigé vers un
faux site, sans faire la relation entre les deux événements.
De manière indirecte, le blocage expose donc l’utilisateur à de nouvelles menaces.
Le filtrage peut également avoir des effets de bord non négligeables. Le blocage par nom de
domaine ne permet pas de bloquer au moyen du DNS un sous-ensemble des pages ou URL
d’un site 14. Au contraire, le blocage d’un nom de domaine bloque l’ensemble des URL
utilisant ce nom, autrement dit un site web complet. On parle alors de surblocage. Par
exemple, on imaginera aisément les perturbations que provoquerait un blocage complet de
Wikipedia, Facebook ou Dailymotion suite à un contenu illégal précis (comme cela avait été
le cas en Grande-Bretagne pour un article sur l’album musical “Virgin Killer” 15). De telles
possibilités de déni de service par blocage complet pourraient donner lieu à des abus.
De nombreux exemples montrent que des erreurs de configuration ou un mauvais filtrage
peuvent avoir des effets néfastes. Par exemple, en 2006, bizar.dk, un site danois, se retrouve
bloqué par erreur 16, ce qui amènera le titulaire à menacer la police danoise de procès pour
diffamation, avant que celle-ci ne s’excuse et ne supprime le site de la liste de blocage.
4. Les résultats de l'enquête Afnic
L'Afnic a publié l’édition 2012 de son enquête de « toile de fond technologique » 17 sur les
tendances et évolutions technologiques prévisibles au cours des dix prochaines années,
auprès d’experts et professionnels de l’Internet.
Deux questions de cette enquête sont particulièrement pertinentes pour le présent document.
Les questions sont énoncées sous forme d’assertions de prévisions et appellent une réponse
exprimant un niveau d’accord sur les assertions.
La première question/assertion (Q70 de l’enquête) est énoncée comme suit : « Les résolveurs
DNS locaux (caches installés sur des machines utilisateurs) vont prendre une part
significative (25% ou plus) par rapport aux résolveurs des FAI ou résolveurs “ouverts” type
14
Pour une granularité plus fine, il faut bloquer les requêtes HTTP conduisant à un surcoût important.
15 http://www.ecrans.fr/Wikipedia-victime-collaterale-de,5883.html
16 http://translate.google.com/translate?sl=da&tl=fr&js=n&prev=_t&hl=en&ie=UTF-
8&layout=2&eotf=1&u=http%3A%2F%2Fm.cw.dk%2Fart%2F33184%2Fpolitiet-erkender-censurbroeler-paa-
nettet
17 http://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/6392/show/l-internet-dans-10-
ans-des-professionnels-repondent-a-l-enquete-afnic.html
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr
Twitter : @AFNIC | Facebook : afnic.fr
6. Conséquences du filtrage Internet par le DNS 6
Google DNS ». Les résultats de l’enquête montrent une divergence sur les prévisions entre
deux « écoles » (40% d’accord, 42% pas d’accord et 18% qui ne se prononcent pas). Il est
ainsi possible de retenir qu’il y a tout de même 40% des répondants qui prévoient un recours
aux résolveurs individuels en remplacement des résolveurs communs (qu’ils soient ceux du
FAI ou d’un fournisseur alternatif tel que Google DNS).
La seconde question/assertion (Q71 de l’enquête) est quant à elle formulée comme suit :
« Pour les cas de requêtes DNS confiées à un tiers (FAI ou offreurs de résolveurs alternatifs),
le recours aux résolveurs alternatifs dépassera l’utilisation du résolveur de son propre FAI ».
Là aussi, il y a divergence entre « deux écoles » (41% d’accord, 39% pas d’accord et 20% nsp).
À nouveau, on peut noter que presque la moitié de ceux qui se prononcent prédisent une
érosion progressive de l’usage du résolveur du FAI au profit de fournisseurs alternatifs,
aboutissant à une inversion du rapport des forces.
Par ailleurs, les répondants qui sont d’accord avec l’une ou l’autre des deux assertions ci-
dessous sont interrogés sur la motivation de leur réponse. Ils pensent en majorité que d’une
part, « cela permet une meilleure garantie de l'intégrité des réponses », et de l’autre, « cela
permet une meilleure performance ». Cela montre le crédit qu’ils accordent à ces méthodes
alternatives au résolveur de leur propre FAI.
5. Conclusion
Le DNS est un maillon essentiel dans l’architecture de l’Internet. Beaucoup d’efforts sont mis
en œuvre pour le sécuriser, comme l’introduction de la cryptographie pour valider les
réponses avec DNSSEC. La sécurité technique apportée par DNSSEC pour protéger de bout
en bout l’intégrité du DNS contre les attaques d’intermédiaires malveillants risque d’être
perturbée par la mise en place de filtrage par altération des réponses, et de compromettre
l’adoption de ces extensions de sécurité.
Par ailleurs, pendant des années, les FAI et les sites de commerce électronique ont éduqué les
internautes aux risques courants. En compromettant le mécanisme de résolution de noms, et
de ce fait en encourageant un comportement risqué, le filtrage du DNS risque de réduire la
confiance dans le commerce électronique.
Le DNS n’a pas été conçu pour filtrer les contenus. Si une décision relative à l’utilisation du
blocage reposant sur le DNS ou d’autres techniques était envisagée, elle devrait être évaluée
au regard de la proportionnalité entre l’objectif visé, l’efficacité relative de la mesure, et en
tenant compte des conséquences ci-dessus 18.
18
http://www.securityweek.com/dns-blocking-where-technical-considerations-meet-political-considerations
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr
Twitter : @AFNIC | Facebook : afnic.fr