Voilà un terme qui revient souvent ; on pourrait se demander ce que c’est réellement. Dans ce petit article, on abordera brièvement ce qu’est le DNS, en quoi consiste le blocage DNS et comment passer outre.
Il faut déjà savoir ce que c’est que le DNS. Sur Internet, toutes les machines discutent entre elles et doivent pouvoir être accedée. Chaque machine doit donc posséder une adresse qui lui est unique dans tout le réseau. C’est une adresse IP et ça s’écrit de la forme “a.b.c.d” où a,b,c et d sont des chiffres allant de 0 à 255. Cependant, une adresse IP n’est pas très parlante pour un être humain : il est difficile de savoir à quoi correspond 29.121.8.32 par exemple. Et c’est également assez compliqué de les mémoriser. Il a donc été décidé de pouvoir donner des noms à la place des adresses IP. Il faut donc un annuaire pour faire la correspondance entre un nom de machine et une adresse IP. Ces annuaires s’appelle des serveurs DNS : Domain Name System. À chaque fois que vous entrez un nom de machine (iloth.net, lebib.org, ffdn.org, …), votre ordinateur consulte un serveur DNS afin d’avoir l’adresse IP correspondant au nom de machine demandé. Cette action s’appelle la résolution DNS. Il existe de très nombreux serveurs DNS, publics ou non.
Lorsqu’une autorité (Gouvernement…) demande le blocage d’un site web, elle ne précise pas le moyen de bloquer ledit site: La méthode est laissée à l’appréciation des fournisseurs d’accès à Internet. La méthode choisie jusqu’à présent à toujours été le blocage DNS. C’est techniquement très simple, peu coûteux et ne nécessite aucun investissement. Le fournisseur d’accès à Internet va simplement modifier son serveur DNS pour y changer les adresses IP correspondant aux adresses à bloquer, ou carrément en supprimant l’entrée correspondante. L’internaute sera donc soit redirigé sur un autre site Web (de l’autorité ayant ordonné le blocage), soit aura le droit à un message d’erreur expliquant que le site n’existe pas.
L’inconvénient de cette méthode est de taille : un FAI ne peut modifier que son propre serveur DNS. Il est donc aisé pour un internaute d’en choisir un autre, et donc de contourner ce blocage (pour l’instant).
On comprend assez vite que le contrôle d’un serveur DNS est un point critique pour contrôler l’Internet. Quasiment toutes vos activités par Internet effectuent au préalable une, voire plusieurs, requêtes DNS. Le trafic DNS permet à lui seul permet de déterminer quel type de site a été consulté, à quelle heure, à quelle fréquence et par quelle(s) personne(s). Ces informations sont dorénavant très en vue des publicitaires et valent même de l’or pour certaines entreprises dont c’est le fond de commerce. Il est donc compréhensible que plusieurs entreprises proposent gratuitement des serveurs DNS publics. En plus de la revente d’informations sur les utilisateurs, ces fournisseurs de DNS utilisent parfois d’autres techniques encore plus sournoises pour augmenter leurs revenus.
Un DNS menteur est un serveur DNS qui ment. Cela peut paraître anodin, mais les effets sur l´Internet pourraient être vraiment néfastes. Lorsque vous demandez quelle est l’IP du site web monjolisite.fr, si le serveur DNS se permet vous renvoie l’adresse de leurjolisite.fr, il y aura plusieurs conséquences : tout d’abord le propriétaire de monjolisite.fr perdra un visiteur. Ensuite, leurjolisite.fr en gagnera un. Enfin, et surtout, la substitution sera transparente du point de vue du visiteur ! Ce qui, d’un point de vue sécurité, pourrait s’avérer catastrophique. Cette technique est actuellement utilisé pour des annonceurs de publicité. Pour les utilisateur ça n’a que peu de conséquence. Mais rien ne garantie que l’on retrouve ce principe pour des attaques malveillantes vis-à-vis de banques, boutiques, site politique, mail… Les possibilités sont immenses.
Je pense que vous vous êtes convaincus que le choix d’un serveur DNS est donc désormais un choix de confiance. Il est donc préférable de ne pas choisir uniquement le serveur DNS que l’on utilise par rapport à ses « performances » mais surtout vis-à-vis de la confiance qu’on lui accorde. Il faut toujours garder à l’esprit la question suivante : pourquoi une entreprise met à disposition gratuitement un serveur DNS ? Exploite-t-elle les infos qu’elle récupère ? Est-ce un DNS menteur ?
Mais puisque c’est une question de confiance, le mieux ne serait-il pas d’avoir chacun notre serveur DNS causant directement avec le reste du monde ?
C’est la solution la plus geek et la plus sûre. Si vous faites déjà un peu d’auto-hébergement, c’est quelque chose de simple à mettre en place et qui ne nécessite que très peu de ressources. Votre serveur DNS contactera directement les serveurs DNS racines sans passer par les DNS de votre FAI. Il y a tout de même quelques précautions de sécurité à prendre en compte mais rien de vraiment insurmontable.