DNS menteurs : c’est quoi ?

31

Le sujet fait parler de lui dans les milieux autorisés : SFR a récemment mis en place sur son réseau, ce qu’on appelle des DNS menteurs. Une pratique que Free a toujours refusé de mettre en œuvre. Mais concrètement, qu’est-ce que c’est, et pourquoi « c’est mal » ?

Pour commencer, un brin de technique. Les utilisateurs aguerris n’apprendront sans doute rien ici, mais ce rappel sera utile aux néophytes.

Les DNS, très simplement, c’est ce qui permet, lorsque vous surfez sur Internet, de rediriger une requête sous forme d’adresse (par exemple freenews.fr) vers le serveur correspondant sous forme chiffrée (adresse IP). Sans ces serveurs de DNS, aucune « adresse » web telle qu’on la connaît ne fonctionnerait.

Le fonctionnement des DNS est normalisé et répond à des critères bien précis pour être compris par les navigateurs. En particulier, lorsque vous tapez un domaine ou un sous-domaine qui n’existe pas (comme cette-adresse-nexiste-pas.com ou même patatechaude.google.fr), le serveur doit vous renvoyer un code d’erreur indiquant que le domaine est introuvable (et votre navigateur se chargera alors d’afficher une page d’erreur en conséquence).

GIF - 12.4 ko
L’erreur « Serveur introuvable » affichée sous Firefox 3.5

Depuis quelques semaines, sur la liste de diffusion FRnOG (référence francophone sur les opérateurs réseau, dans laquelle interviennent de nombreux professionnels du milieu), la discussion s’est portée sur le cas de SFR, qui a mis en place ce qu’on appelle des DNS menteurs.

Les DNS menteurs, au lieu de renvoyer un code d’erreur standard (NXDOMAIN, « ce domaine n’existe pas »), amènent l’utilisateur vers une page de recherche sponsorisée (AOL.fr dans le cas de SFR) proposant des suggestions de noms de domaines valides. Bien souvent, ces systèmes sont avant tout mis en place pour pouvoir placer des liens publicitaires sur les pages d’erreur.

Si, officiellement, selon SFR, ce dispositif est là pour faciliter la vie des utilisateurs néophytes (qui ne sont apparemment pas capables de comprendre une page d’erreur affichée par leur navigateur, cf. image précédente…), il pose de nombreux problèmes. D’un point de vue technique, il est « menteur » car il fait croire qu’un domaine existe, même quand ce n’est pas le cas.

Vous ne le savez peut-être pas mais la plupart des navigateurs modernes proposent l’auto-complétion de mots simples. Si vous tapez un mot au lieu d’un nom de domaine dans la barre d’adresse, le navigateur va « tester » les noms de domaine disponibles. Il va par exemple commencer par tester votremot.fr, puis s’il n’existe pas votremot.com, votremot.net etc., jusqu’à en trouver un valide et vous l’afficher. Toute cette étape est totalement invisible pour l’utilisateur.

Avec des DNS menteurs, cela n’est plus possible. Quel que soit le nom de domaine testé, le serveur de DNS répondra que cela existe… même s’il s’agit de la page d’erreur mise en place par le fournisseur. Cela rend totalement inutilisable la fonction du navigateur… et va complètement à l’encontre de la « simplicité » pour les néophytes prônée par SFR.

De nombreux autres problèmes peuvent se présenter : un logiciel qui cherche automatiquement les liens morts d’un site ne pourra plus forcément fonctionner correctement, un « aspirateur » de site non plus, etc. Les exemples sont nombreux. Les DNS menteurs prennent en fait la place d’une fonction qui doit normalement être implémentée au niveau de l’utilisateur final (et non sur le réseau), c’est-à-dire directement dans le navigateur. Ainsi, de nombreux plugins pour Firefox proposent des pages de recherche en cas de domaine introuvable. Des outils comme la barre Google peuvent vous rediriger vers une page de recherche, à la demande. Quand à Internet Explorer 8, le navigateur « grand public » par excellence, il peut vous renvoyer vers une page du moteur de recherche de votre choix (Google, Bing…).

Le fait que SFR s’interpose sur le réseau n’a qu’un seul résultat : empêcher l’utilisateur de choisir son propre moteur de recherche ou sa page d’erreur personnalisée, et lui imposer à la place ce que le fournisseur a choisi, liens commerciaux et/ou publicités à l’appui.

Plus généralement, ce type d’interventionnisme constitue une atteinte claire à la neutralité du réseau. Bien que cela soit une chose de plus en plus courante, notamment outre-Atlantique, est-ce une raison ? La neutralité du net, notion pourtant vitale, reste une problématique ignorée (volontairement ou non) par la plupart des fournisseurs d’accès. SFR vient de se positionner contre, les internautes en prendront note.

Et chez Free alors ? Si l’on se fie aux dires de son « grognon » de directeur technique, Rani Assaf, il n’y a pas de risque de voir arriver de DNS menteurs. « Y avait la même bouse chez Alice sur les DNS. Ca a dégagé direct le jour où l’on a basculé leurs DNS chez nous ». Ca a le mérite d’être clair, non ? 😉

Partager

A propos de l'auteur

[Responsable de la rédaction] Sévit également sur Café Gaming et Point de vue social.

31 commentaires

  1. jiggaknot a écrit :
    J'arrive pas à voir ce qu'il y a de choquant...
    Je t'invite donc à cliquer sur le lien "neutralité du net" pour en avoir un petit aperçu. Ou à consulter d'autres conférences sur le sujet (fais un petit google sur Benjamin Bayart, tu devrais trouver ton compte !) De plus, comme je le précise, c'est une entorse à la libre concurrence, puisqu'on t'impose un moteur de recherche sponsorisé au lieu de te laisser choisir le tien.

  2. jiggaknot a écrit :
    J'arrive pas à voir ce qu'il y a de choquant...
    Oh juste le fait que SFR porte atteinte à ce que appelle la neutralité du réseau. Ou comment, grace à la loi LOPPSI, les autorités pourront limiter et/ou intervenir dans le traffic vers internet. Sans vouloir (trop) extrapoler, la Chine a sans doute commencé comme ça :/

  3. Je suis assez d'accord. Je n'ai pas envie d'avoir de la pub si un domaine n'est pas trouve. Surtout qu'on ne peut pas choisir nous-meme l'action par defaut. Et si les abonnes SFR entraient dans leur config reseau les DNS Free, ca devrait marcher, non ? Au moins pour les utilisateurs avertis...

  4. gadafla a écrit :
    Je suis assez d'accord. Je n'ai pas envie d'avoir de la pub si un domaine n'est pas trouve. Surtout qu'on ne peut pas choisir nous-meme l'action par defaut. Et si les abonnes SFR entraient dans leur config reseau les DNS Free, ca devrait marcher, non ? Au moins pour les utilisateurs avertis...
    Oui bien sûr, en changeant de DNS ça contourne le problème. Il n'en reste pas moins que 99% des utilisateurs gardent la configuration automatique par défaut de leur fournisseur.

  5. A l'époque où Télé 2 a mis en place la même pratique sur ses DNS, j'ai testé OpenDNS sans être convaincu et j'ai finalement opté pour l'installation de mon propre serveur dns (bind9). J'ai l'impression que les dns sfr sont revenus "à la normale" non ?

  6. Freud a écrit :
    Peut-on avoir le lien où Rani Assaf s'exprime à ce sujet ? Merci d'avance.
    c'est dans ce fil de discussion : http:[email protected]/msg06650.html

  7. Pour ceux qui veulent se passer des DNS de nos opérateurs (qui seront sans doute bientôt amenés à être triturés par le bon vouloir de notre état...), passez à l'OpenDNS ! Meilleur temps de réponse, aucun dowtime, protection contre le phishing : remplacez juste vos DNS par ces deux-là : 208.67.222.222 et 208.67.220.220. De nombreux tutoriaux d'install directement sur le site : http://www.opendns.com

  8. AstroMan a écrit :
    Pour ceux qui veulent se passer des DNS de nos opérateurs (qui seront sans doute bientôt amenés à être triturés par le bon vouloir de notre état...), passez à l'OpenDNS ! Meilleur temps de réponse, aucun dowtime, protection contre le phishing : remplacez juste vos DNS par ces deux-là : 208.67.222.222 et 208.67.220.220. De nombreux tutoriaux d'install directement sur le site : http://www.opendns.com
    Mauvais exemple quand même, de base, OpenDNS utilise également des DNS menteurs ! :p On peut les désactiver avec un compte, ceci dit.

  9. Réagir sur le forum