DNS menteurs : c’est quoi ?

31

Le sujet fait parler de lui dans les milieux autorisés : SFR a récemment mis en place sur son réseau, ce qu’on appelle des DNS menteurs. Une pratique que Free a toujours refusé de mettre en œuvre. Mais concrètement, qu’est-ce que c’est, et pourquoi « c’est mal » ?

Pour commencer, un brin de technique. Les utilisateurs aguerris n’apprendront sans doute rien ici, mais ce rappel sera utile aux néophytes.

Les DNS, très simplement, c’est ce qui permet, lorsque vous surfez sur Internet, de rediriger une requête sous forme d’adresse (par exemple freenews.fr) vers le serveur correspondant sous forme chiffrée (adresse IP). Sans ces serveurs de DNS, aucune « adresse » web telle qu’on la connaît ne fonctionnerait.

Le fonctionnement des DNS est normalisé et répond à des critères bien précis pour être compris par les navigateurs. En particulier, lorsque vous tapez un domaine ou un sous-domaine qui n’existe pas (comme cette-adresse-nexiste-pas.com ou même patatechaude.google.fr), le serveur doit vous renvoyer un code d’erreur indiquant que le domaine est introuvable (et votre navigateur se chargera alors d’afficher une page d’erreur en conséquence).

GIF - 12.4 ko
L’erreur « Serveur introuvable » affichée sous Firefox 3.5

Depuis quelques semaines, sur la liste de diffusion FRnOG (référence francophone sur les opérateurs réseau, dans laquelle interviennent de nombreux professionnels du milieu), la discussion s’est portée sur le cas de SFR, qui a mis en place ce qu’on appelle des DNS menteurs.

Les DNS menteurs, au lieu de renvoyer un code d’erreur standard (NXDOMAIN, « ce domaine n’existe pas »), amènent l’utilisateur vers une page de recherche sponsorisée (AOL.fr dans le cas de SFR) proposant des suggestions de noms de domaines valides. Bien souvent, ces systèmes sont avant tout mis en place pour pouvoir placer des liens publicitaires sur les pages d’erreur.

Si, officiellement, selon SFR, ce dispositif est là pour faciliter la vie des utilisateurs néophytes (qui ne sont apparemment pas capables de comprendre une page d’erreur affichée par leur navigateur, cf. image précédente…), il pose de nombreux problèmes. D’un point de vue technique, il est « menteur » car il fait croire qu’un domaine existe, même quand ce n’est pas le cas.

Vous ne le savez peut-être pas mais la plupart des navigateurs modernes proposent l’auto-complétion de mots simples. Si vous tapez un mot au lieu d’un nom de domaine dans la barre d’adresse, le navigateur va « tester » les noms de domaine disponibles. Il va par exemple commencer par tester votremot.fr, puis s’il n’existe pas votremot.com, votremot.net etc., jusqu’à en trouver un valide et vous l’afficher. Toute cette étape est totalement invisible pour l’utilisateur.

Avec des DNS menteurs, cela n’est plus possible. Quel que soit le nom de domaine testé, le serveur de DNS répondra que cela existe… même s’il s’agit de la page d’erreur mise en place par le fournisseur. Cela rend totalement inutilisable la fonction du navigateur… et va complètement à l’encontre de la « simplicité » pour les néophytes prônée par SFR.

De nombreux autres problèmes peuvent se présenter : un logiciel qui cherche automatiquement les liens morts d’un site ne pourra plus forcément fonctionner correctement, un « aspirateur » de site non plus, etc. Les exemples sont nombreux. Les DNS menteurs prennent en fait la place d’une fonction qui doit normalement être implémentée au niveau de l’utilisateur final (et non sur le réseau), c’est-à-dire directement dans le navigateur. Ainsi, de nombreux plugins pour Firefox proposent des pages de recherche en cas de domaine introuvable. Des outils comme la barre Google peuvent vous rediriger vers une page de recherche, à la demande. Quand à Internet Explorer 8, le navigateur « grand public » par excellence, il peut vous renvoyer vers une page du moteur de recherche de votre choix (Google, Bing…).

Le fait que SFR s’interpose sur le réseau n’a qu’un seul résultat : empêcher l’utilisateur de choisir son propre moteur de recherche ou sa page d’erreur personnalisée, et lui imposer à la place ce que le fournisseur a choisi, liens commerciaux et/ou publicités à l’appui.

Plus généralement, ce type d’interventionnisme constitue une atteinte claire à la neutralité du réseau. Bien que cela soit une chose de plus en plus courante, notamment outre-Atlantique, est-ce une raison ? La neutralité du net, notion pourtant vitale, reste une problématique ignorée (volontairement ou non) par la plupart des fournisseurs d’accès. SFR vient de se positionner contre, les internautes en prendront note.

Et chez Free alors ? Si l’on se fie aux dires de son « grognon » de directeur technique, Rani Assaf, il n’y a pas de risque de voir arriver de DNS menteurs. « Y avait la même bouse chez Alice sur les DNS. Ca a dégagé direct le jour où l’on a basculé leurs DNS chez nous ». Ca a le mérite d’être clair, non ? 😉

Partager

A propos de l'auteur

[Responsable de la rédaction] Sévit également sur Café Gaming et Point de vue social.

31 commentaires

  1. Je suis assez d'accord. Je n'ai pas envie d'avoir de la pub si un domaine n'est pas trouve. Surtout qu'on ne peut pas choisir nous-meme l'action par defaut.
    Et si les abonnes SFR entraient dans leur config reseau les DNS Free, ca devrait marcher, non ? Au moins pour les utilisateurs avertis...

  2. A l'époque où Télé 2 a mis en place la même pratique sur ses DNS, j'ai testé OpenDNS sans être convaincu et j'ai finalement opté pour l'installation de mon propre serveur dns (bind9).
    J'ai l'impression que les dns sfr sont revenus "à la normale" non ?

  3. Pour ceux qui veulent se passer des DNS de nos opérateurs (qui seront sans doute bientôt amenés à être triturés par le bon vouloir de notre état...), passez à l'OpenDNS !
    Meilleur temps de réponse, aucun dowtime, protection contre le phishing : remplacez juste vos DNS par ces deux-là : [b]208.67.222.222[/b] et [b]208.67.220.220[/b].
    De nombreux tutoriaux d'install directement sur le site : http://www.opendns.com

  4. Réagir sur le forum