C’est quoi, un DNS qui ment ?



Le décret n° 2015-125 du 5 février 2015 « relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique » est entré en application.

C’est long comme nom, mais c’est toujours bon d’avoir le point de départ du billet.

Ce décret autorise le blocage de certains sites. La méthode de blocage choisie est celle du DNS menteur… et c’est important de savoir ce que c’est, parce que le DNS, vous l’utilisez en permanence. Partout sur vos ordinateurs, tablettes et téléphones, frigos et appareils connectés et j’en passe.

Pour comprendre ce que fait un DNS qui ment, il faut déjà comprendre ce que c’est qu’un DNS, je vais donc faire un peu de vulgarisation.

DNS, c’est pour Domain Name System, ça permet de traduire un nom de domaine en adresses compréhensibles par les machines qui font qu’Internet fonctionne, comme des adresses IP.

« C’est cool mais ce n’est pas très clair… »

On va faire plus simple : Internet ne parle pas notre langue, il parle en adresses qui ressemblent à ça : 185.34.33.4. On parle d’adresses IP.

Je pense que tout le monde sera d’accord…

« Hey salut, hier soir j’étais sur 185.34.33.4 c’était excellent
– Ah moi j’étais sur 186.208.17.1 et c’était pas top top
– Ah ouais, bon je te laisse je vais causer sur 191.18.12.4 »

… ce n’est franchement pas très pratique.

Le rôle du DNS, c’est de faire en sorte que l’adresse que vous saisissez vienne correspondre à l’adresse du serveur derrière, c’est comme une énorme annuaire d’Internet si vous préférez.

Seconde vulgarisation : comment ça fonctionne ?

J’étais parti pour vous faire un schéma mais je suis très nul avec les dessins et puis ça existe déjà, Andréa Fradin, aka @FradiFrad, l’a fait à l’époque où elle travaillait pour le regretté OWNI. Le dessin suivant est d’elle, j’espère qu’elle ne m’enverra pas la police pour lui avoir piqué.

Dans votre barre d’adresse, vous avez saisi « http://www.owni.fr», et quelques instants après la page s’affiche, ce que vous ne voyez pas, c’est ce qu’il s’est passé entre temps :

Dessin d'Andréa Fradin

Dessin d’Andréa Fradin – ex OWNI

On passera sur les notions de « racine », je vois renvoie à l’excellent billet d’où est tiré le dessin si vous voulez en savoir plus.

Votre ordinateur va donc interroger un serveur qui le guide vers un autre serveur qui le guide vers le bon chemin. Ça, c’est le fonctionnement « normal » d’un DNS, je pense que vous avez compris l’importance du système.

Alors, il se passe quoi lorsqu’il ment ?

Comme expliqué au début de l’article, le décret N° 2015-125 instaure le blocage de certains sites grâce à des DNS menteurs. Ces DNS sont ceux de certains opérateurs français(Orange, Free, SFR…), ils sont automatiquement fournis à votre ordinateur, sauf si vous avez configuré vous même votre connexion, avec autre chose que les serveur DNS de votre opérateur.

Ce sont des DNS là qui vous mentent. Dans les faits, lorsque vous allez essayer d’accéder à un site bloqué sur la base de ce décret, votre requête va toujours arriver au serveur DNS de votre opérateur, mais ce dernier ne vous orientera pas au bon endroit.

Il vous enverra sur un autre serveur, qui vous servira une autre page. Cette page vous dira que le site que vous tentez de visiter est bloqué car il fait l’apologie du terrorisme ou qu’il contient des images pédopornographiques.

Le site fonctionne toujours, le contenu est toujours là mais, lorsque vous voulez y accéder, le DNS ne vous dirige pas au bon endroit.

Si vous avez fait attention, vous avez déjà compris comment contourner ce blocage : ne pas utiliser les DNS de votre opérateur… et figurez-vous que c’est possible. Il existe des serveurs DNS que tout le monde peut utiliser, comme ceux mis à disposition par FDN, ou les « Google Public DNS ». Ces serveurs DNS ne sont pas concernés par le décret, puisqu’ils ne sont pas ceux d’opérateurs français.

C’est tout ?

Oui oui, c’est tout.
Pour contourner cette censure, il « suffit » de changer de serveur DNS.

Tout un programme de blocage des sites qui s’effondre. Il faut bien comprendre ce blocage n’arrête pas grand-chose, tout au plus il permet à certains de se dire qu’ils ont réellement fait quelque chose contre le terrorisme et la pédophilie, mais j’en doute.

Pourquoi c’est important, alors, de comprendre ce que c’est qu’un DNS menteur ?

La première réponse qui me vient est assez évidente : parce que si vous ne le savez pas, vous pouvez être redirigé n’importe où sans même avoir conscience que votre DNS vous ment.

La seconde raison, c’est que cet outil va finir par être utilisé pour d’autres motifs que le terrorisme et la pédophilie sur Internet.

Et pourquoi pas un blocage pour le fait d’avoir ouvertement critiqué un représentant de l’état, tiens ?

Pure coïncidence, un député à l’air assez tenté de mettre ça en place

C’est beau, non ?

Je ne lis pas l’avenir, mais il ne me semble pas absurde de déclarer que le jeu du chat et de la souris va s’amplifier, au risque de nous forcer à utiliser les DNS menteurs de nos opérateurs, au risque de bloquer massivement, au risque de casser un peu Internet… et la liberté d’expression, à un moment ou à un autre. J’espère me tromper, sincèrement.

Si vous voulez un exemple concret, rendez-vous sur islamic-news.info (la police ne viendra pas vous arrêter si vous cliquez dessus, vous serez, si vous utilisez les DNS de votre opérateur, renvoyé vers une page de l’Etat. Page assez moche, d’ailleurs.

Vous aimez cet article? Partagez-le ;-)

TwitterGoogle +LinkedInMail
Flattr !

15 commentaires to “C’est quoi, un DNS qui ment ?”

  1. avatar

    Ça marche avec les sites https ce type de mensonge ?

  2. avatar

    Oui ca marche avec les sites https, dans la mesure où la résolution DNS intervient avant l’établissement de la connexion https. Donc vous pouvez être floué avant l’établissement de connexion de confiance. La navigateur vous dira qu’il n’arrive pas à faire du https.

    @pixellibre : Petite correction de formulation qui me parait importante. Dans la « Seconde vulgarisation » il est écrit :

    « Le site fonctionne toujours, le contenu est toujours là mais vous, vous ne pouvez plus y accéder. »
    C’est incorrect et, je pense, de nature à fausser la compréhension des moins initiés.

    Je propose de remplacer par :
    « Le site fonctionne toujours, le contenu est toujours là mais, lorsque vous voulez y accéder, le DNS ne vous dirige pas au bon endroit. »

    My 2 cents.

    Très bon article, merci.

  3. avatar

    « Le dessin suivant est d’elle, j’espère qu’elle ne m’enverra pas la police pour lui avoir piqué. »

    OWNI est sous la licence foireuse de libre diffusion CC BY-NC, et il est bien précisé :

    « À chaque réutilisation ou distribution de cette création, vous devez faire apparaître clairement au public les conditions contractuelles de sa mise à disposition (CC). »

    Ce serait donc bien d’indiquer que contrairement au reste de ton blog diffusé sous CC0, cette image est sous CC BY-NC.
    Ou alors, il faut la contacter pour lui demander de changer sa licence. On fait un crowdfunding pour libérer son beau dessin ? 🙂

    Source :
    http://owni.fr/2012/07/05/internet-par-la-racine/
    http://owni.fr/mentions-legales/

  4. avatar

    En fait le blocage par des c’est une des étapes. L’autre étape c’est de demander à l’héberger de couper le site. Sur le site en question les deux ont été fait et le site n’est plus visible même avec de bon dns. (et une bonne pratique est de ne pas utiliser les dns de votre FAI, ils sont souvent lent de toute manière :-D)

  5. avatar

    J’ai modfié le fichier /etc/resolv.conf

    par le dns de fdn mais a chaque demarrage ceux de free sont de retour

  6. avatar

    Ce qui est interdit provoque toujours un regain d’intérêt, en particulier chez les jeunes. On ne me fera pas croire que les services étatiques ne sont pas conscients de cette conséquence. Ni qu’ils ne soient conscients de la possibilité que vous indiquez, de contourner la censure. En résumé les services étatiques sont tout à fait conscients que leur « pseudo censure » provoquera un regain d’intérêt pour le djihadisme, en particulier de la part des jeunes musulmans de banlieues désoeuvrés. Cela n’est nullement étonnant et tout à fait cohérent avec les politiques française et occidentale à l’oeuvre au moyen orient, dont l’intérêt est, d’après un rapport de la Defense Intelligence Agency de 2012, récemment déclassifié (je vous laisse chercher ce rapport sur internet c’est très facile), je cite, « de favoriser la création d’un califat en Syrie afin d’isoler le régime syrien » de son allié iranien. Vous voyez qu’en se creusant un peu la tête tout devient cohérent.

Rétroliens/Pings

  1. Liberté d’expression: Premier blocage de site sans décision de justice – Reveille toi - 16 mars 2015

    […] Techniquement, selon Stephane Bortzmeyer, architecte systèmes et réseaux, et spécialisé dans les questions de DNS, ce dispositif de censure fait appel à un résolveur DNS menteur, c’est-à-dire « qu’ils ne renvoient pas le résultat correct, mais un mensonge tel que demandé par le gouvernement » précise de son côté Taziden, membre notamment de la Fédération FFDN (voir également cette page.) […]

  2. Surveillance des outils numériques | Pearltrees - 16 mars 2015

    […] Pour deux excellentes raisons : Paris était déjà au courant. Et fait la même chose. C’est quoi, un DNS qui ment. […]

  3. La France bloque un premier site Web de propagande terroriste | Groupe Gaulliste Sceaux - 16 mars 2015

    […] Le blocage administratif est une mesure phare, et controversée, de la loi antiterroriste votée en novembre par les députés. Elle permet à une autorité administrative (l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) de réclamer aux éditeurs ou hébergeurs de sites sensibles le retrait des contenus illicites, sans passer par l’autorisation d’un juge. Passé un délai de 24 heures, elle peut alors exiger que les fournisseurs d’accès à Internet bloquent l’accès de la plateforme concernée. C’est ce qui s’est passé pour le site repéré par David Thomson, hérbergé par le français OVH: les internautes passant par leurs fournisseurs d’accès habituels sont redirigés vers une autre page que celle désirée, en l’occurrence un avertissement du ministère de l’Intérieur. Il s’agit d’une méthode dite de «DNS menteurs», ici décrit par le blogueur Numendil. […]

  4. Signal » Blog Archive » Censure sans juge d’Internet et délit d’opinion - 16 mars 2015

    […] explication simple chez Pixellibre de ce qu’est un DNS menteur […]

  5. Le retour de la censure policière en France – Reveille toi - 17 mars 2015

    […] pour des sites qui échappent aux réseaux de diffusion français ? Rue 89 et Pixellibre.net expliquent comment ça marche… ou pas. Mais bon… Alors pourquoi faut-il que je […]

  6. Actus Généralistes 2015 S12 | La Mare du Gof - 22 mars 2015

    […] 16/03/2015. C’est quoi, un DNS qui ment ? : pixellibre.net/2015/03/cest-quoi-un-dns-qui-ment/ 16/03/2015. Islamic-news.info bloqué sans juge, pour apologie ou provocation au terrorisme : […]

  7. OpenWRT DNS et DHCP | Hisyl - 2 avril 2015

    […] Le forwarder est le serveur dns que va intéroger bind si il ne connais pas la réponse à requête. En général c’est le serveur dns de la box ou du fai. Mais on pourrait aussi mettre des dns de prestaires qui ne bloquent/filtrent pas les requêtes, voir cet article. […]

  8. #3.1 | GEEK - 4 octobre 2015

    […] C’est quoi, un DNS qui ment ? | Pixellibre.net […]