C’est quoi, un DNS qui ment ?

Le décret n° 2015-125 du 5 février 2015 « relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique » est entré en application.

C’est long comme nom, mais c’est toujours bon d’avoir le point de départ du billet.

Ce décret autorise le blocage de certains sites. La méthode de blocage choisie est celle du DNS menteur… et c’est important de savoir ce que c’est, parce que le DNS, vous l’utilisez en permanence. Partout sur vos ordinateurs, tablettes et téléphones, frigos et appareils connectés et j’en passe.

Pour comprendre ce que fait un DNS qui ment, il faut déjà comprendre ce que c’est qu’un DNS, je vais donc faire un peu de vulgarisation.

DNS, c’est pour Domain Name System, ça permet de traduire un nom de domaine en adresses compréhensibles par les machines qui font qu’Internet fonctionne, comme des adresses IP.

« C’est cool mais ce n’est pas très clair… »

On va faire plus simple : Internet ne parle pas notre langue, il parle en adresses qui ressemblent à ça : 185.34.33.4. On parle d’adresses IP.

Je pense que tout le monde sera d’accord…

« Hey salut, hier soir j’étais sur 185.34.33.4 c’était excellent
– Ah moi j’étais sur 186.208.17.1 et c’était pas top top
– Ah ouais, bon je te laisse je vais causer sur 191.18.12.4 »

… ce n’est franchement pas très pratique.

Le rôle du DNS, c’est de faire en sorte que l’adresse que vous saisissez vienne correspondre à l’adresse du serveur derrière, c’est comme une énorme annuaire d’Internet si vous préférez.

Seconde vulgarisation : comment ça fonctionne ?

J’étais parti pour vous faire un schéma mais je suis très nul avec les dessins et puis ça existe déjà, Andréa Fradin, aka @FradiFrad, l’a fait à l’époque où elle travaillait pour le regretté OWNI. Le dessin suivant est d’elle, j’espère qu’elle ne m’enverra pas la police pour lui avoir piqué.

Dans votre barre d’adresse, vous avez saisi « http://www.owni.fr», et quelques instants après la page s’affiche, ce que vous ne voyez pas, c’est ce qu’il s’est passé entre temps :

Dessin d'Andréa Fradin
Dessin d’Andréa Fradin – ex OWNI

On passera sur les notions de « racine », je vois renvoie à l’excellent billet d’où est tiré le dessin si vous voulez en savoir plus.

Votre ordinateur va donc interroger un serveur qui le guide vers un autre serveur qui le guide vers le bon chemin. Ça, c’est le fonctionnement « normal » d’un DNS, je pense que vous avez compris l’importance du système.

Alors, il se passe quoi lorsqu’il ment ?

Comme expliqué au début de l’article, le décret N° 2015-125 instaure le blocage de certains sites grâce à des DNS menteurs. Ces DNS sont ceux de certains opérateurs français(Orange, Free, SFR…), ils sont automatiquement fournis à votre ordinateur, sauf si vous avez configuré vous même votre connexion, avec autre chose que les serveur DNS de votre opérateur.

Ce sont des DNS là qui vous mentent. Dans les faits, lorsque vous allez essayer d’accéder à un site bloqué sur la base de ce décret, votre requête va toujours arriver au serveur DNS de votre opérateur, mais ce dernier ne vous orientera pas au bon endroit.

Il vous enverra sur un autre serveur, qui vous servira une autre page. Cette page vous dira que le site que vous tentez de visiter est bloqué car il fait l’apologie du terrorisme ou qu’il contient des images pédopornographiques.

Le site fonctionne toujours, le contenu est toujours là mais, lorsque vous voulez y accéder, le DNS ne vous dirige pas au bon endroit.

Si vous avez fait attention, vous avez déjà compris comment contourner ce blocage : ne pas utiliser les DNS de votre opérateur… et figurez-vous que c’est possible. Il existe des serveurs DNS que tout le monde peut utiliser, comme ceux mis à disposition par FDN, ou les « Google Public DNS ». Ces serveurs DNS ne sont pas concernés par le décret, puisqu’ils ne sont pas ceux d’opérateurs français.

C’est tout ?

Oui oui, c’est tout.
Pour contourner cette censure, il « suffit » de changer de serveur DNS.

Tout un programme de blocage des sites qui s’effondre. Il faut bien comprendre ce blocage n’arrête pas grand-chose, tout au plus il permet à certains de se dire qu’ils ont réellement fait quelque chose contre le terrorisme et la pédophilie, mais j’en doute.

Pourquoi c’est important, alors, de comprendre ce que c’est qu’un DNS menteur ?

La première réponse qui me vient est assez évidente : parce que si vous ne le savez pas, vous pouvez être redirigé n’importe où sans même avoir conscience que votre DNS vous ment.

La seconde raison, c’est que cet outil va finir par être utilisé pour d’autres motifs que le terrorisme et la pédophilie sur Internet.

Et pourquoi pas un blocage pour le fait d’avoir ouvertement critiqué un représentant de l’état, tiens ?

Pure coïncidence, un député à l’air assez tenté de mettre ça en place

C’est beau, non ?

Je ne lis pas l’avenir, mais il ne me semble pas absurde de déclarer que le jeu du chat et de la souris va s’amplifier, au risque de nous forcer à utiliser les DNS menteurs de nos opérateurs, au risque de bloquer massivement, au risque de casser un peu Internet… et la liberté d’expression, à un moment ou à un autre. J’espère me tromper, sincèrement.

Si vous voulez un exemple concret, rendez-vous sur islamic-news.info (la police ne viendra pas vous arrêter si vous cliquez dessus, vous serez, si vous utilisez les DNS de votre opérateur, renvoyé vers une page de l’Etat. Page assez moche, d’ailleurs.

15 réflexions au sujet de « C’est quoi, un DNS qui ment ? »

  1. Oui ca marche avec les sites https, dans la mesure où la résolution DNS intervient avant l’établissement de la connexion https. Donc vous pouvez être floué avant l’établissement de connexion de confiance. La navigateur vous dira qu’il n’arrive pas à faire du https.

    @pixellibre : Petite correction de formulation qui me parait importante. Dans la « Seconde vulgarisation » il est écrit :

    « Le site fonctionne toujours, le contenu est toujours là mais vous, vous ne pouvez plus y accéder. »
    C’est incorrect et, je pense, de nature à fausser la compréhension des moins initiés.

    Je propose de remplacer par :
    « Le site fonctionne toujours, le contenu est toujours là mais, lorsque vous voulez y accéder, le DNS ne vous dirige pas au bon endroit. »

    My 2 cents.

    Très bon article, merci.

  2. « Le dessin suivant est d’elle, j’espère qu’elle ne m’enverra pas la police pour lui avoir piqué. »

    OWNI est sous la licence foireuse de libre diffusion CC BY-NC, et il est bien précisé :

    « À chaque réutilisation ou distribution de cette création, vous devez faire apparaître clairement au public les conditions contractuelles de sa mise à disposition (CC). »

    Ce serait donc bien d’indiquer que contrairement au reste de ton blog diffusé sous CC0, cette image est sous CC BY-NC.
    Ou alors, il faut la contacter pour lui demander de changer sa licence. On fait un crowdfunding pour libérer son beau dessin ? 🙂

    Source :
    http://owni.fr/2012/07/05/internet-par-la-racine/
    http://owni.fr/mentions-legales/

  3. En fait le blocage par des c’est une des étapes. L’autre étape c’est de demander à l’héberger de couper le site. Sur le site en question les deux ont été fait et le site n’est plus visible même avec de bon dns. (et une bonne pratique est de ne pas utiliser les dns de votre FAI, ils sont souvent lent de toute manière :-D)

  4. Ce qui est interdit provoque toujours un regain d’intérêt, en particulier chez les jeunes. On ne me fera pas croire que les services étatiques ne sont pas conscients de cette conséquence. Ni qu’ils ne soient conscients de la possibilité que vous indiquez, de contourner la censure. En résumé les services étatiques sont tout à fait conscients que leur « pseudo censure » provoquera un regain d’intérêt pour le djihadisme, en particulier de la part des jeunes musulmans de banlieues désoeuvrés. Cela n’est nullement étonnant et tout à fait cohérent avec les politiques française et occidentale à l’oeuvre au moyen orient, dont l’intérêt est, d’après un rapport de la Defense Intelligence Agency de 2012, récemment déclassifié (je vous laisse chercher ce rapport sur internet c’est très facile), je cite, « de favoriser la création d’un califat en Syrie afin d’isoler le régime syrien » de son allié iranien. Vous voyez qu’en se creusant un peu la tête tout devient cohérent.

  5. Ping : #3.1 | GEEK

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *