Blocage par erreur d'Orange et DNS : quelle fiabilité pour cet élément essentiel du Net ?


  • Admin

    Après le blocage de plusieurs sites majeurs par Orange, nous avons voulu comprendre comment une telle situation s’est installée, et comment elle peut évoluer. De la gestion des résolveurs DNS par les opérateurs aux alternatives en développement, tour d’horizon avec l’expert Stéphane Bortzmeyer.

    alt text

    Le 17 octobre au matin, Orange a redirigé ses clients accédant à plusieurs sites, dont au moins Google, OVH et Wikipédia vers la page de blocage des « sites terroristes » du Ministère de l’Intérieur. Un souci provoqué par une « erreur humaine » pendant la mise à jour du système de détournement, imposé par la place Beauvau.

    Le Ministère a demandé des comptes à l’opérateur historique, et exigé la suppression des adresses IP concernées de la liste de consultation des sites illicites. Mais cet incident pose la question de la pertinence d’avoir imposé aux fournisseurs d’accès français de proposer des résolveurs DNS menteurs.

    Pour rappel, un résolveur DNS permet de relier un nom de domaine (nextinpact.com par exemple) à l’adresse IP du serveur qui l’héberge. Sa seule fonction est donc d’apporter rapidement la bonne réponse. Le plus souvent gérée directement par les opérateurs, cette brique essentielle n’est pas (encore) utilisée en toute transparence, pour des raisons légales, sécuritaires ou commerciales.

    Pour comprendre comment nous en sommes arrivés à cette situation, et les pistes à venir pour améliorer cet outil, nous avons discuté avec l’un de ses plus grands spécialistes français, Stéphane Bortzmeyer.

    Pourquoi les opérateurs fournissent-ils un résolveur DNS ?

    Il n’est pourtant pas évident qu’un fournisseur d’accès soit celui qui gère le résolveur DNS d’une connexion. Sur la base du modèle OSI, communément utilisé pour décrire les réseaux, « certains informaticiens répondront que les opérateurs gèrent le réseau (couche 3), donc n’ont pas à gérer le DNS (couche 7, applicatif) » explique Stéphane Bortzmeyer. Pourtant, « le DNS a cela de particulier qu’on ne peut pas s’en passer. Le DNS n’est pas une simple application, mais un service d’infrastructure indispensable à quasiment tout ».

    En partant de ce principe, il est donc compliqué de fournir une connexion sans résolveur DNS, qui permet d’effectivement consulter des sites et services sans manipulation technique de la part du client. En tant que partie de l’infrastructure du réseau, chaque opérateur a donc intérêt à l’internaliser, pour garantir son bon fonctionnement.

    Est-ce qu’ils pourraient le mettre en commun ? « Le problème est que s’il tombe en panne ou est piraté, c’est une catastrophe. La résilience de l’Internet dépend du fait de ne pas avoir de point unique de défaillance. Orange a eu un problème, les autres ont fonctionné » rappelle Bortzmeyer.

    Comment un résolveur DNS peut-il mentir ?

    […]

    Suite de l’article (très complet !) : nextinpact.com
    NB : il est accessible gratuitement pendant 24h avant d’être réservé aux abonnés pendant un mois.
    Je vous le conseille, il est très intéressant.


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.