Récursif / résolveur DNS

Résumé : ARN met à disposition un récursif/résolveur DNS ouvert à tout le monde : recursif.arn-fai.net - 89.234.141.66 - 2a00:5881:8100:1000::3 .

Récursif DNS ? Kézako ? Quels enjeux ?

La moins mauvaise analogie est de considérer le DNS comme un annuaire téléphonique. Ce dernier associe plusieurs informations au nom d'une personne physique ou morale : numéros de téléphone, adresse postale, site web, etc. De la même manière, sur Internet, le DNS est le mécanisme le plus utilisé pour obtenir une information à partir d'un nom de domaine. Exemple : afin de vous permettre de consulter le présent site web, votre ordinateur a cherché (et obtenu) l'information « quelle est l'adresse de l'ordinateur sur lequel est hébergé le site web d'arn-fai.net ? » (« arn-fai.net » est un nom de domaine).

Que se passe-t-il si votre ordinateur obtient comme réponse « arn-fai.net n'existe pas » ou s'il obtient une adresse différente de la réalité ? Dans la première hypothèse, vous ne pourriez pas visiter ce site web. Dans la deuxième, vous seriez dirigé vers un site web qui imiterait probablement l'apparence du nôtre pour mieux diffuser de fausses informations. Imaginez maintenant que ce type de manipulations soit appliqué au site web d'un journal. À celui d'un parti politique. À celui de votre banque.

 

Qui/quoi fournit les réponses à votre ordinateur ?

Plusieurs ordinateurs, que l'on nomme « récursifs DNS » ou encore « résolveurs DNS » auxquels votre ordinateur adresse ses demandes de résolution de nom. La plupart du temps, vous utilisez implicitement ceux de votre Fournisseur d'Accès à Internet puisque, de manière générale, le récursif DNS à utiliser fait partie des informations qui sont configurées automatiquement sur chaque réseau auquel vous vous connectez (à votre domicile, le hotspot WiFi d'une gare, le réseau d'une université, etc.). Néanmoins, vous pouvez en changer.

Et c'est important que ce changement soit possiible puisqu'on a constaté ci-dessus que l'organisation qui vous fournit le service de résolution de noms a un certain pouvoir : elle connaît tous les services que vous consultez, elle peut vous répondre intentionnellement qu'un service existant n'existe pas ou vous rediriger là où elle le désire.

 

Est-ce qu'il existe des cas concrets de comportements qui nous semblent abusifs ?

Oui :

  • Tous les plus gros Fournisseurs d'Accès à Internet commerciaux français d'envergure nationale ont eu la tentation d'envoyer de la publicité quand un site web n'existe pas (exemple : vous avez tapé « arnfai.net » au lieu d'« arn-fai.net » dans la barre d'adresse de votre navigateur web). Certains l'ont mise en pratique comme SFR ou Alice. D'autres récursifs DNS mentent pour des raisons de sécurité (pour vous empêcher d'aller sur un site contenant des virus et autres joyeusetés, pour corriger automatiquement vos fautes de frappe d'un nom pour éviter de tomber sur un mauvais site web, etc.) qui ne sont pas forcément légitimes (autonomie des personnes, erreur d'appréciation de la qualité d'un site web, etc.).

 

  • C'est sur le DNS que reposent le blocage judiciaire des sites web de jeux d'argent qui ne payent pas leur licence d'exploitation à l'État (loi 2010-476 de 2010) ou de tout autre site web (exemples : t411 et Copwatch) mais aussi tout le blocage administratif (hors procédure judiciaire), sur liste secrète du ministère de l'Intérieur, des sites web pédopornographiques (loi LOPPSI 2 de 2011) ou faisant l'apologie du terrorisme (loi Cazeneuve de 2014). Ces types de blocage sont insidieux puisqu'ils ne font pas disparaître les problèmes, ni ne viennent au secours des victimes, ni ne les dédommagent : les infractions à la loi et les atteintes aux personnes continuent… mais en silence, derrière le rideau, puisque leurs auteur-e-s ne sont pas arrêté-e-s. Bloquer des sites web, c'est fermer les yeux sur des problèmes plutôt que de s'attaquer à leurs racines, en somme. De plus, comment contrôler la légitimité de l'action du gouvernement dans le cas du blocage administratif afin d'éviter les dérives ? Un des premiers sites web bloqués dans ce contexte, islamic-news, l'a été sans véritables arguments de droit ou de fait de la part du gouvernement.

 

  • Du point précédent découle une inégalité entre les citoyens. Un blocage judiciaire est opposable aux seuls Fournisseurs d'Accès à Internet qui font l'objet d'une décision définitive de la justice. Dans le cadre du blocage administratif, la liste secrète est communiquée par le ministère de l'Intérieur aux Fournisseurs d'Accès à Internet sélectionnés par le gouvernement. En pratique, dans les deux cas, il s'avère que seuls les plus gros FAI commerciaux de France d'envergure nationale sont contraints à prendre des mesures de blocage. Quid du citoyen qui a recours aux prestations d'un autre FAI (université, travail, association, etc.) ? Sans compétences particulières, les contenus consultables en ligne par l'ensemble des citoyens français sont différents. Est-ce que cette différence d'accès à l'information est acceptable ?

 

Que vient faire ARN dans tout ça ?

ARN met à disposition un récursif/résolveur DNS. Celui-ci est utilisable gratuitement par tout le monde : abonné-e à ARN ou non.

Informations utiles :


En deuxième récursif/résolveur DNS, vous pouvez utiliser celui d'une association amie dont nous partageons les valeurs et les principes comme LDN ou FDN.

 

Comment changer le récursif/résolveur DNS que j'utilise ?

Avant d'aller plus loin, il faut décider si le changement concernera un seul ordinateur ou bien tous les équipements connectés à Internet de votre domicile (tous les ordinateurs, tablettes, smartphones, etc.). Dans le premier cas, la manipulation est à effectuer sur l'ordinateur en question et varie en fonction de votre système d'exploitation. Dans le deuxième cas, il est plus rapide et plus simple d'effectuer le changement sur votre Box Internet.

  • Box : cela dépend de votre box et de si ce changement est encore autorisé ou non ;
  • GNU/Linux : le plus simple est de configurer Network-manager. Si vous n'utilisez pas Network-manager, vous pouvez configurer dhclient ;
  • Windows ;
  • Mac OS X ;
  • iPhone ou iPad. Attention : la modification s'applique uniquement au point d'accès WiFi en cours. Elle ne s'applique ni à l'ensemble des points d'accès WiFi ni à l'Internet mobile (3G/4G) ;
  • Téléphone ou tablette Android : il ne semble pas exister de manière facile, durable et en logiciel libre pour changer le récursif DNS utilisé.

Attention : certains de ces tutoriels conseillent d'utiliser les récursifs/résolveurs DNS de Google ou d'OpenDNS. Le premier est discutable sur le respect de la vie privée étant donné le modèle économique de Google basé sur l'exploitation massive de nos données personnelles, et le second est menteur. Nous vous dirigeons vers eux uniquement pour leurs explications sur la marche à suivre pour changer de récursif/résolveur DNS.

Pour vérifier que votre modification est effective, vous pouvez utiliser le site web suivant : IPLeak. « 89.234.141.66 » doit être indiqué en dessous de la mention « DNS Address detection ».

 

Informations avancées

Avant d'ouvrir un récursif DNS ouvert au public, il y a quelques précautions à prendre afin que celui-ci ne soit pas utilisé pour conduire des attaques DDoS de grande envergure. Nous avons intégralement documenté notre installation.