Cet article est une nouvelle version censurée d’un article précédent retiré de la publication en raison d’un rapport de force défavorable entre l’entité commerciale concernée et moi-même. La suite donc, sans noms et sans précisions organisationnelles.

Mes gros doigts patauds sont prolixes en fautes de frappe et j’ai donc malencontreusement écorché le nom d’un site bien connu en entrant http://www.azrerogfihazeozofiehazfeomih.com – et j’ai eu la surprise de constater qu’au lieu de recevoir la réponse standard NXDOMAIN telle que les RFC l’exigent, j’ai eu droit à une page garnie de liens vers des recherches aussi aléatoires que publicitaires, générée par mon fournisseur d’accès :

SFR AOL DNS hijacking

Les recommandations de l’ICANN au sujet du détournement de DNS mentionnent que si malgré tout un fournisseur de service tombe aussi bas il devrait proposer à l’abonné un moyen de s’exclure de cette fonctionnalité. Mais je n’ai pas vu la moindre trace de lien de désinscription sur cette page. Je n’ai également jamais été informé de cette modification unilatérale du service qui pourrait être une raison suffisante de rupture de contrat.

Un petit rappel pour nos lecteurs non-initiés aux arcanes du DNS : le rôle du DNS est de traduire un nom de domaine tel que sinhaladweepa.ruwenzori.net en adresse IP telle que 212.85.152.17. Le DNS n’est pas seulement un pilier fondamental pour la toile, il l’est pour tout l’Internet – c’est à dire aussi les messageries, le partage de fichiers, les imprimantes partagées et bien d’autres choses encore. Les abonnés paient pour ce service qui se conforme à une collection de standards universellement acceptés. Et voici que leur fournisseur le dévoie pour en tirer profit au mépris de l’intégrité technique du service livré.

Pourquoi est-il très important d’émettre une véritable réponse négative lorsque le domaine n’existe pas, au lieu de générer une page de publicité en prétendant qu’il existe ? Il n’y a pas que des humains qui utilisent l’Internet – les programmes qui tentent de joindre une adresse non existante doivent être notifiés du problème au lieu de croire erronément que tout se passe bien. Certaines configurations deréseaux privés virtuels reposent légitimement sur l’hypothèse que les domaines non existants doivent être signalés comme tels. Et ce ne sont pas les seuls services endommagés par le détournement de DNS.

Le détournement de DNS a également pour conséquence une insécurité accrue. Un message envoyés avec un nom de domaine erroné ? Le serveur de messagerie du publicitaire le reçoit. Une tentative de login avec un nom de domaine erroné ? L’identifiant et le mot de passe sont postés sur le serveur du publicitaire. Bien sûr, peut-être que le publicitaire est digne de confiance… Mais est-ce bien raisonnable de faire dépendre autant de problématiques de sécurité de la bonne volonté d’un seul acteur ?

Confiant dans mon fournisseur, j’avais commencé à utiliser son service DNS au lieu de dépendre de mon serveur habituel qui se trouve un peu plus loin sur le réseau. Il me semble que je vais bientôt revenir à mes vieilles habitudes et résoudre les noms sans avoir recours à un service dans lequel j’ai perdu confiance.

A quand les erreur HTTP 404 détournées ? Ne serait-ce pas merveilleux que le sympathique fournisseur d’accès insère une tartine de publicité à la place d’une erreur signalant une page non trouvée ? D’ici là je serai parti chez la concurrence – même le tarif réduit dont je bénéficie en tant que salarié aura du mal à me convaincre de rester.

Quand j’achète un accès à l’Internet, est-il besoin d’expliquer que je veux un accès à l’Internet, et non pas un accès à l’Internet à travers les lunettes publicitaires roses de mon fournisseur d’accès ? Il semble malheureusement que ce genre de précisions va devenir nécessaire…

http://en.wikipedia.org/wiki/Domain_name_system
YARPP