Site WWW de Laurent Bloch
Slogan du site

ISSN 2271-3905
Cliquez ici si vous voulez visiter mon autre site, orienté vers des sujets moins techniques.

Pour recevoir (au plus une fois par semaine) les nouveautés de ce site, indiquez ici votre adresse électronique :

Il faut que le DNS soit unique
(et univoque)
Article mis en ligne le 4 juin 2012
dernière modification le 28 avril 2017

par Laurent Bloch
logo imprimer
Licence : CC by-nd

Si aujourd’hui depuis un cybercafé de Macao vous pouvez consulter le solde de votre compte sur le site de votre banque française, ainsi que l’état de votre commande chez Amazon en Virginie, c’est grâce à l’Internet, bien sûr, mais si vous pouvez le faire facilement c’est grâce au système de noms de domaines, le DNS. Fonctionellement, c’est un simple annuaire : dans la colonne de gauche les numéros IP (analogues aux numéros de téléphone), dans la colonne de droite les noms des domaines correspondants, comme par exemple http://www.laurentbloch.net. Techniquement, c’est un des rouages les plus merveilleux de l’Internet, une base de données distribuée mondiale, mise à jour automatiquement par les abonnés eux-mêmes et en temps (presque) réel, dont la racine, organisée logiquement autour de 13 serveurs, est répartie physiquement sur des centaines de machines de par le monde (de même, il existe une carte des points d’échange de l’Internet (IXP) et une carte des fibres optiques transocéaniques, indispensables à la compréhension du cyberespace ; cf. aussi cet article sur les câbles sous-marins). Cela marche si bien parce que ce système est unique, et univoque : des centaines de bureaux d’enregistrement coopèrent de par le monde afin que de Macao vous puissiez apprendre le numéro IP de la Banque agricole de Paizay-le-Tort dans les Deux-Sèvres, sans même avoir à vous en occuper, votre navigateur Web le fait pour vous. À un nom de domaine correspond un serveur unique (éventuellement répliqué sur plusieurs machines physiques et sur plusieurs sites), sans ambiguïté.

 Unicité menacée du DNS

L’unicité du système de noms de domaines est remise en cause de plusieurs façons.

Ainsi que je l’ai déjà mentionné dans un autre article de ce site, la Chine a créé sa propre racine du DNS, qui pour l’internaute chinois se substitue entièrement au DNS mondial, ce qui a pour effet de lui rendre inaccessibles les sites étrangers. Ainsi, s’il tape "google.com", il accède en fait à "google.com.cn", version sinisée et dûment expurgée du site. Les Chinois ont profité de ce bouleversement pour déployer la version 6 du protocole de réseau IP [1] en lieu et place de la version 4, et pour généraliser l’emploi des idéogrammes dans les adresses Web et de courrier électronique. Il a fallu pour réaliser ces transformations mobiliser des milliers d’ingénieurs, des centaines de millions de yuans et des années de travail. Il faut pour expurger l’Internet mondial des dizaines de milliers d’employés de la censure, en plus des logiciels qui dégrossissent le travail. La justification officielle de cette opération est de permettre à l’internaute chinois de naviguer sur le Web en utilisant des adresses de sites rédigées dans son écriture habituelle, en idéogrammes, ce qui est bien sûr louable.

Il n’est pas impossible que la prouesse chinoise ne lui attire des imitateurs, ou des clients, du côté de certains régimes politiques qui ne souhaitent pas vraiment que leurs sujets aient un accès trop libre à une information mondiale.

Si ce genre de pratique se répand, le risque est la balkanisation de l’Internet : on serait ramené des décennies en arrière, je décrirai ci-dessous ce qu’était l’usage du réseau avant l’Internet, avec Transpac, les réseaux X25 et la messagerie X400, j’en ai eu une expérience pratique.

Il ne faut pas pour autant négliger les aspects positifs de l’expérience chinoise : elle démontre que le DNS peut fonctionner avec un système de nommage qui repose sur une écriture différente de l’alphabet latin, et que la mise en place d’une racine alternative n’est pas trop difficile. Et aussi, qu’il n’y a aucune raison ontologique de faire allégeance à l’ICANN (Internet Corporation for Assigned Names and Numbers), l’organisme qui supervise le DNS mondial, sous le contrôle du gouvernement américain.

 Autre menace : les nouveaux gTLD de l’ICANN

L’ICANN, justement, suscite une nouvelle menace contre le DNS, je cite le Forum Atena : « Les ".com, .edu, .org, .eu, .fr", terminaisons familières de nos noms de domaines sur l’Internet, sont ce qu’on appelle des gTLD (Generic Top Level Domain). En 2011, l’ICANN (Internet Corpo­ration for Assigned Names and Numbers) a autorisé la créa­tion d’extensions génériques. Il pourra donc y avoir d’autres gTLD.

Les demandes sont closes et seules les entreprises et les collectivités ont pu postuler pour s’offrir un gTLD, en payant à l’ICANN 185 000 dollars. De plus, pour chaque demande, qu’elle soit acceptée ou non, il a fallu payer la somme de 5 000 dollars. »

À la date de la clôture, ce sont 1 900 demandes qui ont été déposées. On peut observer que l’ICANN, qui entretient la rareté artificielle des noms de domaine, sait profiter de son monopole (artificiel) pour rentabiliser cette rareté [2].

Ce qui me semble probable dans cette affaire, c’est que les propriétaires de ces gTLD vont pouvoir créer des internets (sans majuscules) privés et fermés. Cela ne va pas dans le sens de la communication universelle. Mais vous en saurez plus en allant jeudi prochain au grand colloque du Forum Atena, avec Louis Pouzin, ce sera sûrement intéressant.

 L’ICANN est-elle un moindre mal ?

Face à ce qu’il faut bien appeler les abus de pouvoir de l’ICANN et à la mainmise américaine sur l’Internet, dont les révélations d’Edward Snowden (notamment au sujet de l’affaire PRISM) nous ont confirmé qu’elle n’était pas uniquement inspirée par un souci technique bienveillant, on peut se poser la question d’une gouvernance différente : sous le contrôle de l’ONU ? par l’UIT (Union internationale des télécommunications, une agence de l’ONU) ?

L’UIT est un organisme du passé, complètement extérieur à la vie de l’Internet. Veut-on le retour à la bureaucratie des opérateurs en situation de monopole ?

Quant à l’ONU, veut-on vraiment qu’aient voix au chapitre des gouvernements qui souhaiteraient que sur l’Internet il soit interdit de dire du mal des autorités religieuses, ou des gouvernements ?

Bref, il faut sans doute chercher ailleurs.

 L’exclusion du DNS comme punition

D’autres tractations menacent le fonctionnement du DNS, et par voie de conséquence celui de l’Internet : les législateurs de plusieurs pays occidentaux, au nombre desquels la France et les États-Unis, ont pensé que pour faire appliquer des lois telles que Hadopi ou la Loppsi pour la France, ou le Digital Millenium Copyright Act (DMCA) et ACTA pour les États-Unis, la meilleure façon serait de rayer du DNS les sites contrevenants, par réquisition de justice auprès des opérateurs. L’affaire Megaupload a montré que cette forme d’administration de la justice pouvait prendre une extension internationale. On peut même imaginer punir des pays entiers, en créant à la place de leur zone du DNS (par exemple la zone .fr pour la France) un « trou noir ».

C’est possible pour un état très influent comme les États-Unis, qui contrôle l’ICANN et qui a les moyens de convaincre la justice néo-zélandaise de se rallier à ses démarches ; des pays moins hégémoniques obtiendront des résultats moins spectaculaires, mais de toutes les façons c’est une très mauvaise idée, comme nous allons tenter de le montrer.

Tout d’abord, cette mesure est en effet d’une efficacité limitée. Priver un site d’enregistrement dans le DNS ne suffit pas à en bloquer l’accès. De même que si vous voulez téléphoner à un ami qui est sur liste rouge, vous le pouvez dès lors que vous connaissez son numéro, vous pourrez toujours atteindre les sites proscrits si vous connaissez leurs numéros IP. C’est d’ailleurs ainsi que fonctionnent les réseaux pair à pair, qui ont représenté jusqu’à 80% du trafic de l’Internet avant d’être supplantés par des sites tels que Megaupload, et qui reprennent leur essor, avec des techniques plus puissantes, depuis la fermeture de ce site. Le DNS est très utile et très commode, mais on peut s’en passer.

Il est également possible de créer une racine alternative : outre celle des Chinois, il existe quelques projets dans ce domaine, notamment OpenDNS, sans grand retentissement jusqu’à ce jour, mais qui pourraient connaître le succès s’il s’avérait que la racine du DNS de l’ICANN était vouée à une évolution brejnévienne [3].

L’Internet pourrait donc fonctionner sans le DNS : simplement, il y perdrait la facilité d’usage, l’ubiquité et l’uniformité de méthode d’accès qui font son universalité. Au lieu de taper sans avoir à réfléchir l’adresse de votre banque poitevine, que vous soyez à Macao ou à Puntas Arenas, vous auriez à vous renseigner : quel est le meilleur DNS disponible en Patagonie ? un accès pair à pair est-il possible depuis votre hôtel au Tadjikistan ? Il faudrait configurer votre smartphone en conséquence. Inutile de dire que si les informaticiens de métier devraient réussir à s’en débrouiller, les personnes qui avaient déjà eu du mal à apprendre l’usage du courrier électronique et du Web passeraient par des moments difficiles ou abandonneraient. Bref, ce merveilleux moyen de communication serait cassé.

Certaines voix s’élèvent pour revendiquer l’introduction d’un peu d’ambiguïté dans le DNS : un même nom de domaine pourrait désigner plusieurs services, qui seraient proposés à l’internaute, qui choisirait. J’avoue ne pas très bien comprendre l’intérêt de cette démarche : l’existence d’homonymes dans le monde des humains est une situation de fait, qui a quelques inconvénients et aucun avantage, si on peut s’en passer dans l’espace de noms artificiel du DNS, cela n’a que des avantages, et l’introduire n’aurait que des inconvénients, juste agaçants pour les humains, rédhibitoires pour les programmes.

 Le réseau au bon vieux temps

J’ai fait du réseau avant l’Internet et le DNS, dans les années 1980. Enfin j’ai essayé. Il s’agissait de coordonner un groupe d’enseignants, répartis aux quatre coins de la France, autour d’un projet de plate-forme d’enseignement à distance. La technologie disponible était le réseau Transpac, accessible par Minitel pour les plus démunis.

Accéder au serveur nécessitait une procédure complexe, il fallait connaître son adresse X121, une suite de chiffres impossible à retenir liée au protocole de réseau X25. Nous avons organisé une séance de regroupement à Paris pour former tous les participants à l’usage du serveur. Une journée entière n’avait pas été de trop. Chacun était reparti chez lui et avait laborieusement commencé à s’essayer à la communication électronique.

Une semaine plus tard, un ingénieur réseau de notre équipe, qui n’était pas séduit par ce projet, entre dans mon bureau pour m’annoncer d’un air jovial que pour quelque obscure raison technique plus ou moins plausible il venait de modifier toutes les adresses X121 du serveur central et des différents postes périphériques : il aurait fallu faire revenir à Paris tous les participants au projet pour les aider à reconfigurer les procédures péniblement enregistrées. En fait, le projet était bel et bien mort.

Voilà pourquoi l’Internet est supérieur à toutes les autres technologies de réseau qui ont existé, et pourquoi le DNS est un élément clé de cette supériorité. Un autre jour je vous raconterai la messagerie X400, autre grand moment de fiasco.

Notes :

[1La version 6 du protocole IP répond à la pénurie imminente de numéros IP par un changement de système de numérotation, exactement pour les mêmes raisons qu’en France nous sommes passés des numéros de téléphone à six ou sept chiffres aux numéros actuels à dix chiffres. La norme actuelle (IPv4) repose sur des numéros à 32 chiffres binaires, ce qui autorise un maximum théorique de quelques quatre milliards de numéros(4 294 967 296 précisément), mais en pratique moins, parce que, comme pour les numéros de téléphone, la structure des numéros fait que certains intervalles ne sont pas utilisés. Les numéros IPv6 ont 128 chiffres binaires, ce qui autorise théoriquement quelques 3,4×1038 adresses.

[2Mise à jour d’avril 2016 : bonne nouvelle, les « nouveaux gTLD » font flop, c’est un échec commercial à peu près complet. Bref, la municipalité de Paris a jeté 185 000 dollars par les fenêtres de l’Hôtel de Ville.

[3Pour les lecteurs les plus jeunes qui n’auraient pas connu le monde d’avant la chute du mur : Léonid Brejnev fut un des derniers dirigeants de l’URSS, acharné dans la répression de toute pensée libre et indépendante, totalement fermé à toute idée d’évolution, aussi rigide que le permafrost, le sol gelé de la Sibérie.


Forum
Répondre à cet article
Il faut que le DNS soit unique
Robert Ehrlich - le 28 avril 2017

Je me réveille un peu tard, comme d’habitude, mais on dit que mieux vaut tard que jamais.

Dans l’historique du système d’attribution de noms aux adresses IP, sans aller jusqu’à exhumer les horreurs de X25/X121, protocoles totalement étrangers à IP, voire même rivaux malheureux, on pourrait citer l’utilisation du fichier "hosts". L’INRIA où je travaillais a pendant un certain temps fonctionné ainsi au début du déploiement de TCP/IP sur l’ensemble des sites, les USA aussi mais bien avant. Ce fichier texte était constitué de lignes dont chacune donnait pour une adresse IP un certain nombre de noms associés, dont la syntaxe était libre, mais donc pouvait au besoin être celle des actuels noms de domaine. A l’INRIA ce fichier était téléchargeable sur un ordinateur d’adresse IP bien connue, mis à jour manuellement de façon coopérative en réunissant les contributions des divers responsables de projets qui avaient autorité sur le nommage de leurs machines. L’actuel DNS automatise ce qui était manuel en formalisant un peu plus cette notion d’autorité.

Chose intéressante, ce fichier existe toujours, on peut même lui donner priorité sur le DNS, i.e. seuls seront recherchés dans le DNS les noms qui ne figurent pas dans le fichier. Je m’en sers abondamment pour éliminer des sites indésirables, pour pouvoir donner des noms à mes imprimantes sans mettre en route un serveur DNS local. Celui qui s’en va au bout du monde peut y mettre l’adresse de sa banque s’il craint d’avoire à faire à un DNS trafiqué par l’autorité locale, sous réserve que cette adresse ne change pas. Ca marche même sous Windows (fichier C :\Windows\system32\drivers\etc\hosts por mon Vista actuel, sous tous les Unix c’est /etc/hosts). Ca pourrait même être une échappatoire gérée de façon coopérative dans les lieux où une autorité s’approprie un DNS pour (croire) contrôler les accès. Les seuls contrôles d’efficacité garantie sont à faire au niveau du routage.

Concernant la correspondance nom-adresse, elle n’a pas à être univoque, ni dans un sens, ni dans l’autre. On peut mettre plusieurs adresses pour un même nom quand ce nom est plutôt le nom d’un service que d’un serveur, service étant founrni par plusieurs serveurs. Inversement il n’est pas inutile d’voir plusieurs noms pour une même adresse. Ainsi ma freebox chez moi s’appelle
rob92-8-82-242-12-56.fbx.proxad.net, c’est le nom officiel que répond une requête de DNS inverse, mais de façon bien plus parlante elle s’appelle aussi home-re.hd.free.fr (bon ce n’est peut-être parlant que pour moi mais c’est le but).

Il faut que le DNS soit unique
joel - le 6 avril 2014

connaissez vous le principe des noms de domaine décentralisés ? Ceux-ci sont apparus avec le Bitcoin, et plus particulièrement avec le Namecoin qui permet de gérer de façon décentralisée les noms de domaines. Pas besoins d’un organisme central pour réguler les noms de domaines, c’est le réseau lui-même qui auto-régule.. vous devriez regarder le protocole Bitcoin et toutes les applications qui peuvent en découler cela devrait vous intéresser ;) ...

Acheter des bitcoins

Pour acheter des bitcoins contre des euros il suffit simplement de s’inscrire sur l’une des plateformes d’échange de Bitcoin. pour acheter des Namecoins, le plus simple est d’échanger vos bitcoins contre des Namecoins....

DNS et monnaies virtuelles
Laurent Bloch - le 6 avril 2014

Une monnaie remplit trois fonctions : unité de compte, réserve de valeur et intermédiaire des échanges. La monnaie fiduciaire, et a fortiori virtuelle comme le Bitcoin, est une monnaie dont la valeur repose sur la confiance du public en sa valeur. Celle-ci ne réside manifestement pas en effet dans le coût de la matière qui lui sert de support matériel.

La confiance envers une telle monnaie repose donc sur la confiance envers l’institution qui l’émet. Une monnaie émise par personne (ou tout le monde, cela revient au même), comme le Bitcoin, mérite donc une confiance nulle. Bonne chance à ceux qui en achèteront ! Très peu pour moi.



pucePlan du site puceContact puceMentions légales puceEspace rédacteurs puce

RSS

2004-2017 © Site WWW de Laurent Bloch - Tous droits réservés
Site réalisé sous SPIP
avec le squelette ESCAL-V3
Version : 3.87.15