Site WWW de Laurent Bloch
Slogan du site

ISSN 2271-3905
Cliquez ici si vous voulez visiter mon autre site, orienté vers des sujets moins techniques.

Pour recevoir (au plus une fois par semaine) les nouveautés de ce site, indiquez ici votre adresse électronique :

Il faut que le DNS soit unique
(et univoque)
Article mis en ligne le 4 juin 2012
dernière modification le 18 avril 2023

par Laurent Bloch

Si aujourd’hui depuis un cybercafé de Macao vous pouvez consulter le solde de votre compte sur le site de votre banque française, ainsi que l’état de votre commande chez Amazon en Virginie, c’est grâce à l’Internet, bien sûr, mais si vous pouvez le faire facilement c’est grâce au système de noms de domaines, le DNS. Fonctionnellement, c’est un simple annuaire : dans la colonne de gauche les noms des domaines, comme par exemple laurentbloch.net, dans la colonne de droite les numéros IP correspondants (analogues aux numéros de téléphone). Techniquement, c’est un des rouages les plus merveilleux de l’Internet, une base de données distribuée mondiale, mise à jour automatiquement par les abonnés eux-mêmes et en temps (presque) réel, dont la racine, organisée logiquement autour de 13 serveurs, est répartie physiquement sur des centaines de machines de par le monde (de même, il existe une carte des points d’échange de l’Internet (IXP) et une carte des fibres optiques transocéaniques, indispensables à la compréhension du cyberespace ; cf. aussi cet article sur les câbles sous-marins). Cela marche si bien parce que ce système est unique, et univoque : des centaines de bureaux d’enregistrement coopèrent de par le monde afin que de Macao vous puissiez apprendre le numéro IP de la Banque agricole de Paizay-le-Tort dans les Deux-Sèvres, sans même avoir à vous en occuper, votre navigateur Web le fait pour vous. À un nom de domaine correspond un serveur unique (éventuellement répliqué sur plusieurs machines physiques et sur plusieurs sites), sans ambiguïté.

Unicité menacée du DNS

L’unicité du système de noms de domaines est remise en cause de plusieurs façons.

Ainsi que je l’ai déjà mentionné dans un autre article de ce site, la Chine a créé sa propre racine du DNS, qui pour l’internaute chinois se substitue entièrement au DNS mondial, ce qui a pour effet de lui rendre inaccessibles les sites étrangers. Ainsi, s’il tape "google.com", il accède en fait à "google.com.cn", version sinisée et dûment expurgée du site. Les Chinois ont profité de ce bouleversement pour déployer la version 6 du protocole de réseau IP [1] en lieu et place de la version 4, et pour généraliser l’emploi des idéogrammes dans les adresses Web et de courrier électronique. Il a fallu pour réaliser ces transformations mobiliser des milliers d’ingénieurs, des centaines de millions de yuans et des années de travail. Il faut pour expurger l’Internet mondial des dizaines de milliers d’employés de la censure, en plus des logiciels qui dégrossissent le travail. La justification officielle de cette opération est de permettre à l’internaute chinois de naviguer sur le Web en utilisant des adresses de sites rédigées dans son écriture habituelle, en idéogrammes, ce qui est bien sûr louable.

Il n’est pas impossible que la prouesse chinoise ne lui attire des imitateurs, ou des clients, du côté de certains régimes politiques qui ne souhaitent pas vraiment que leurs sujets aient un accès trop libre à une information mondiale.

Si ce genre de pratique se répand, le risque est la balkanisation de l’Internet : on serait ramené des décennies en arrière, je décrirai ci-dessous ce qu’était l’usage du réseau avant l’Internet, avec Transpac, les réseaux X25 et la messagerie X400, j’en ai eu une expérience pratique.

Il ne faut pas pour autant négliger les aspects positifs de l’expérience chinoise : elle démontre que le DNS peut fonctionner avec un système de nommage qui repose sur une écriture différente de l’alphabet latin, et que la mise en place d’une racine alternative n’est pas trop difficile. Et aussi, qu’il n’y a aucune raison ontologique de faire allégeance à l’ICANN (Internet Corporation for Assigned Names and Numbers), l’organisme qui supervise le DNS mondial, sous le contrôle du gouvernement américain.

Autre menace : les nouveaux gTLD de l’ICANN

L’ICANN, justement, suscite une nouvelle menace contre le DNS, je cite le Forum Atena : « Les ".com, .edu, .org, .eu, .fr", terminaisons familières de nos noms de domaines sur l’Internet, sont ce qu’on appelle des gTLD (Generic Top Level Domain). En 2011, l’ICANN (Internet Corpo­ration for Assigned Names and Numbers) a autorisé la créa­tion d’extensions génériques. Il pourra donc y avoir d’autres gTLD.

Les demandes sont closes et seules les entreprises et les collectivités ont pu postuler pour s’offrir un gTLD, en payant à l’ICANN 185 000 dollars. De plus, pour chaque demande, qu’elle soit acceptée ou non, il a fallu payer la somme de 5 000 dollars. »

À la date de la clôture, ce sont 1 900 demandes qui ont été déposées. On peut observer que l’ICANN, qui entretient la rareté artificielle des noms de domaine, sait profiter de son monopole (artificiel) pour rentabiliser cette rareté [2].

Ce qui me semble probable dans cette affaire, c’est que les propriétaires de ces gTLD vont pouvoir créer des internets (sans majuscules) privés et fermés. Cela ne va pas dans le sens de la communication universelle. Mais vous en saurez plus en allant jeudi prochain au grand colloque du Forum Atena, avec Louis Pouzin, ce sera sûrement intéressant.

L’ICANN est-elle un moindre mal ?

Face à ce qu’il faut bien appeler les abus de pouvoir de l’ICANN et à la mainmise américaine sur l’Internet, dont les révélations d’Edward Snowden (notamment au sujet de l’affaire PRISM) nous ont confirmé qu’elle n’était pas uniquement inspirée par un souci technique bienveillant, on peut se poser la question d’une gouvernance différente : sous le contrôle de l’ONU ? par l’UIT (Union internationale des télécommunications, une agence de l’ONU) ?

L’UIT est un organisme du passé, complètement extérieur à la vie de l’Internet. Veut-on le retour à la bureaucratie des opérateurs en situation de monopole ?

Quant à l’ONU, veut-on vraiment qu’aient voix au chapitre des gouvernements qui souhaiteraient que sur l’Internet il soit interdit de dire du mal des autorités religieuses, ou des gouvernements ?

Bref, il faut sans doute chercher ailleurs.

L’exclusion du DNS comme punition

D’autres tractations menacent le fonctionnement du DNS, et par voie de conséquence celui de l’Internet : les législateurs de plusieurs pays occidentaux, au nombre desquels la France et les États-Unis, ont pensé que pour faire appliquer des lois telles que Hadopi ou la Loppsi pour la France, ou le Digital Millenium Copyright Act (DMCA) et ACTA pour les États-Unis, la meilleure façon serait de rayer du DNS les sites contrevenants, par réquisition de justice auprès des opérateurs. L’affaire Megaupload a montré que cette forme d’administration de la justice pouvait prendre une extension internationale. On peut même imaginer punir des pays entiers, en créant à la place de leur zone du DNS (par exemple la zone .fr pour la France) un « trou noir ».

C’est possible pour un état très influent comme les États-Unis, qui contrôle l’ICANN et qui a les moyens de convaincre la justice néo-zélandaise de se rallier à ses démarches ; des pays moins hégémoniques obtiendront des résultats moins spectaculaires, mais de toutes les façons c’est une très mauvaise idée, comme nous allons tenter de le montrer.

Tout d’abord, cette mesure est en effet d’une efficacité limitée. Priver un site d’enregistrement dans le DNS ne suffit pas à en bloquer l’accès. De même que si vous voulez téléphoner à un ami qui est sur liste rouge, vous le pouvez dès lors que vous connaissez son numéro, vous pourrez toujours atteindre les sites proscrits si vous connaissez leurs numéros IP. C’est d’ailleurs ainsi que fonctionnent les réseaux pair à pair, qui ont représenté jusqu’à 80% du trafic de l’Internet avant d’être supplantés par des sites tels que Megaupload, et qui reprennent leur essor, avec des techniques plus puissantes, depuis la fermeture de ce site. Le DNS est très utile et très commode, mais on peut s’en passer.

Il est également possible de créer une racine alternative : outre celle des Chinois, il existe quelques projets dans ce domaine, notamment OpenDNS, sans grand retentissement jusqu’à ce jour, mais qui pourraient connaître le succès s’il s’avérait que la racine du DNS de l’ICANN était vouée à une évolution brejnévienne [3].

L’Internet pourrait donc fonctionner sans le DNS : simplement, il y perdrait la facilité d’usage, l’ubiquité et l’uniformité de méthode d’accès qui font son universalité. Au lieu de taper sans avoir à réfléchir l’adresse de votre banque poitevine, que vous soyez à Macao ou à Puntas Arenas, vous auriez à vous renseigner : quel est le meilleur DNS disponible en Patagonie ? un accès pair à pair est-il possible depuis votre hôtel au Tadjikistan ? Il faudrait configurer votre smartphone en conséquence. Inutile de dire que si les informaticiens de métier devraient réussir à s’en débrouiller, les personnes qui avaient déjà eu du mal à apprendre l’usage du courrier électronique et du Web passeraient par des moments difficiles ou abandonneraient. Bref, ce merveilleux moyen de communication serait cassé.

Certaines voix s’élèvent pour revendiquer l’introduction d’un peu d’ambiguïté dans le DNS : un même nom de domaine pourrait désigner plusieurs services, qui seraient proposés à l’internaute, qui choisirait. J’avoue ne pas très bien comprendre l’intérêt de cette démarche : l’existence d’homonymes dans le monde des humains est une situation de fait, qui a quelques inconvénients et aucun avantage, si on peut s’en passer dans l’espace de noms artificiel du DNS, cela n’a que des avantages, et l’introduire n’aurait que des inconvénients, juste agaçants pour les humains, rédhibitoires pour les programmes.

Le réseau au bon vieux temps

J’ai fait du réseau avant l’Internet et le DNS, dans les années 1980. Enfin j’ai essayé. Il s’agissait de coordonner un groupe d’enseignants, répartis aux quatre coins de la France, autour d’un projet de plate-forme d’enseignement à distance. La technologie disponible était le réseau Transpac, accessible par Minitel pour les plus démunis.

Accéder au serveur nécessitait une procédure complexe, il fallait connaître son adresse X121, une suite de chiffres impossible à retenir liée au protocole de réseau X25. Nous avons organisé une séance de regroupement à Paris pour former tous les participants à l’usage du serveur. Une journée entière n’avait pas été de trop. Chacun était reparti chez lui et avait laborieusement commencé à s’essayer à la communication électronique.

Une semaine plus tard, un ingénieur réseau de notre équipe, qui n’était pas séduit par ce projet, entre dans mon bureau pour m’annoncer d’un air jovial que pour quelque obscure raison technique plus ou moins plausible il venait de modifier toutes les adresses X121 du serveur central et des différents postes périphériques : il aurait fallu faire revenir à Paris tous les participants au projet pour les aider à reconfigurer les procédures péniblement enregistrées. En fait, le projet était bel et bien mort.

Voilà pourquoi l’Internet est supérieur à toutes les autres technologies de réseau qui ont existé, et pourquoi le DNS est un élément clé de cette supériorité. Un autre jour je vous raconterai la messagerie X400, autre grand moment de fiasco.