SFR déploie des DNS menteurs

Depuis quelques jours, SFR modifie progressivement ses résolveurs DNS pour les faire répondre de manière incorrecte à certaines requêtes.

 

Une pratique que les opérateurs et experts en réseaux déplorent. Ils ne mâchent d'ailleurs pas leurs mots : "insupportable", "révoltant", "cochoncetés", "une bouse", "production de merde en masse pour essayer de ramasser quelques clopinettes", ...

 

Qu'est-ce que le DNS ?

 

Il s'agit d'un service réseau de base, très utilisé par nos logiciels de tous les jours, qui permet de faire la correspondance entre un nom de domaine et une adresse IP.

 

Pour simplifier, sur le réseau Internet, chaque ordinateur n'est, in fine, identifié et accessible que grâce à son adresse IP. Une adresse IPv4 est une suite de 4 chiffres de 0 à 255 (par exemple: 88.191.88.104) et un nom de domaine est un nom intelligible pour un être humain (ici www.universfreebox.com).


Concrètement, lorsque l'on se connecte sur un site web, notre ordinateur doit établir une connexion avec l'ordinateur chargé de servir les pages demandées (on nomme ainsi ce dernier "serveur web"). Notre navigateur effectue au préalable une requête au serveur DNS (fourni par défaut par notre FAI) pour lui demander l'adresse IP (88.191.88.104) du serveur associée à ce domaine (www.universfreebox.com). Si l'on tape un nom de domaine ou de sous-domaine inexistant, le browser va nous dire qu'il ne trouve pas le serveur et demander de vérifier si on n'a pas fait d'erreur de saisie. Cet explication est volontairement limitée au web que tout internaute connait, mais le recours au DNS est assez généralisé.

Pour en savoir plus sur le DNS, rendez-vous sur l'article de Wikipédia : Domain Name System.

 

Qu'est-ce qu'un résolveur DNS menteur ?

 

En quelques mots, un résolveur DNS menteur ne renvoie pas l'erreur d'usage lorsqu'un domaine ou un sous-domaine n'existe pas mais feinte l'existence de celui-ci afin de dérouter le trafic. Si le logiciel est un navigateur web, celui-ci sera dirigé arbitrairement vers une page donnée. Cette page sera entièrement sous contrôle du fournisseur d'accès, une page de recherche par exemple, avec revenus publicitaires à la clef. Si le logiciel n'est pas un navigateur, celui-ci obtiendra simplement une réponse inapropriée et inexacte, possible source de dysfonctionnement (link checkers par exemple).

Concrètement, lorsqu'un internaute saisit un nom de domaine inexistant (par exemple le sous-domaine "encyclo.wikipedia.org"), une réponse positive est malgré tout retournée au browser pour le tromper, alors que la page n'existe pas.

En plus de violer la neutralité du réseau Internet par l'appropriation de noms de domaine, ces pratiques posent des problèmes  techniques (fiabilité, sécurité) voire politiques.

Pour mieux comprendre, voici un excellent article sur le sujet :
Le déploiement des résolveurs DNS menteurs.

 

Et chez Free ?

 

La position de Free est assez claire puisque son directeur technique a indiqué être hostile vis à vis de ce genre de manipulation. Free a pourtant été démarché à maintes reprises ces dernières années par des prestataires ventant un retour sur investissement de plusieurs millions d'euros mensuels.

Chez Alice, des DNS menteurs étaient en place jusqu'à leur reprise en main par Iliad/Free.

Source : FRench Network Operators Group
Publié le 13 aout 2009 à 22h30 13/08/09 par mr.mulot Lui envoyer un message

    Thibaut - Le 14 aout 2009 à 19h48 Envoyer un message
    C'est scandaleux.


    N'importe quoi !


    Logan - Le 15 aout 2009 à 15h05 Envoyer un message
    Omg donc free ne le fait pas si j'ai bien compris ^^? Orange le fait aussi le coup du DNS menteur?


    Chon - Le 15 aout 2009 à 15h52 Envoyer un message
    Wouuuaaaa respect pour les marketeux de SFR qui ont eu l'audace de penser à générer du fric avec les erreur 404, et de le faire faire au service technique ...

    "Les cons, ça ose tout. C'est même à ça qu'on les reconnaît."


    Mario520 - Le 15 aout 2009 à 20h08 Envoyer un message
    Mais ou va t-on serieux ...


    mr.mulot - Le 16 aout 2009 à 17h41 Envoyer un message
    C'est bien cela Free ne le fait pas et Alice ne le fait plus depuis sa reprise en main. Le lien source à la fin de l'article pointe sur la réaction de Rani Assaf sur mailing list de FRnOG. Il y a également, entre autres, des réactions du président du FAI associatif FDN et de Xavier Niel.

     

    Attention les DNS menteurs subtilisent seulement le trafic sur les domaines ou sous-domaines inexistants (erreur du protocole DNS), pas celui des pages inexistantes de domaines existants (erreur du protocole HTTP n°404) ; même si cette seconde manipulation pourrait aussi être mise en œuvre elle est tout de même plus lourde...


    Pour SFR il n'est pas certain que ce soit encore actif sur 100% des connexions et il est difficile de savoir précisément où en est le déploiement car n'y a pas de communication officielle de la part de SFR sur une question aussi délicate. Pour Orange, aucune idée, les témoignages des abonnés sont les bienvenus...


    Anonyme - Le 17 aout 2009 à 11h37 Envoyer un message
    La solution ne serait-elle pas de passer par des DNS alternatifs, tels OpenDNS ?

    http://www.opendns.org


    Ce type de manipulation est inquiétant car selon la page choisie pour le renvoi, il se peut très bien qu'un jour une erreur de frappe d'un enfant le fasse tomber sur une page ventant du contenu pour adulte. Déjà qu'il est très facile pour un mineur de tomber sur ce genre de page, alors je ne vous dis pas ce que cela pourrait donner avec ce genre de pratiques.

    Et puis imaginez un peu le scandale si en surfant sur le site du Vatican, on se trompe et que l'on arrive sur une publicité pour des préservatifs. Rigolant

    Bref, il faut surveiller cela.


    c'est aberrant Bouche cousue




Votre adresse ip (54.208.73.179) ne se trouve pas en France vous devez créer un compte Freezone et être connecté afin de pouvoir poster un commentaire.

Retrouvez nous sur :
Site développé par JP Legal et Vincent Barrier et Anthony Demangel
Freezone n'a aucun lien avec la société Iliad / Free