Magazine High tech

Il faut que le DNS soit unique

Publié le 04 juin 2012 par Lbloch

Sommaire-

Si aujourd'hui depuis un cybercafé de Macao vous pouvez consulter le solde de votre compte sur le site de votre banque française, ainsi que l'état de votre commande chez Amazon en Virginie, c'est grâce à l'Internet, bien sûr, mais si vous pouvez le faire facilement c'est grâce au système de noms de domaines, le DNS. Fonctionellement, c'est un simple annuaire : dans la colonne de gauche les numéros IP (analogues aux numéros de téléphone), dans la colonne de droite les noms des domaines correspondants, comme par exemple http://www.laurentbloch.org. Techniquement, c'est un des rouages les plus merveilleux de l'Internet, une base de données distribuée mondiale, mise à jour automatiquement par les abonnés eux-mêmes et en temps (presque) réel, dont la racine, organisée logiquement autour de 13 serveurs, est répartie physiquement sur des centaines de machines de par le monde. Cela marche si bien parce que ce système est unique, et univoque : des centaines de bureaux d'enregistrement coopèrent de par le monde afin que de Macao vous puissiez apprendre le numéro IP de la Banque agricole de Paizay-le-Tort dans les Deux-Sèvres, sans même avoir à vous en occuper, votre navigateur Web le fait pour vous. À un nom de domaine correspond un serveur unique (éventuellement répliqué sur plusieurs machines physiques et sur plusieurs sites), sans ambiguïté.

Unicité menacée du DNS

L'unicité du système de noms de domaines est remise en cause de plusieurs façons.

Ainsi que je l'ai déjà mentionné dans un autre article de ce site, la Chine a créé sa propre racine du DNS, qui pour l'internaute chinois se substitue entièrement au DNS mondial, ce qui a pour effet de lui rendre inaccessibles les sites étrangers. Ainsi, s'il tape "google.com", il accède en fait à "google.com.cn", version sinisée et dûment expurgée du site. Les Chinois ont profité de ce bouleversement pour déployer la version 6 du protocole de réseau IP [1] en lieu et place de la version 4, et pour généraliser l'emploi des idéogrammes dans les adresses Web et de courrier électronique. Il a fallu pour réaliser ces transformations mobiliser des milliers d'ingénieurs, des centaines de millions de yuans et des années de travail. Il faut pour expurger l'Internet mondial des dizaines de milliers d'employés de la censure, en plus des logiciels qui dégrossissent le travail. La justification officielle de cette opération est de permettre à l'internaute chinois de naviguer sur le Web en utilisant des adresses de sites rédigées dans son écriture habituelle, en idéogrammes, ce qui est bien sûr louable.

Il n'est pas impossible que la prouesse chinoise ne lui attire des imitateurs, ou des clients, du côté de certains régimes politiques qui ne souhaitent pas vraiment que leurs sujets aient un accès trop libre à une information mondiale.

Si ce genre de pratique se répand, le risque est la balkanisation de l'Internet : on serait ramené des décennies en arrière, je décrirai ci-dessous ce qu'était l'usage du réseau avant l'Internet, avec Transpac, les réseaux X25 et la messagerie X400, j'en ai eu une expérience pratique.

Il ne faut pas pour autant négliger les aspects positifs de l'expérience chinoise : elle démontre que le DNS peut fonctionner avec un système de nommage qui repose sur une écriture différente de l'alphabet latin, et que la mise en place d'une racine alternative n'est pas trop difficile. Et aussi, qu'il n'y a aucune raison ontologique de faire allégeance à l'ICANN (Internet Corporation for Assigned Names and Numbers), l'organisme qui supervise le DNS mondial, sous le contrôle du gouvernement américain.

L'exclusion du DNS comme punition

D'autres tractations menacent le fonctionnement du DNS, et par voie de conséquence celui de l'Internet : les législateurs de plusieurs pays occidentaux, au nombre desquels la France et les États-Unis, ont pensé que pour faire appliquer des lois telles que Hadopi ou la Loppsi pour la France, ou le Digital Millenium Copyright Act (DMCA) et ACTA pour les États-Unis, la meilleure façon serait de rayer du DNS les sites contrevenants, par réquisition de justice auprès des opérateurs. L'affaire Megaupload a montré que cette forme d'administration de la justice pouvait prendre une extension internationale. On peut même imaginer punir des pays entiers, en créant à la place de leur zone du DNS (par exemple la zone .fr pour la France) un « trou noir ».

C'est possible pour un état très influent comme les États-Unis, qui contrôle l'ICANN et qui a les moyens de convaincre la justice néo-zélandaise de se rallier à ses démarches ; des pays moins hégémoniques obtiendront des résultats moins spectaculaires, mais de toutes les façons c'est une très mauvaise idée, comme nous allons tenter de le montrer.

Tout d'abord, cette mesure est en effet d'une efficacité limitée. Priver un site d'enregistrement dans le DNS ne suffit pas à en bloquer l'accès. De même que si vous voulez téléphoner à un ami qui est sur liste rouge, vous le pouvez dès lors que vous connaissez son numéro, vous pourrez toujours atteindre les sites proscrits si vous connaissez leurs numéros IP. C'est d'ailleurs ainsi que fonctionnent les réseaux pair à pair, qui ont représenté jusqu'à 80% du trafic de l'Internet avant d'être supplantés par des sites tels que Megaupload, et qui reprennent leur essor, avec des techniques plus puissantes, depuis la fermeture de ce site. Le DNS est très utile et très commode, mais on peut s'en passer.

Il est également possible de créer une racine alternative : outre celle des Chinois, il existe quelques projets dans ce domaine, notamment OpenDNS, sans grand retentissement jusqu'à ce jour, mais qui pourraient connaître le succès s'il s'avérait que la racine du DNS de l'ICANN était vouée à une évolution brejnévienne [2].

L'Internet pourrait donc fonctionner sans le DNS : simplement, il y perdrait la facilité d'usage, l'ubiquité et l'uniformité de méthode d'accès qui font son universalité. Au lieu de taper sans avoir à réfléchir l'adresse de votre banque poitevine, que vous soyez à Macao ou à Puntas Arenas, vous auriez à vous renseigner : quel est le meilleur DNS disponible en Patagonie ? un accès pair à pair est-il possible depuis votre hôtel au Tadjikistan ? Il faudrait configurer votre smartphone en conséquence. Inutile de dire que si les informaticiens de métier devraient réussir à s'en débrouiller, les personnes qui avaient déjà eu du mal à apprendre l'usage du courrier électronique et du Web passeraient par des moments difficiles ou abandonneraient. Bref, ce merveilleux moyen de communication serait cassé.

Certaines voix s'élèvent pour revendiquer l'introduction d'un peu d'ambiguïté dans le DNS : un même nom de domaine pourrait désigner plusieurs services, qui seraient proposés à l'internaute, qui choisirait. J'avoue ne pas très bien comprendre l'intérêt de cette démarche : l'existence d'homonymes dans le monde des humains est une situation de fait, qui a quelques inconvénients et aucun avantage, si on peut s'en passer dans l'espace de noms artificiel du DNS, cela n'a que des avantages, et l'introduire n'aurait que des inconvénients, juste agaçants pour les humains, rédhibitoires pour les programmes.

Le réseau au bon vieux temps

J'ai fait du réseau avant l'Internet et le DNS, dans les années 1980. Enfin j'ai essayé. Il s'agissait de coordonner un groupe d'enseignants, répartis aux quatre coins de la France, autour d'un projet de plate-forme d'enseignement à distance. La technologie disponible était le réseau Transpac, accessible par Minitel pour les plus démunis.

Accéder au serveur nécessitait une procédure complexe, il fallait connaître son adresse X121, une suite de chiffres impossible à retenir liée au protocole de réseau X25. Nous avons organisé une séance de regroupement à Paris pour former tous les participants à l'usage du serveur. Une journée entière n'avait pas été de trop. Chacun était reparti chez lui et avait laborieusement commencé à s'essayer à la communication électronique.

Une semaine plus tard, un ingénieur réseau de notre équipe, qui n'était pas séduit par ce projet, entre dans mon bureau pour m'annoncer d'un air jovial que pour quelque obscure raison technique plus ou moins plausible il venait de modifier toutes les adresses X121 du serveur central et des différents postes périphériques : il aurait fallu faire revenir à Paris tous les participants au projet pour les aider à reconfigurer les procédures péniblement enregistrées. En fait, le projet était bel et bien mort.

Voilà pourquoi l'Internet est supérieur à toutes les autres technologies de réseau qui ont existé, et pourquoi le DNS est un élément clé de cette supériorité. Un autre jour je vous raconterai la messagerie X400, autre grand moment de fiasco.


[1] La version 6 du protocole IP répond à la pénurie imminente de numéros IP par un changement de système de numérotation, exactement pour les mêmes raisons qu'en France nous sommes passés des numéros de téléphone à six ou sept chiffres aux numéros actuels à dix chiffres. La norme actuelle (IPv4) repose sur des numéros à 32 chiffres binaires, ce qui autorise un maximum théorique de quelques quatre milliards de numéros(4 294 967 296 précisément), mais en pratique moins, parce que, comme pour les numéros de téléphone, la structure des numéros fait que certains intervalles ne sont pas utilisés. Les numéros IPv6 ont 128 chiffres binaires, ce qui autorise théoriquement quelques 3,4×1038 adresses.

[2] Pour les lecteurs les plus jeunes qui n'auraient pas connu le monde d'avant la chute du mur : Léonid Brejnev fut un des derniers dirigeants de l'URSS, acharné dans la répression de toute pensée libre et indépendante, totalement fermé à toute idée d'évolution, aussi rigide que le permafrost, le sol gelé de la Sibérie.


Retour à La Une de Logo Paperblog

A propos de l’auteur


Lbloch 52 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte