DNS, le bottin d’Internet, se dote de nouvelles protections. Mais le déploiement de ce DNS renforcé remet en question les fondamentaux d’Internet.

– Chronique signée Laurent Schumacher, professeur à la Faculté d'informatique de l'Université de Namur

Historiquement, Internet a émergé comme un vecteur de communication fortement décentralisé. Entendez par là qu’il n’y a pas de régulateur étatique pilotant son fonctionnement, comme c’est le cas pour d’autres commodités, comme la distribution de l’eau ou de l’énergie. Une très forte décentralisation, un pilotage par consensus entre praticiens, et aussi une certaine approche libertaire typique des années 1960, ont durablement marqué Internet dès ses débuts, et ces prémices continuent aujourd’hui de l’influencer significativement.

Cependant, à mesure qu’Internet sortait des cercles militaires et académiques qui l’avaient vu naître pour devenir le facilitateur de services que nous connaissons, la question de la sécurité, ou plutôt de l’absence de sécurité, est devenue de plus en plus prégnante.

C’est ainsi que, rustine après rustine, Internet a commencé à colmater ses brèches, en ayant recours à des mécanismes de vérification de l’honorabilité des intervenants et de chiffrement des transactions. Pour le simple quidam, cela s’est manifesté par la généralisation du petit cadenas lors de la visite de ses sites web préférés.

DNS : lacunes, attaques et parades

Depuis quelques mois, une évolution similaire s’opère, non plus pour les transactions web, mais pour des échanges qui s’effectuent préalablement à celles-ci. En effet, avant de pouvoir vous présenter les pages d’un site, votre smartphone, votre tablette, votre PC consulte une sorte de bottin appelé DNS pour effectuer une "résolution de nom de domaine". En un mot, votre terminal tente d’identifier quel sera, parmi la myriade de serveurs actifs sur Internet, celui qui vous fournira les pages dudit site.

Cependant, ce service DNS, stratégique pour le bon fonctionnement d’Internet, souffre des mêmes lacunes de sécurité que l’Internet des origines. Il fait d’ailleurs l’objet d’attaques multiples depuis plusieurs années. Fort heureusement, les praticiens ont conçu des parades à ses faiblesses intrinsèques, comme ils l’avaient fait pour le web (cf. le petit cadenas).

Sauf que… cela coince au moment de déployer ce DNS renforcé. En effet, pour accélérer son adoption, les concepteurs des navigateurs web envisagent de faire converger toutes les requêtes vers un nombre limité de gestionnaires de bottin. Ils rompraient en cela avec la philosophie des pionniers. Ceux-ci avaient, au contraire, conçu le DNS de la manière la plus décentralisée possible, à des fins de performance et de robustesse.

Un modèle fortement mis à mal

Cette concentration du trafic de requêtes DNS suscite des débats nourris entre praticiens. Car c’est bien le postulat de la décentralisation qui est mis à mal par cette approche. Les inquiétudes sont diverses. D’aucuns s’inquiètent du risque de voir ces opérateurs constituer des talons d’Achille. Leur défaillance entraînerait une panne généralisée, comme ce fut le cas lors de la panne de DynDNS en 2016. D’autres formulent des inquiétudes plus philosophiques, en s’interrogeant sur la capacité ainsi donnée à une poignée d’intervenants de voir passer toutes les requêtes, autrement dit, de tout connaître de l’activité des utilisateurs qui sollicitent le service. Et l’on passe ici sous silence la faculté qu’auraient des régimes autoritaires de filtrer ou bloquer l’accès à des contenus qui leur déplairaient.

Derrière donc le déploiement de ces protocoles renforcés, qu’il s’agisse de DNS sur TLS (DoT) ou de DNS sur HTTPS (DoH), c’est une question existentielle qui est posée, celle de la préservation du modèle hautement décentralisé d’Internet. Un modèle fortement mis à mal, dans la sphère occidentale, par l’émergence du conglomérat des Gafam (Google, Amazon, Facebook, Apple et Microsoft) et, dans la sphère asiatique, de leurs pendants BATX (Baidu, Alibaba, Tencent, Xiaomi). Une tendance à la concentration contre laquelle luttent, tels les Gaulois d’un célèbre village cher à Goscinny et Uderzo, les alternatives comme celle des CHATONS (Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires) ou celle de l’association Framasoft.