Mise à jour 19h22 : la réponse de SFR nous est parvenue en fin de journée.
--------
Le sujet fait tache d’huile sur la liste spécialisée FRNog.org : SFR a mis en place ce que l’on nomme un DNS menteur. En pratique, la mesure consiste à rediriger un utilisateur qui a fait une erreur de saisie d’URL vers une page du FAI. C’est un choix du FAI qui permet de faire fructifier les erreurs de ce type : en effet, il est alors simple pour l’intermédiaire technique d’oublier la neutralité pour afficher des pubs de son choix sur cette page d’erreur... Succès garanti.
Plus en détail, bortzmeyer.org. explique que « certains FAI prétendent mettre en place des DNS menteurs pour « le bien des clients » alors qu'en réalité, ils sont poussés par des intermédiaires qui leur proposent de « monétiser » l'audience du site Web ainsi pointé, comme l'a bien expliqué le directeur technique de Free). C'est le rôle du résolveur DNS menteur, qui est typiquement chargé, lorsqu'il reçoit un code NXDOMAIN (No Such Domain, ce nom n'existe pas) de le remplacer par le code NOERROR et d'ajouter une adresse IP où écoute un serveur HTTP qui sert de la publicité »
Le même site dresse la liste des problèmes techniques, mais aussi politiques que soulève la pratique. « Ce mensonge empêche le déploiement de toutes les techniques de sécurité du DNS de bout en bout comme DNSSEC (RFC 4033). Les applications qui testent si une entrée est présente dans le DNS (par exemple les listes noires DNS ou simplement les programmes de détection de liens Web morts) ne peuvent plus fonctionner », en outre, « le titulaire d'un domaine en perd le contrôle puisque le résolveur menteur va prétendre que xxxxx.wikipedia.org existe, malgré le fait que le gérant de wikipedia.org ne l'ai pas créé. C'est donc un coup de force du gérant du résolveur DNS (le FAI) contre celui du domaine. Le fait qu'un intermédiaire technique, le FAI, se permette de modifier les données en transit par son système est une violation de la neutralité du réseau, qui en appelle d'autres. Si on abandonne le principe du « transporteur neutre », qui relaie mécaniquement les paquets de ses clients, demain, on assistera à des ingérences encore plus nettes ».
Des contributeurs de la liste FRNog.org mettent en évidence que SFR, comme n’importe quel FAI, a pourtant l’embarras du choix pour installer un dispositif au niveau de l’utilisateur plutôt qu’au centre. « La justification du DNS menteur SFR comme aide à l'internaute qui ne retire pas ses moufles pour taper une URL ne tient plus. » Installée au plus près de la box, une solution équivalente permettrait ainsi à chaque abonné d’échapper à la publicité s’il le souhaite, plutôt que se la voir imposée dans un périmètre qui lui échappe.
« Je ne pense pas que l'intérêt pécuniaire soit la raison de ce DNS menteur. Je pense plutôt que le but voulu par les dirigeants de chez SFR est d'aider Mme Michu quand elle se trompe dans l'URL qu'elle a tapée... » égratigne un autre contributeur.
Contacté, nous attendons une réaction de SFR sur la justification exacte de ces mesures.
--------
Le sujet fait tache d’huile sur la liste spécialisée FRNog.org : SFR a mis en place ce que l’on nomme un DNS menteur. En pratique, la mesure consiste à rediriger un utilisateur qui a fait une erreur de saisie d’URL vers une page du FAI. C’est un choix du FAI qui permet de faire fructifier les erreurs de ce type : en effet, il est alors simple pour l’intermédiaire technique d’oublier la neutralité pour afficher des pubs de son choix sur cette page d’erreur... Succès garanti.
Plus en détail, bortzmeyer.org. explique que « certains FAI prétendent mettre en place des DNS menteurs pour « le bien des clients » alors qu'en réalité, ils sont poussés par des intermédiaires qui leur proposent de « monétiser » l'audience du site Web ainsi pointé, comme l'a bien expliqué le directeur technique de Free). C'est le rôle du résolveur DNS menteur, qui est typiquement chargé, lorsqu'il reçoit un code NXDOMAIN (No Such Domain, ce nom n'existe pas) de le remplacer par le code NOERROR et d'ajouter une adresse IP où écoute un serveur HTTP qui sert de la publicité »
Le même site dresse la liste des problèmes techniques, mais aussi politiques que soulève la pratique. « Ce mensonge empêche le déploiement de toutes les techniques de sécurité du DNS de bout en bout comme DNSSEC (RFC 4033). Les applications qui testent si une entrée est présente dans le DNS (par exemple les listes noires DNS ou simplement les programmes de détection de liens Web morts) ne peuvent plus fonctionner », en outre, « le titulaire d'un domaine en perd le contrôle puisque le résolveur menteur va prétendre que xxxxx.wikipedia.org existe, malgré le fait que le gérant de wikipedia.org ne l'ai pas créé. C'est donc un coup de force du gérant du résolveur DNS (le FAI) contre celui du domaine. Le fait qu'un intermédiaire technique, le FAI, se permette de modifier les données en transit par son système est une violation de la neutralité du réseau, qui en appelle d'autres. Si on abandonne le principe du « transporteur neutre », qui relaie mécaniquement les paquets de ses clients, demain, on assistera à des ingérences encore plus nettes ».
Des contributeurs de la liste FRNog.org mettent en évidence que SFR, comme n’importe quel FAI, a pourtant l’embarras du choix pour installer un dispositif au niveau de l’utilisateur plutôt qu’au centre. « La justification du DNS menteur SFR comme aide à l'internaute qui ne retire pas ses moufles pour taper une URL ne tient plus. » Installée au plus près de la box, une solution équivalente permettrait ainsi à chaque abonné d’échapper à la publicité s’il le souhaite, plutôt que se la voir imposée dans un périmètre qui lui échappe.
« Je ne pense pas que l'intérêt pécuniaire soit la raison de ce DNS menteur. Je pense plutôt que le but voulu par les dirigeants de chez SFR est d'aider Mme Michu quand elle se trompe dans l'URL qu'elle a tapée... » égratigne un autre contributeur.
Contacté, nous attendons une réaction de SFR sur la justification exacte de ces mesures.
