"DNS public" de Google : effet d'annonce ?

L'annonce de la sortie d'un nouveau service de "DNS public" a eu son impact. Pourtant, Google ne sera qu'un acteur de plus. C'est plutôt à la fonction même du DNS qu'il faudrait s'intéresser… C’est d'elle que dépendent le bon ou le mauvais fonctionnement du Web.

Imaginez la mésaventure suivante. Vous téléphonez à votre banque, un conseiller vous répond et vous demande vos codes de sécurité pour vous identifier avant de recevoir vos ordres. Vous lui donnez, bien entendu, sans même vous poser la question de son identité réelle... Pourquoi douteriez-vous, puisque vous venez de composer le numéro de téléphone de votre banque ? Vous y êtes donc forcément... Sauf si quelqu'un à le moyen d'intercepter votre appel et le renvoyer vers un interlocuteur se faisant passer pour un agent de votre banque. Son seul but : subtiliser vos informations personnelles.
 
Science fiction ? Scénario digne d'un film de Jason Bourne ? Pas en ce qui concerne l'Internet en tout cas. Le réseau mondial repose sur une technologie appelée "DNS" pour "Domain Name System" (système de noms de domaine). Sa fonction de base est simple : assurer le lien entre un nom de domaine et le code numérique (appelé adresse IP) permettant d'identifier une machine connectée au Web.
 
Que propose Google exactement ? De substituer ses propres serveurs DNS à ceux de votre FAI traditionnel. Car généralement, sans même le savoir, vous utilisez les serveurs DNS de votre fournisseur d'accès pour toute action de résolution. Lorsque vous tapez un nom de domaine, ce sont les serveurs DNS de votre FAI que votre ordinateur interroge.
 
Or le système informatique n'a nul besoin de noms de domaine. Un ordinateur comprend les séries de 4 nombres (par soucis de simplicité, nous n'évoquons ici que le cas d'IPv4) des adresses IP, mais pas les lettres et les mots du vocabulaire humain composant un nom de domaine. Il faut donc traduire ces derniers. Une partie du DNS sert à ça.
 
L'analogie avec la téléphonie est utile pour être sûr de bien comprendre. D'ailleurs, si vous êtes possesseur d'un téléphone portable moderne, vous avez certainement perdu l'habitude d'utiliser des numéros de téléphone. Vous contacts sont enregistrés et classés par noms et prénoms. Lorsque vous voulez les appeler, c'est leur nom que vous recherchez. Lorsqu'ils vous appellent, c'est leur nom qui s'affiche à l'écran. Posez-vous la question de combien de numéros de téléphone, même de vos proches, vous connaissez encore par coeur aujourd'hui...
 
Or quand vous cliquez sur "Stéphane" pour appeler votre correspondant, vous faites toute confiance à votre téléphone qui se charge de faire la liaison entre ce nom et le numéro du correspondant souhaité. Facile au niveau d'un téléphone, qui gère sa propre base de correspondances. Imaginez un système similaire mais à l'échelle d'un réseau informatique planétaire et vous avez le DNS.
 
Aiguillages 
Un DNS qui peut être manipulé. Lorsque vous utilisez un nom de domaine pour aller surfer sur un site Internet, c'est une véritable chaîne de correspondances que vous activez. Mémoire locale de votre ordinateur (le cache), points de relais entre vous et votre fournisseur d'accès à Internet (les routeurs), machines contenant les informations sur quel nom correspond à quel adresse IP (les serveurs DNS) ou encore l'opérateur de l'extension concernée (le registre)... Tous participent à un travail appelé "résolution", permettant de vous amener à bon port (le fait d'arriver sur le site d'INDOM lorsque vous tapez www.indom.com par exemple).
 
Or tels des aiguillages sur une voie ferrée, à chaque étape de la résolution il est possible de détourner le trafic. Et donc de vous amenez, sans que vous ne le sachiez, vers une réponse qui n'est pas celle que vous attendez. C'est à dire vers un site Internet qui n'est pas celui que vous demandiez.
 
Plusieurs cas de figure peuvent se présenter : 

1.      1.   Vous tapez un nom de domaine valide mais quelqu'un parvient, de manière intentionnelle, à vous détourner vers un faux site Internet.

2.    Vous tapez un nom de domaine inexistant (une faute de frappe par exemple), mais un des éléments de la chaîne susmentionnée vous répond quand même comme si un site existait.
3.    Sur une même extension Internet, quelque soit le nom de domaine que vous tapez, vous êtes toujours dirigés vers le même site.
4.      Vous envoyez un email, qui est intercepté parce que le nom de domaine utilisé a été détourné.
 
On le voit, les dangers sont multiples. Un DNS sécurisé, fonctionnant dans les respects des normes techniques, est donc crucial pour un Internet stable et utile.
 
Des millions de requêtes 
Parfois, ces serveurs DNS sont lents (quelques millisecondes de plus par ci et par là peuvent se traduire par des temps de connexion assez énervants). Parfois, ils sont réglés pour vous renvoyer vers des pages de liens publicitaires si le nom de domaine demandé n'existe pas (cas 2 ci-dessus). Mais la plupart du temps, ça marche sans problème. Et c'est gratuit bien sûr.
 
Alors pourquoi Google propose-t-il un service de DNS ? D'après la société, comme son moteur de recherche traite des millions de requêtes DNS chaque jour (à chaque fois que quelqu'un utilise Google pour trouver un site), ses serveurs DNS sont capables de fonctionner plus rapidement (http://code.google.com/speed/public-dns/). Si cela semble plausible, certains forums américains affirment que la vérité serait toute autre, puisqu'en se branchant sur les serveurs DNS de Google, les temps de connexion seraient légèrement rallongés.
 
Y a-t-il donc un avantage réel à la solution Google ? On peut en douter, même si cette dernière ne présente pas forcément de désavantage non plus. Sauf pour ceux qui s'inquiètent de voir Google capter de plus en plus de données sur les habitudes des Internautes. Car, bien évidemment, passer des serveurs DNS de votre FAI à ceux de Google, c'est un peu comme si vous branchiez le carnet d'adresse de votre téléphone directement sur Orange. L'opérateur pourrait alors connaître le détail de toutes vous communications, même si votre propre opérateur téléphonique est SFR ou Bouygues.
 
Un Internet plus sûr 
Pour pallier cette préoccupation, Google promet de ne pas sauvegarder les requêtes effectuées par le biais de ses serveurs DNS plus de 48 heures. Mais c'est un autre engagement qui devrait retenir l'attention : celui de ne jamais rediriger des Internautes ayant mal tapé un nom de domaine ou ayant tapé un nom inexistant vers une page web autre que la célèbre page d'erreur indiquant que le site n'a pu être trouvé.
 
On touche en effet là à des fonctions clefs de l'Internet.
 
D'après les experts techniques, ce fonctionnement est le seul qui ne mette pas en danger l'intégrité de l'Internet. Le régulateur mondial du nommage sur Internet, l'ICANN, vient d'ailleurs de sortir un rapport indiquant que les redirections de types 2 ou 3 dans nos exemples ci-dessus doivent être interdites pour les FAI et les registres (http://www.icann.org/en/announcements/announcement-2-24nov09-en.htm).
 
Le nouveau service de Google n'est peut être qu'un épiphénomène. Mais il permet de mettre en exergue la valeur d'initiatives techniques, comme celle de l'ICANN. Des initiatives qui contribuent à rendre l'Internet plus sûr et plus fiable. C'est ça, la grande nouvelle.