Facebook a été hors ligne à cause d’une erreur dans la configuration de leur DNS. Voyons plus en détail ce qu’il se cache derrière.
Le Domain Name System (DNS) est un rouage essentiel d’internet qui permet de relier les humains aux ordinateurs. En effet, ce qui fait office de navigation sur internet est le protocole TCP/IP. À chaque machine connectée à internet, est assignée une adresse IP telle que 208.76.34.154 . Cette suite de chiffres sert aux machines à s’identifier entre elles, et ainsi à faire transiter les messages à travers internet.
Ce fonctionnement est parfait pour les machines, mais inapproprié pour les humains. Il faudrait se remémorer toutes les adresses IP de chacun de nos sites web pour y accéder. On a donc mis au point le DNS, qui permet de lier un nom de domaine à une adresse IP.
Lors de votre visite sur contrepoints.org, le navigateur demande au serveur DNS, l’adresse IP liée à contrepoints.org. Dans notre cas, il s’agit de 137.74.94.12. Ensuite, le navigateur va envoyer vos requêtes au serveur de contrepoints.org.
Si maintenant, par mégarde, on supprimer la configuration DNS de contrepoints.org, le site reste intact, toujours en ligne, mais plus personne ne le retrouve sans connaître son adresse IP. Il reste fonctionnel, mais inaccessible, comme ce fut le cas pour Facebook le lundi 4 octobre.
En plus de causer des pertes à 7 milliards en cas de mauvaise configuration, le DNS a deux défauts structurels qui fragilisent internet.
Domination Américaine
Bien qu’étant un pilier d’internet, le DNS est régi par un organisme américain ICANN, qui gère les .fr, .com, .org et autres.
L’idéal serait de confier le DNS à un registre décentralisé sans tiers de confiance… aka une blockchain ! Ce fut le cas du projet NameCoin, un des plus vieux projets blockchain qui naquît seulement 2 ans après Bitcoin. Malheureusement, il ne décolla pas. Actuellement un autre projet : UnstoppableDomains, s’annonce plus prometteur.
Aucune sécurité & vie privée
Lorsque votre navigateur demande en votre nom l’adresse IP derrière contrepoint.org, il le fait en clair et accepte la première réponse retournée. Une requête DNS équivaut à crier en public “Où se trouve Contrepoints ?”, puis se laisser guider par le premier venu.
Ce fonctionnement permet à l’état ou à un pirate de surveiller les sites visités sur son réseau, voire d’en interdire l’accès ou encore de détourner l’utilisateur. Cet espionnage n’est nullement théorique puisqu’il est en vigueur dans la Loi Renseignement depuis 2015.
Les navigateurs déploient depuis peu la fonctionnalité DNS-over-HTTPS pour resécuriser une requête DNS. Sinon l’utilisation de TOR ou d’un VPN permet aussi d’éviter cet espionnage.
Pour allez plus loin, je vous recommande ma dernière vidéo sur comment se protéger de la surveillance en ligne.
Le DNS est donc une technologie indispensable à internet, mais aussi extrêmement bancale. Une simple erreur rend les sites inaccessibles. Son organisation est le symbole de la domination américaine. De plus, son fonctionnement est très naïf, ce qui a permis un espionnage par l’état.
Le bug de Facebook montre la nécessité de faire émerger de meilleures alternatives à cette technologie.