SFR violerait la neutralité du net avec un DNS menteur

Il y a cinq ans la société américaine Verisign s'était fait tapée sur les doigts pour le même genre de pratique. Gestionnaire de certaines extensions de noms de domaine, la société avait décidé de rediriger vers sa page monétisée Site Finder l'ensemble des requêtes portant vers des noms de domaine en .com ou .net inexistants. Face aux vives protestations des internautes et de l'ICANN, l'organisme responsable de la régulation technique d'Internet, Verisign avait renoncé au dispositif un mois plus tard.

Outre l'enrichissement indû causé par cette pratique, de nombreuses critiques avaient été émises sur un plan technique : consommation de bande passante inutile sur le réseau, problèmes de sécurité du DNS, impossibilité pour les serveurs d'envoi de courrier (SMTP) de savoir si l'adresse e-mail est inexistante ou d'établir une liste noire de serveurs inexistants, et surtout, non respect de la neutralité du réseau. Un intermédiaire doit se contenter de son rôle d'intermédiaire, et ne pas intervenir sur le contenu, d'aucune manière que ce soit.

Depuis, plusieurs FAI américains (en particulier Comcast) ont décidé d'imiter la pratique, qui peut rapporter gros. Pendant l'été, SFR a selon divers témoignages commencé à déployer en France le même type de méthode en diffusant sur son réseau de Neufbox des "DNS menteurs", dont l'action est plus large encore que l'initiative ciblée de Verisign. Les serveurs DNS sont ceux que consulte le navigateur pour connaître l'adresse IP d'un site Internet lorsque l'utilisateur tape son adresse en toutes lettres. Lorsque l'internaute abonné chez le FAI cherche à accéder à un site qui n'existe pas/plus, les serveurs de SFR redirigent la requête vers la page sfr.recherche.aol.fr, avec le message "La page web que vous recherchez est introuvable", et un moteur de recherche pré-rempli.

L'abonné est alors invité à effectuer sa recherche sur le moteur mis en place en partenariat avec AOL, liens sponsorisés à l'appui. Concrètement, comme l'explique cette page de Stéphane Bortzmeyer, "c'est le rôle du résolveur DNS menteur, qui est typiquement chargé, lorsqu'il reçoit un code NXDOMAIN (No Such Domain, ce nom n'existe pas) de le remplacer par le code NOERROR et d'ajouter une adresse IP où écoute un serveur HTTP qui sert de la publicité". Le tout sous couvert, bien entendu, de "rendre service" à l'abonné qui n'a rien demandé.

Non seulement le système fonctionne en cas d'erreur de saisie ou de nom de domaine inexistant, mais aussi dans les cas où les sous-domaines sont inexploités. Par exemple, bidule.numerama.com sera redirigé vers le moteur de recherche de SFR, plutôt que sur une page d'erreur classique qui invite l'utilisateur à corriger sa saisie.

On ne sera pas surpris que le premier FAI à succomber à la tentation soit la filiale de Vivendi, qui dévoile désormais ses cartes contre la neutralité du net. En attendant le jour où il imitera là encore Comcast, pour bloquer BitTorrent et peut-être un jour les serveurs DNS alternatifs...