Pour bloquer les sites pornographiques qui n'en font pas assez pour empêcher les mineurs d'accéder à leurs pages, il est question d'utiliser le blocage par DNS ou blocage par nom de domaine. Voici six questions pour y voir plus clair.

Comment fonctionne le web (en gros) ?

Pour comprendre ce qu’est le DNS, il faut rappeler au préalable quelques généralités au sujet d’Internet. Il s’agit d’un vaste réseau informatique — en fait, d’une myriade de réseaux informatiques autonomes qui sont interconnectés — sur lequel fonctionne le web. Le web n’est pas Internet et Internet n’est pas le web. Le mail, par exemple, n’est pas du web, mais il passe par Internet. Idem pour le streaming ou le P2P.

Le web

Le web est un système hypertexte : il met en relation des pages entre elles grâce aux hyperliens — c’est-à-dire les liens que vous croisez au quotidien (par exemple dans cet article) quand vous surfez sur le net. Ces liens peuvent être internes et appartenir à un même ensemble, qu’on appelle site. Mais ils peuvent aussi pointer vers une ressource externe, qui se trouve sur un autre espace — donc un autre site web.

Ce système hypertexte fait que le web a été appelé ainsi, car il fait penser à une sorte de toile d’araignée : chaque intersection de cette toile pourrait être un site web et les fils qui les relient représentent ces hyperliens. Cette structure, imaginée au tournant des années 90, parlait était alors décrite sous la forme de « connexions multiples dont les interconnexions évoluent avec le temps. »

Une toile d’araignée. Ou une allégorie du web. // Source : Pixabay

Internet

Internet, lui, a des origines plus anciennes encore. S’il existe des travaux et des réflexions sur un tel réseau informatique peu après la Seconde Guerre mondiale, c’est surtout à la fin des années 60 que l’ancêtre d’Internet se structure : Arpanet. À l’époque, on ne compte que quatre serveurs connectés. Puis quarante, quatre ans plus tard. Et ainsi de suite, jusqu’à une galaxie pratiquement indénombrable aujourd’hui.

La bascule d’Arpanet à Internet se situe en 1984, quand les sites d’Arpanet passent au standard TCP-IP d’Internet. Comme le note l’Inria, « il n’y a pas de différence de nature ni d’ADN entre Arpanet et Internet. C’est le même réseau avec les mêmes applications. Simplement ,la nouvelle plateforme de transmission permet le raccordement d’autres réseaux et Internet devient davantage un réseau de réseaux. »

L’ensemble des sites du web est réparti sur une infinité de serveurs dans le monde. Ces serveurs sont la réalité physique d’Internet et sont reliés entre eux par des réseaux de télécommunications. Mais comment faire en sorte que les connexions sont bien acheminées là où il faut ? Comment être sûr que c’est le bon serveur, le bon site web qui est contacté ?

C’est là qu’entre en jeu le DNS — entre autres choses. Les serveurs utilisent une sorte de système de plaque d’immatriculation pour pouvoir se différencier entre eux et indiquer au navigateur web si la « route » prise par les données est la bonne. Pour le dire autrement, il faut faire en sorte que l’internaute, quand il clique sur un lien ou tape une adresse, arrive à bon port et ne se retrouve pas à Pétaouchnok.

Quel est le rôle du DNS pour le web ?

Le DNS (acronyme pour Domain Name System) est un système qui consiste à assurer une correspondance entre ces plaques d’immatriculation, que l’on appelle adresses IP, et des noms de domaine, c’est-à-dire l’identité d’un même ensemble : le site web. Pourquoi y a-t-il une telle association ? Parce que c’est commode : on retient plus facilement l’adresse d’un site web comme www.numerama.com que l’adresse IP du serveur du site.

Il suffit de voir à quoi ressemble une adresse IPv4 (172.16.254.1) pour se convaincre que les noms de domaine, ce n’est pas si mal. Et pour qui aurait encore un doute, la version IPv6 est encore pire (2001:0db8:0000:85a3:0000:0000:ac1f:8001). Ce système de notation est pratique pour accueillir des millions de machines à l’heure de l’Internet des objets, en donnant à chaque machine du réseau un numéro unique, mais pas pour la mémoire.

En somme, le DNS est comme un répertoire téléphonique. Les internautes cliquent sur un lien ou tapent une adresse dans leur navigateur et celui-ci va interroger une base de données pour savoir à quoi correspond la demande de l’internaute, en regardant à quelle adresse IP est rattaché le site web demandé — Et donc, à quel serveur. Une fois que celui-ci est identifié, il est possible d’y emmener l’internaute.

Ne faites pas comme Scully : n’appelez pas Internet. Envoyez votre requête à un DNS.

Le rôle du DNS est central. « Il faut se rappeler que les noms de domaine et le protocole DNS sont critiques pour le fonctionnement de l’Internet. Quasiment toute activité sur l’Internet commence par une requête DNS. Si elle ne fonctionne pas, presque rien n’est possible », pointe sur son blog Stéphane Bortzmeyer, ingénieur R&D à l’AFNIC, l’organisme qui gère le nom de domaine de premier niveau attribué à la France (« .fr »).

On a pu le voir lors de la panne spectaculaire de tout l’écosystème Facebook. Certes, tout est parti au départ d’une erreur interne de configuration dans l’infrastructure du réseau social, mais celle-ci s’est ensuite propagée à d’autres compartiments du réseau, dont le BGP (Border Gateway Protocol, qui permet en gros d’interconnecter les sous-réseaux qui composent Internet) et, donc, le DNS.

Dans les grandes lignes, cette base de données qui assure la correspondance entre le nom du site et l’adresse du serveur sur lequel il est hébergé s’appelle le résolveur DNS, qui a pour rôle de traiter les demandes qu’il reçoit. Il résout les demandes DNS, en somme. Dans les faits, la réponse formulée  par le résolveur DNS nécessite une série de sous-étapes, totalement invisibles pour l’internaute.

Cette correspondance est cruciale, car elle permet d’avoir la certitude qu’un nom de domaine renvoie à un seul contenu et pas à un autre. Donc que www.numerama.com pointe bien vers le serveur sur lequel est stocké le contenu de Numerama, quel que soit l’endroit où l’on se connecte, en France ou à l’étranger, et pas sur un autre serveur qui n’a rien à voir. Et pour viser le bon serveur, il faut connaître son adresse IP.

Comment fonctionne le DNS (en gros) ?

Imaginons que vous vouliez vous connecter à www.numerama.com.

  • Il vous faut d’abord taper l’adresse du site dans votre navigateur.
  • Celui-ci envoie alors la requête au résolveur DNS qui est configuré dans votre ordinateur.
  • Le résolveur DNS questionne alors le serveur racine du DNS, qui lui donne l’adresse d’un serveur DNS de domaine de premier niveau (TLD, pour Top Level Domain). En l’occurrence, le serveur racine du DNS renvoie vers un serveur DNS TLD en rapport avec le domaine de premier niveau « .com » (car c’est www.numerama.com que l’on demande).
  • Le résolveur TLD émet une nouvelle requête, cette fois vers ce serveur DNS TLD, puisque c’est lui qui garde les informations en lien avec cette extension.
  • Le serveur DNS TLD donne alors au résolveur DNS l’adresse IP du serveur qui héberge le site.

C’est à ce moment-là — enfin ! — que le résolveur DNS peut alors indiquer au navigateur web l’adresse IP du serveur sur lequel se trouve le site désiré. Et tout ceci se fait à la vitesse de l’éclair, sans aucun temps d’attente ou presque, puisque cela ne prend en tout et pour tout que quelques millisecondes. Et tout cela bien souvent sans que l’internaute n’ait la moindre idée de ce qui se passe sous le capot.

circumvention-dnsblocking
Dans ce schéma, la requête pour l’adresse IP du site de l’EFF est modifiée au niveau du FAI. Le FAI change le comportement du résolveur DNS et l’adresse IP est redirigée pour donner une réponse incorrecte ou une absence de réponse. // Source : EFF

On le devine donc : toutes ces étapes illustrent le rôle bien distinct des différents serveurs DNS dans le bon aiguillage d’une requête et, surtout, ces moments successifs montrent que tous les DNS n’ont pas la même importance. Certains ont une responsabilité accrue, car ils stockent les associations. On dit qu’il font autorité (ce sont des serveurs DNS faisant autorité). Les autres, les résolveurs, ne font que les copier.

Il n’en demeure pas moins que tous jouent un rôle dans cette chaîne de connexion, avec un niveau de responsabilité différent selon la place occupée dans cette hiérarchie. Même le résolveur DNS est important, même s’il donne l’impression de ne servir qu’à mettre des informations en cache. S’il défaille, l’internaute aura au final l’impression qu’il n’a plus Internet. Et cela, même s’il n’est qu’un intermédiaire.

Et c’est justement parce que ces résolveurs DNS demeurent décisifs dans cette chaîne de responsabilité qu’il est possible de déployer des actions débouchant sur le blocage de certaines demandes de connexion. En effet, si certains résolveurs DNS peuvent se situer hors de France, et donc ne pas tenir compte de jugements ou d’instructions, ceux des FAI français, qui sont largement répandus, n’y échappent pas.

Qu’est-ce que le blocage par nom de domaine ?

C’est à cet échelon-là que l’on peut empêcher des internautes d’accéder à un site, pour une raison ou pour une autre. En gros, le principe est de faire mentir le résolveur DNS pour qu’il ne réponde pas correctement à la requête formulée par l’internaute. Il existe d’autres techniques pour entraver l’accès à un site web, mais l’option consistant à mobiliser le protocole DNS est facile par rapport aux alternatives.

Le problème des DNS menteurs n’est pas nouveau et existe depuis plus de dix ans — il n’existe d’ailleurs pas seulement au travers des problématiques de censure du web : il a été documenté que l’emploi de DNS menteurs peut aussi être motivé par des raisons financières par un opérateur. Cela constitue évidemment une infraction à la neutralité du net, puisqu’on modifie l’acheminement du trafic.

En l’espèce, l’idée du blocage par DNS consiste à orienter une requête ailleurs. Lorsqu’est entré en application un décret en 2015 sur le blocage des sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique, il a été constaté une redirection des internautes qui tapent certaines adresses vers le ministère de l’Intérieur.

Initialement, la redirection visant certains sites accusés de véhiculer de la propagande terroriste ou incitant à commettre des actes terroristes pointait sur une page qui mettait en scène une main rouge, une référence historique malheureuse. Elle a depuis été modifiée.

Ainsi, dans le décret de 2015, il est expliqué que le blocage doit se faire « par tout moyen approprié » de manière à empêcher « l’accès aux services fournis par les adresses électroniques figurant sur la liste et le transfert vers ces services ». Cette liste, est-il ajouté, est constituée d’adresses comportant «  soit un nom de domaine (DNS), soit un nom d’hôte caractérisé par un nom de domaine précédé d’un nom de serveur ».

C’est une logique similaire qui attend les internautes voulant visiter des sites X qui sont susceptibles de se faire bloquer en France parce qu’ils ne vérifient pas convenablement l’âge réel. Ceux qui tomberont dans la procédure du CSA (qui deviendra bientôt l’Arcom) verront leur trafic redirigé vers une page explicative du Conseil supérieur de l’audiovisuel. Pas exactement ce que les internautes recherchent alors.

Ainsi le décret de 2021 sur les sites pornographiques déclare qu’il est demandé aux opérateurs qu’ils « procèdent à cet arrêt [de la connexion de l’internaute, NDLR] par tout moyen approprié, notamment en utilisant le protocole de blocage par nom de domaine (DNS) ». On notera d’ailleurs qu’une procédure de blocage a failli survenir, dans le cadre d’une procédure judiciaire distincte.

Cette technique de la censure par DNS est courante. Outre le cas des sites X, des sites faisant l’apologie du terrorisme et de ceux véhiculant des contenus pédopornographiques, on trouve aussi le blocage de sites de jeux d’argent n’ayant pas la licence pour exercer en France ou celui de sites proposant de voir des films piratés en streaming. Les exemples, en fait, ont tendance à se multiplier.

Peut-on changer ses DNS ?

Absolument. N’importe qui ayant quelque compétence en informatique peut modifier la configuration de son ordinateur pour utiliser d’autres DNS que ceux employés par défaut par son fournisseur d’accès à Internet. Pour les personnes moins débrouillardes, il reste la possibilité de demander de l’aide à un proche ou de consulter un guide sur le sujet. Nous en avons justement un à disposition.

Le principal obstacle n’est en fait pas tant d’effectuer le changement de ses DNS. C’est de savoir qu’ils existent, de connaître leur rôle et d’avoir conscience que l’on peut les changer. L’approche qui consiste à procéder à des blocages de sites web par DNS profite d’ailleurs de la méconnaissance et de l’incompétence du public pour fonctionner. Sinon, le blocage par DNS n’aurait aucun intérêt.

Est-ce légal ?

Il est tout à fait légal de changer ses DNS et vous pouvez le faire sur la machine de votre choix, qu’elle fonctionne avec Windows, Mac ou une distribution Linux. Cette modification dans les paramétrages de son ordinateur ne vise d’ailleurs pas uniquement à contourner des mesures de blocage. Elle a aussi un intérêt dans le cas où le résolveur DNS du FAI fait face à des dysfonctionnements passagers.

Les dérapages des DNS sont heureusement relativement rares, mais ils ne passent pas inaperçus. On se souvient par exemple qu’en 2016 un incident au niveau d’Orange a redirigé momentanément des internautes vers une page de notification pour apologie de terrorisme en voulant aller sur Google, Wikipédia ou encore OVH. En l’espèce, changer les réglages du DNS permettait d’enjamber le couac.

Il faut avoir conscience qu’au lieu d’utiliser les résolveurs de votre FAI, vous vous en remettez à un tiers et à sa politique de DNS. La manière la plus sûr de régler ce problème serait de construire son propre résolveur DNS, mais cela demande quelques compétences en plus. Certains résolveurs DNS publics peuvent en outre ne pas être très sécurisés et sont plus exposés que les résolveurs DNS de son FAI.

Typiquement, l’emploi d’un résolveur DNS alternatif à des fins de contournement de la censure peut s’avérer relativement problématique, car rien ne dit qu’il fournit assez de protection pour les internautes — comme un protocole d’authentification tel DNSCrypt pour chiffrer la liaison entre l’internaute et le DNS ou bien la possibilité de s’authentifier. On a déjà vu des détournements de DNS publics.

Quoiqu’il en soit, il n’est pas inutile de connaître. Les principales alternatives en matière de DNS. On trouve ainsi OpenNic, Google, FDN, OpenDNS (Cisco) et Cloudflare, mais aussi VeriSign ou Yandex. Certaines de ces solutions mettent en place certaines mesures de sécurité, comme DNSSEC, pour corriger certaines vulnérabilités. En outre, des avancées sur la sécurité peuvent être observées, comme le DNS over HTTPS.

Pourquoi changer ses DNS ?

La motivation principale est le contournement d’une mesure de blocage mise en place par son fournisseur d’accès à Internet. Diverses circonstances peuvent amener un opérateur à empêcher sa clientèle de se connecter à un site, sur décision judiciaire ou instruction administrative : apologie du terrorisme, contenus pédopornographiques, jeux d’argent non homologués, contrefaçon d’œuvres culturelles…

Il ne s’agit pas ici de discuter du bien-fondé du blocage par DNS comme stratégie de déni d’accès à des sites illicites. On pourrait en effet épiloguer longtemps sur l’efficacité réelle de la mesure, mais aussi interroger les raisons parfois très discutables qui peuvent amener à changer ses DNS — le faire pour des médias de mineurs à caractère pornographique est une motivation indéfendable et abjecte.

Fort heureusement, il existe des raisons beaucoup moins problématiques, pour ne pas dire condamnables, qui justifient de bouger ses DNS. La panne momentanée du résolveur de son FAI constitue un évènement dans lequel il est légitime de vouloir faire un changement pour retrouver l’accès à une ressource — par exemple Slack, qui a justement connu en 2021 un pépin de ce type et conseillait de changer ses DNS.

Le site de Steam était inaccessible en juillet 2021 à cause d’un pépin DNS. Les changer à cette occasion pour tenter de rétablir la liaison est une justification tout à fait compréhensible. // Source : Steam

D’autres considérations peuvent aussi entrer en ligne de compte, à commencer par des enjeux de performance. Cloudflare explique à ce propos — et c’est aussi une manière de promouvoir sa solution — que certains résolveurs sont beaucoup plus véloces dans l’exécution des requêtes, avec un délai cinq fois inférieur, et exploitent des mécanismes de sécurité (DNSSEC) qu’on ne retrouve pas toujours ailleurs.

Il peut s’agir aussi d’éviter une sorte de relative censure : en France, la pornographie n’est pas interdite. Cependant, dans le cadre de la poursuite légitime consistant à tenir éloignés les mineurs, une stratégie de blocage par DNS est envisagée pour sanctionner les sites X qui n’en font pas assez pour vérifier l’âge des internautes. Mais pour les adultes ne voulant pas en pâtir, le changement de DNS est une possibilité.

Partager sur les réseaux sociaux

La suite en vidéo