Vous êtes ici :
-
Consultations
-
Commandes publiques de l'Afnic
-
Documents de référence
-
Statistiques
-
Publications
-
Blog
- Les marques répondent présentes au 2nd rendez-vous du Cercle des .marque
- Radioscopie du .RE
- À propos de l’attaque sur les résolveurs DNS de FAI français
- Utiliser l'open data de l'Afnic : exemple avec le terme COVID
- Héberger un nom de domaine avec caractères composés
- L’éligibilité d’un titulaire situé sur le territoire du Royaume-Uni post BREXIT
- Peut-on avoir des caractères composés dans un nom de domaine ?
- Le fonctionnement de l'Afnic pendant le confinement
- Quels domaines de premier niveau ont une adresse IP ?
- Lala Andriamampianina nous a quittés
- 6 conseils pour éviter les piratages de son site web
- Résolutions 2020: l'Afnic se met à l'elliptique
- À la recherche des nTLD low cost
- Balade au cœur du .paris - à la découverte de sa communauté
- Le .ORG – une autre perspective
- Retour sur le succès de la première rencontre du Cercle des .marque
- Facteurs clés de succès des extensions internet : une grille d’analyse
- [Vidéo] Retour sur le Forum de la Gouvernance Internet (FGI) France 2019
- Un petit exemple d'utilisation des données ouvertes de l'Afnic
- Réflexions sur les modèles économiques des « nouveaux TLD »
- 30 ans, des succès, et des risques ; le Web, l'URL et le futur
- [Success stories] Renforcer son infrastructure pour l’adapter à ses ambitions
- 1er février 2019 : le DNS va-t-il trembler ?
- [Success stories] Ils ont fait le choix d’une extension internet personnalisée
- [Success stories] Le .museum, une extension internet historique redynamisée
- Les grandes étapes pour lancer efficacement votre .marque
- 6 secrets pour améliorer le renouvellement des noms de domaine
- [Vidéo] Retour en images sur l'IGF 2018 Paris
- Le .MARQUE pour optimiser l'expérience client
- L’Afnic s’implique dans la sécurité du DNS au niveau international
- Remplacement de la clé KSK de la zone racine : Êtes-vous prêts ?
- Comment la SNCF a mis en oeuvre sa nouvelle stratégie digitale avec oui.sncf ?
- Projet de R&D: classification automatique des abus en matière de noms de domaine
- Mémorisation auditive des noms de domaine
- Quelles actions mener face aux abus sur les noms de domaine ?
- Usurpation d’identité par nom de domaine : ce que fait l’Afnic
- Cybersquatting, Spam, Phishing… les différents types d’abus sur noms de domaine
- [Vidéo] Retour sur le Forum de la Gouvernance de l'Internet France 2018
- Les extensions internet personnalisées : quelles opportunités pour les marques ?
- Comment éviter l'irrecevabilité dans la procédure SYRELI
- Quels sont les termes anglophones les plus utilisés dans les domaines en .FR ?
- Sécurité des noms de domaine, l'exemple des cryptomonnaies
- Test de personnalité : êtes-vous prêts pour le RGPD ?
- Les extensions comme le .alsace ont-elles un effet sur le SEO local ?
- Quels sont les termes les plus utilisés dans les noms de domaine en .fr ?
- Les 11 endroits incontournables où votre adresse internet doit apparaitre !
- Quels moyens d'actions pour les ayants-droits non éligibles à la charte du .fr ?
- Litige sur un nom de domaine: la reconnaissance des droits d'une AOC dans SYRELI
- Pourquoi utiliser un nom de domaine sous une nouvelle extension ?
- L'Afnic, une communauté avant tout !
- La défense des droits de la personnalité dans la procédure SYRELI
- Le prochain round des nouveaux gTLD, c’est pour quand ?
- Pourquoi venir à l’Afnic Forum ?
- Résolveur public de DNS-sur-TLS Yeti
- 2016, début d’un nouveau cycle pour l’Afnic
- Le .fr vient de franchir le cap des 3 millions de noms de domaine
- Mon expérience au sein du service Juridique de l'Afnic
- [Vidéo] 4 conseils pour réussir le lancement de votre entreprise sur Internet
- Futur de l’ICANN: Ni privatisation, ni internationalisation, ni supervision
- Excellence à l’Afnic – le coming out
- Offre exclusive : votre nom de domaine 100% Remboursé* !
- Intervention à l'occasion de la remise du plan de transition IANA
- Afnic Football Club
- 8 astuces pour bien choisir son nom de domaine
- IPv6 et DNSSEC ont 20 et 19 ans. Même combat et mêmes défis !?
- Le projet Yeti d'expérimentation d'une racine DNS
- L.45-2 1° du CPCE : Quand le nom de domaine porte atteinte à la loi
- Comment éviter de se faire voler son nom de domaine par email ?
- Responsabilité et transition IANA : les coulisses
- République numérique : Ceci n’est pas une consultation publique
- Faut-il une approche globale pour les marques territoriales françaises ?
- Ne vendez plus de noms de domaine !
- abc.xyz : erratum.xyz
- abc.xyz : et pendant ce temps en France ?
- abc.xyz : pourquoi pas alphabet.com ? (Version théorie du complot)
- abc.xyz : le succès controversé du .xyz
- Communication institutionnelle : une tension permanente ?
- abc.xyz : pourquoi pas alphabet.com ?
- alphabet.xyz : comment Alphabet a acheté son nom de domaine ?
- abc.xyz : pas d’inquiétude, nous sommes aussi en train de nous habituer à ce nom
- La transition IANA franchit une étape majeure à Buenos Aires
- Une journée dans la vie de la communauté habilitée ICANN
- Transition IANA : la machine est lancée, mais l'échéance approche
- La Chine, une mutation à pas de géant
- Vers un DNS moins indiscret
- Les Parl : mettez toutes les chances de votre côté
- Icann : la gouvernance pour quoi faire ?
- ICANN Singapour. Un débat au bout du monde
- Synthèse de la table-ronde Afnic sur la solidarité numérique
- Mesurer la « qualité » de l'accès à l'Internet, mission difficile
- Réforme de l'Icann, la boite de Pandore est ouverte
- Comment se porte l'Internet en France ?
- Forum sur la Gouvernance de I’Internet : Que faire ?
- Spam suffit !
- Icann : ne bougez plus !
- Escroqueries et usurpations d’identité, expérience d’un rapporteur SYRELI
- La reforme des régions ne sonnera pas la fin des geoTLD français
- Que retenir de NETmundial ?
- Avis de changement à l'Afnic !
- Suggestions pour une transition IANA réussie
- Sur la gouvernance de l'Internet, les Etats Unis jouent la carte Icann
- Retour vers le futur du service juridique de l’Afnic
- Pourquoi les territoires veulent-ils leur place sur Internet ?
- Vers une nécessaire rationalisation du « panier gTLDs » des registrars ?
- L'éléphant IANA est dans la salle
- Syreli fête ses deux ans
- 2014 : changement de jalons pour le système de nommage
- Le système de nommage de GNUnet
- Gouvernance de l’Internet : Au travail !
- La responsabilité sociétale et l'ADN des ccTLDs
- Mais que fait l'Afnic ?
- Conseil d'Etat, Léon Blum, Lawrence Lessig et l'Afnic
- Qui est derrière le Whois ?
- Registrars Atlas 2013, ce qu'il faut retenir
-
FAQ
-
Lexique
-
Certificats
À propos de l’attaque sur les résolveurs DNS de FAI français
11 septembre 2020 - Par Stéphane Bortzmeyer
Il y a une semaine, plusieurs FAI français, dont SFR et Bouygues, ont été « en panne », leurs résolveurs DNS ne répondant plus.
Les 1 et 2 septembre 2020, plusieurs FAI (Fournisseurs d’Accès à l’Internet) français, dont SFR et Bouygues, ont été « en panne », problème qui a été largement commenté dans les médias. En fait, leurs résolveurs DNS étaient hors-service, et il semble bien que c’était suite à une attaque menée contre ces résolveurs. Quelles leçons en tirer ?
D’abord, les faits. Prenons comme exemple le problème de SFR (et Numéricâble, qui a été racheté par SFR il y a un certain temps). De nombreux utilisateurs sur les réseaux sociaux se plaignent de ce que leur accès Internet « ne marche pas ». Plusieurs notent qu’en remplaçant les résolveurs DNS « normaux » par des résolveurs DNS publics comme ceux de Google ou de Cloudflare, tout remarche. On peut donc en déduire que le réseau du FAI fonctionnait bien, seul le service de résolution DNS était affecté.
Mais c’est quoi, un résolveur ? C’est l’une des deux sortes de serveur DNS (l’autre étant le serveur faisant autorité, qui ne sera pas discuté ici). C’est celui qui, pour le compte de l’utilisateur final, va faire l’essentiel du travail pour pouvoir obtenir des informations (comme l’adresse IP d’un serveur Web) en échange d’un nom de domaine. C’est la machine qu’interroge M. et Mme Toutlemonde. Il est automatiquement configuré lorsqu’on se connecte à un réseau. Il est géré par le FAI ou, dans le cas du réseau local d’une organisation, par le service informatique de l’organisation. Mais on peut aussi changer explicitement sa configuration, par exemple pour utiliser les résolveurs publics, ce qu’ont fait beaucoup d’utilisateurs pendant les pannes, pour pouvoir continuer à utiliser l’Internet. Une organisation ayant son propre service informatique, ou un informaticien passionné, peut aussi avoir son propre résolveur, ce qui donne le maximum de contrôle sur le mécanisme de résolution de noms de domaine.
On voit donc qu’un résolveur est un composant crucial. Pour Mme ou M. Toutlemonde, ne pas avoir de résolveur qui marche, c’est à peu près la même chose que de ne pas avoir d’Internet du tout. Installer, configurer et surtout maintenir un service de résolution DNS rapide et fiable est donc une des tâches essentielles d’un FAI.
Mais qu’est-il arrivé à ce service de résolution pendant la panne ? Il faut noter que, comme avec tous les problèmes Internet, panne ou attaque, très peu d’informations précises sont rendues publiques. On n’a en général qu’une communication très générale (« il y a un problème limité, nous sommes mobilisés et travaillons très dur à la résoudre ») et dont la fiabilité n’est pas toujours garantie. Il est donc toujours difficile d’analyser les problèmes et cet article devra, par la force des choses, être prudent. Rendons d’ailleurs hommage à la société Cloudflare, qui est une des très rares entreprises Internet à documenter publiquement ses pannes, dans d’excellents articles techniques. C’est ainsi que la grande panne de Level3/CenturyLink le 30 août n’a fait l’objet d’aucune publication de CenturyLink, mais a été bien analysée, par Cloudflare, justement.
Revenons au problème des 1 et 2 septembre. N’a t-il touché que la France ? Non, des rapports précis indiquaient des ennuis similaires en Belgique et aux Pays-Bas. Si une panne totale des résolveurs DNS d’un FAI est quelque chose qui arrive et qui s’est déjà produit à plusieurs reprises, la proximité dans le temps de toutes ces défaillances plaide en faveur d’un problème systémique, très probablement une série d’attaques menées par le même groupe. Ces attaques par déni de service (DoS en anglais, pour Denial of Service), qui visent non pas à prendre le contrôle d’un système informatique mais à stopper son fonctionnement, sont une des plaies de l’Internet, et il est très difficile de se défendre contre elles. Ici, d’après certains témoignages précis, l’attaquant a réussi à arrêter les résolveurs DNS de plusieurs FAI en les surchargeant de requêtes.
Quelles étaient les motivations de l’attaquant ? Contrairement au héros de roman Arsène Lupin, il n’a pas laissé de carte de visite. Nous ne savons pas qui c’est (l’attribution des attaques est toujours très difficile, et dépend davantage de considérations politiques que techniques), ni son but.
On a vu que, pendant l’attaque, un grand nombre d’utilisateurs sont passés à des résolveurs publics. Cela a permis à l’utilisateur ou l’utilisatrice de continuer à profiter de l’Internet et, techniquement, cela a prouvé que le problème était bien un problème de résolveur DNS. Il existe de très nombreux résolveurs publics, les plus connus étant tous gérés par des GAFA, ces grandes entreprises étatsuniennes qui accaparent une bonne partie des services sur l’Internet. Quels sont les problèmes liés à cette utilisation des GAFA comme résolveurs DNS ? D’abord, ils récoltent ainsi davantage de données personnelles, alors qu’ils en ont déjà beaucoup trop. Comme le note le RFC 7626, les requêtes DNS que vous faites sont très révélatrices de vos activités. Pas quand vous utilisez fr.wikipedia.org, bien sûr, car tout le monde utilise Wikipédia, mais une requête pour www.alcooliques-anonymes.fr est sans doute plus sensible. (En outre, si la communication avec le résolveur est en clair, des surveillants sur le trajet peuvent lire vos requêtes.) Outre la captation de données personnelles, cette utilisation des GAFA a des conséquences plus stratégiques. Comme toute activité sur l’Internet commence par des requêtes DNS au résolveur, une telle dépendance vis-à-vis des GAFA les place dans une situation de pouvoir, et pourra leur permettre, par exemple, de bloquer à leur guise tel ou tel nom de domaine. Or, il est très probable que l’immense majorité des personnes qui ont changé leur configuration pour utiliser les résolveurs publics ne reviendra pas en arrière. Chaque panne, chaque attaque réussie, augmente donc leur part de marché.
Ne faisons pas de reproches à M. ou Mme Toutlemonde. Pendant la panne, il n’y avait guère le choix, s’ils voulaient reprendre leurs activités en ligne. Il existe certes des résolveurs publics non GAFA comme ceux de FDN (qui a d’ailleurs été victime d’une attaque réussie, venant sans doute du même attaquant) mais ils soulèvent également des problèmes de vie privée car les atteindre nécessite un long trajet qui se fait en clair sur le réseau (sauf si le résolveur met en œuvre les protocoles chiffrés comme DoT, DNS sur TLS, et/ou DoH, DNS sur HTTPS), et ils ne sont pas toujours rapides, ni fiables. On peut aussi avoir un résolveur privé chez soi mais, dans l’état actuel de l’offre logicielle, c’est réservé aux informaticiens.
En conclusion, cette attaque a montré une fois de plus le caractère critique du résolveur DNS, composant d’infrastructure essentiel mais souvent oublié. Il est nécessaire que ce composant reçoive les investissements humains et financiers nécessaires pour assurer un fonctionnement fiable. L’attaque ayant montré la vulnérabilité d’une partie de l’Internet français, et le risque que des utilisatrices et utilisateurs ne se détournent vers les GAFA, il est également important de considérer qu’il s’agit d’un problème stratégique.
Ce nom de domaine
est-il disponible ?
Actualités
- 15 décembre 2020 Présence en ligne des TPE/PME : résultats 2019/2020 de l'étude Afnic « ...
- 10 décembre 2020 Trois projets d’ampleur sur la feuille de route du Collège international de l...
- 23 novembre 2020 Lucien Castex est renouvelé comme membre du "Multistakeholder Advisory Gro...
- 17 novembre 2020 Marianne Georgelin intègre le Comité de direction de l’Afnic, en tant que Di...
- 16 novembre 2020 « Je passe au numérique », l’initiative de l’Afnic pour les TPE/PME