Les serveurs DNS sont, trop souvent, les grands oubliés de l’infrastructure d’Internet, alors qu’ils en sont pourtant l’une des clés de voûte. Rappelons, pour le profane, comment fonctionne le grand mécanisme qui vous permet d’accéder quotidiennement à un océan de contenu multimédia : premièrement, vous entrez une série de mots dans le champ d’un moteur de recherche, qui en retour vous propose une série de liens qui vous renvoient vers des adresses URL, caractérisées par un protocole (généralement HTTP et HTTPS) et composées de mots qui forment le nom de domaine du site.

C’est très pratique pour nous autres humains, qui avons pris l’habitude de traduire nos concepts par le langage écrit depuis l’invention des tablettes sumériennes, mais les machines, elles, n’en ont cure – ce qui leur plaît, à elles, ce sont les chiffres. C’est là qu’entre en jeu le résolveur DNS (pour Domain Name Server) : son boulot, c’est de traduire l’URL que vous avez tapée en langage humain en adresse IP chiffrée à l’attention des machines. Cette adresse IP correspond à un serveur, auquel votre demande de connexion sera transmise (c’est ce que l’on appelle une requête DNS) et qui vous renverra, en échange, la page Web que vous souhaitiez consulter.

Toutes vos demandes transitent donc par le serveur DNS, qui fait office d’aiguillage d’outil de traduction et de double annuaire (URL et IP). Si jamais un « gros » DNS chope un rhume, ce sont des pans entiers du réseau Internet qui toussent – l’exemple le plus révélateur étant l’attaque du DNS Dyn, qui gère les noms de domaines de plusieurs gros carrefours des Internets, par le botnet Mirai, qui avait carrément paralysé une partie du réseau américain en 2016. Bref, les DNS sont essentiels à votre navigation Internet. ET désormais, l’un d’entre eux pourrait également être le chaperon de votre vie privée numérique.



Le 16 novembre dernier, IBM annonçait ainsi la mise en fonctionnement d’un nouveau DNS entièrement gratuit et baptisé Quad9. Si l’apparition d’un nouveau DNS sur le marché n’a rien d’extraordinaire en soi (il en existe déjà des dizaines que vous pouvez configurer, souvent plus rapides et plus sécurisés que ceux assignés à votre modem par votre fournisseur d’accès à Internet), celui-ci se démarque par son sacerdoce : développé en collaboration avec Global Cyber Alliance, une association de lutte contre la criminalité en ligne, et Packet Clearing House, il filtre automatiquement votre navigation pour bloquer tous les noms de domaines associés à des botnets, tentatives de phishing (le fait de créer une fausse page Web pour récupérer vos identifiants) et autres types de menaces sur votre vie privée en ligne. De plus, votre historique de connexion ne sera pas conservé par le service, qui se contentera de « garder de banales données de géolocalisation » afin de mesurer l’évolution des demandes de connexion à des noms de domaines corrompus, explique Phil Rettinger, le président de Global Cyber Alliance, à Ars Technica.

Pour maintenir une liste de menaces constamment actualisée, Quad9 se branche sur 19 différentes listes, dont celle d’IBM, et actualise sa base de données environ deux fois par jour. Côté permissions, Quad9 génère une whitelist de domaines à ne jamais bloquer, calquée sur la liste de Majestic Million (le classement du million de sites les plus visités au monde, oui, ça existe), et une goldlist composée majoritairement des services de Cloud comme Google Drive ou Amazon Web Service… même si, parfois, les attaques de phishing les utilisent pour approcher leurs victimes, comme c’était le cas le 3 mai dernier avec Google Docs. Lorsqu’un site sera bloqué par Quad9 pour votre protection, la page restera vierge, tout simplement.

A l’heure de son lancement, Quad9 possède des grappes (clusters) de serveurs dans plus de 70 emplacements à travers le monde, et espère en avoir une centaine déployée d’ici la fin de l’année. En d’autres termes, l’infrastructure est suffisamment solide pour que l’internaute lambda ne voie aucune différence entre Quad9 et son ancien DNS au niveau de la vitesse de chargement des pages. Pour le moment, donc, tout roule, même si Global Cyber Alliance doit continuellement être financée pour assurer le fonctionnement du service. Reste donc à espérer que Quad9 sera adopté par les petites et moyennes entreprises, qui y trouveront là une solution clé en main gratuite pour protéger leurs réseaux d’attaques de phishing ou de botnets, qui ont désormais tendance à se propager dans les parcs informatiques plus vite qu’une épidémie de chaude-pisse lors d’un weekend d’intégration de grande école.

Mais le plus difficile restera certainement de convaincre ne serait-ce qu’une partie du grand public d’adopter Quad9 ou ses équivalents, comme l’explique un spécialiste de la sécurité informatique – pessimiste – à la BBC : « Nous n’avons pas réussi à convaincre la majorité des utilisateurs de déployer des VPN et des gestionnaires de mots de passe. Ca va être aussi difficile de les convaincre des mérites d’un service DNS différent. » C’est probablement vrai, et c’est dommage, car changer manuellement son DNS à l’adresse 9.9.9.9 ne nécessite aucune connaissance préalable en informatique – pour preuve, les excellents tutoriels vidéo sur le site de Quad9 rendent la manipulation simplissime. Plus que le défi technique, l’enjeu est surtout de parvenir à responsabiliser les utilisateurs sur les dangers de la navigation Internet en 2017 et l’intérêt d’installer des garde-fous pour se balader tranquillement sur le réseau sans risquer de se faire agresser par un botnet au coin d’une URL. La bonne nouvelle, c’est que les solutions sont déjà là.