Je n'ai probablement rien à vous apprendre apprendre au sujet de l'affaire Copwatch Nord-Paris IDF elle-même : le ministère de l'Intérieur, plutôt que d'attaquer l'auteur de ce site Web qui est parfaitement identifiable, a obtenu d'ordonner aux fournisseurs d'accès principaux de le censurer. Cette censure, qui sera effectuée par manipulation du système de nom de domaine ou DNS, donne l'occasion d'étudier un cas d'utilisation de ce système.
Deux cas en un
Lorsqu'on se penche sur ce cas, on constate qu'il est double. En effet, la censure ordonnée aux fournisseur d'accès n'est pas encore en place, néanmoins maints internautes éprouvent déjà des difficultés à accéder à ce site Web. En fait, comme WikiLeaks avant eux, Copwatch ont commis sans s'en rendre compte une erreur technique qui dégrade fortement leur service, probablement en prenant des mesures de défense d'urgence.
Deux cas à étudier donc : l'erreur de Copwatch et méthode de censure. Nous allons nous concentrer sur l'erreur de Copwatch, le sujet de la censure par DNS étant déjà amplement couvert par ailleurs.
Notions
Avant de continuer, quelques notions. Le système de nom de domaine est un
annuaire, qui fournit — entre autre — les adresses Internet associées à des noms
comme www.example.com. Ces noms sont constitués de mots
séparés par des points.
Plutôt que d'utiliser un gigantesque annuaire centralisé, le DNS utilise un système de délégations successives, qui peut être comparé au système postal : il n'y a pas d'annuaire centralisé, et l'Union postale universelle ne connaît pas le lieu géographique correspondant à l'adresse de votre correspondant en Suède, cette connaissance étant délégué à la Poste suédoise.
À partir de là donc, quelques définitions indispensables pour comprendre la suite :
- Nom de domaine
- Un nom dans le système de nom de domaine :
com.est un nom de domaine,example.com.aussi, etwww.example.com.en est un autre. - Zone
- Un ensemble de noms de domaines placés sous la responsabilité d'une même
personne ; les zones sont séparées par les délégations successives. Ainsi,
la zone racine
.est sous la responsabilité de l'ICANN, la zonecom.est sous la responsabilité de VeriSign, et la zoneexample.com.est sous la responsabilité de M. Exemple. - Serveur de nom
- Un serveur répondant à des requêtes DNS, c'est à dire capable de fournir une réponse lorsqu'on lui demande les informations correspondant à un nom de domaine qu'il connaît. Chaque zone DNS a des serveurs de noms associés, et une délégations consiste, pour les serveurs d'une zone, à renvoyer vers d'autres serveurs lorsqu'on leur demande un nom qui se situe dans une zone déléguée.
- Registre (registry)
- Un registre est une zone DNS dédiée à l'enregistrement l'enregistrement
public, par exemple la zone
com. - Bureau d'enregistrement (registrar)
- Une organisation habilité pour recevoir des réservations de noms de domaines délégués pour le compte d'un registre. Les registres courant ne vendent par directement les noms de domaine qu'ils proposent ; il faut à la place les acheter auprès d'un bureau d'enregistrement.
Quelques remarques importantes :
- les noms de domaines se terminent tous par un point final qui correspond à la zone racine, même si ce point est presque systématiquement omis ;
- les délégations ont nécessairement lieux entre les mots constituant un
nom de domaine, mais chaque point n'implique pas une délégation. Ainsi, dans
le nom de domaine suivant, seuls les points en gras correspondent à des
délégations :
www.example.co.uk.
L'erreur de Copwatch
Contexte
Le responsable de Copwatch a acheté son nom de domaine dans le bureau d'enregistrement Gandi. Cette entreprise fournit pour ses clients des serveurs de nom ainsi qu'une interface Web permettant de configurer sa zone DNS. Rappelons que ce service, bien que compris dans le prix de l'achat du nom de domaine, c'est pas obligatoire, et il est tout à fait possible de mettre en place ses propres serveurs de noms, ce qui serait plus cohérent dans le cadre d'un auto-hébergement par exemple.
Donc, Copwatch utilisait jusqu'à présent le service de nom de Gandi. Cette entreprise étant soumise à la loi française, le responsable de Copwatch a visiblement préféré changer de prestataire et se tourner à la place vers FreeDNS.afraid.org. Notez toutefois que Copwatch est toujours enregistré chez Gandi, puisqu'ils n'ont fait que changer de serveurs de nom et non de bureau d'enregistrement.
Analyse
Il est temps de passer au choses sérieuses et d'ouvrir un terminal. Voici ce
que l'on obtient lorsqu'on interroge le registre org.
pour connaître la liste des serveurs de nom de Copwatch :
% dig copwatchnord-idf.org. NS @a0.org.afilias-nst.info. ;; AUTHORITY SECTION: copwatchnord-idf.org. 86400 NS ns2.afraid.org. copwatchnord-idf.org. 86400 NS ns6.gandi.net. copwatchnord-idf.org. 86400 NS ns1.afraid.org.
D'après le registre, qui reprend les informations que le responsable a fourni
à son bureau d'enregistrement Gandi, la zone copwatchnord-idf.org. a donc trois serveurs de nom, un
chez Gandi et deux chez FreeDNS.afraid.org.
Lorsqu'on interroge ces trois serveurs pour obtenir la liste officielle des serveurs de nom de cette zone, celui de Gandi échoue à répondre, et ceux de FreeDNS.afraid.org fournissent une réponse différente :
% dig copwatchnord-idf.org. NS @ns1.afraid.org. ;; ANSWER SECTION: copwatchnord-idf.org. 86400 NS ns2.afraid.org. copwatchnord-idf.org. 86400 NS ns3.afraid.org. copwatchnord-idf.org. 86400 NS ns1.afraid.org. copwatchnord-idf.org. 86400 NS ns4.afraid.org.
Outre l'incohérence entre les informations déclarées au registre et les
informations officielles de la zone, il y a ici un réel problème de service. En
effet, lorsqu'un internaute cherche à résoudre le nom www.copwatchnord-idf.org., il doit passer par un serveur
de nom de cette zone, or il a une chance sur trois d'aller interroger celui de
Gandi, qui est incapable de répondre, probablement parce que notre responsable
n'utilise plus leur service de nom.
Conclusion
Il y a bien des choses à dire sur ce sujet ; je me contenterai de quelques remarques :
- il semble que le responsable de Copwatch se soit rendu compte que le système de nom de domaine allait être utilisé contre lui, et c'est probablement la raison pour laquelle il a changé de prestataire de service de nom mais pas de chance, il s'est joliment planté ;
- aucun fournisseur d'accès n'a à ma connaissance mise en œuvre la censure demandée, en revanche notre responsable a lui-même rendu son site indisponible avec une probabilité d'un tiers ;
- le système de nom de domaine est un moyen de censure privilégié, il serait donc bon que les responsables des sites Web concernés se forment sérieusement sur le sujet plutôt que de faire n'importe quoi sans comprendre, au point de s'auto-censurer avant même que la justice ne s'en charge !
Si par hasard le responsable de Copwatch passait par ici, pour régler le problème, c'est simple, vous devez indiquer à Gandi la liste de vos serveurs de nom, donc ceux de FreeDNS.afraid.org, pour qu'ils la transmettent au registre. Mais documentez-vous, nom d'un gnou !
10 comments
wednesday 26 october 2011 à 06:03 Spip said : #1
wednesday 26 october 2011 à 10:57 sterfield said : #2
wednesday 26 october 2011 à 13:24 tranxene50 said : #3
wednesday 26 october 2011 à 21:47 Tanguy said : #4
thursday 27 october 2011 à 01:40 Drood said : #5
thursday 27 october 2011 à 19:09 Spip said : #6
thursday 27 october 2011 à 21:37 megacd said : #7
thursday 27 october 2011 à 23:32 Tanguy said : #8
friday 28 october 2011 à 10:46 Jos said : #9
friday 28 october 2011 à 21:27 tranxene50 said : #10