Le DNS, le Canada et vous

Depuis sa mise en ligne, le réseau Alice a été le théâtre d’expérimentations visant à pousser les limites des technologies de l’information. Que ce soit à travers nos projets de recherche et développement ou à travers l’augmentation des capacités de notre réseau, nous tentons toujours d’améliorer les services que nous mettons à la disposition de nos clients et de nos partenaires. Nous étions loin de nous douter que notre dernier projet, la mise en ligne d’un serveur DNS, allait nécessiter l’intervention du Centre Canadien de Réponse aux Incidents Cybernétiques, en plus de nous en apprendre plus sur la censure que le gouvernement canadien exerce sur le Web et la fragilité de notre liberté de navigation que nous prenons souvent pour acquise.

Le serveur DNS du réseau Alice

En mai 2014, nous étions fier d’annoncer la mise en ligne d’un serveur DNS sur le réseau Alice. À l’aide de notre partenaire No-IP.com, nous avons pu réaliser l’exploit d’héberger un serveur DNS sur une adresse IP dynamique. En plus de régler plusieurs problèmes récurrents au niveau des noms de domaines hébergés chez Alice Media, ce serveur permet aux clients détenteurs d’un compte d’hébergement d’utiliser un nom de domaine hébergé chez n’importe quel registraire, simplement en pointant ses « nameservers » vers les URLS de notre serveur DNS: NS01.KRYPTONHOST.NET et NS02.KRYPTONHOST.NET Cette opération permet à notre serveur de rediriger le trafic d’un nom de domaine donné vers l’espace où sont hébergés ses données.

De plus, tel que mentionné l’an dernier dans notre article sur la gouvernance du Web, l’ajout d’un serveur DNS au réseau Alice se voulait un moyen de libéraliser l’Internet en offrant aux internautes canadiens une alternative aux serveurs DNS américains. Notre serveur DNS leur permettait ainsi de contourner la réglementation américaine permettant la censure de site Internet pour non-respect des droits d’auteur.

Centre Canadien de Réponse aux Incidents Cybernétiques

Alors que venions tout juste d’inscrire notre serveur DNS au registre des « nameservers », le Centre Canadien de Réponse aux Incidents Cybernétiques (CCRIC) a contacté notre fournisseur d’accès Internet (ISP) pour lui demander « d’enquêter » sur ce qu’ils considèrent être « des comportements malveillants » qui pourrait nuire à « la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. » Après consultation de la documentation et quelques échanges avec des responsables de l’agence gouvernementale, nous avons du restreindre l’accès à notre serveur DNS aux seuls requêtes concernant les noms de domaines ayant du contenu hébergés chez Alice Media et dont les « nameservers » pointent vers notre serveurs DNS. Cette restriction empêchent donc notre serveur de répondre aux requêtes concernant les autres sites Internet, forçant ainsi les internautes canadiens à utiliser les serveurs DNS publics américains et les soumettant ainsi à la censure américaine de leur contenu Web.

Avant d’aller plus loin, il est important de rappeler que le Domain Name System (DNS) est une infrastructure de base de l’Internet (pour plus d’informations à ce sujet voir notre article sur la gouvernance du Web) , et qu’il est parfaitement souhaitable que cette infrastructure soit surveillée pour prévenir le détournement de trafic et les utilisations malveillantes. Cependant, interdire unilatéralement les serveurs DNS publics pénalisent injustement les réseaux basés au Canada et limite leur capacité d’innovation.

Censure
La censure du CCRIC force les canadiens à se tourner vers des serveurs DNS étrangers

Sécurité versus liberté d’expression

Nous avons ici un exemple classique d’une situation où on limite la liberté d’expression des internautes au nom de la sécurité. En émettant leurs recommandations obligatoires au nom de « la sécurité et la résilience des cybersystèmes essentiels », le CCRIC force les administrateurs de réseau canadiens à se tourner vers des serveurs DNS étrangers ou à héberger leur propre serveur à l’étranger. Pour justifier sa décision, le CCRIC dit vouloir prévenir les attaques par réflexion et amplification et les empoisonnement de cache DNS, des techniques de piratage visant à détourner le trafic d’un nom de domaine vers du contenu malveillant. Pourtant, plusieurs techniques existent pour protéger un serveur DNS public de ces attaques, sans en restreindre l’accès.

Les pratiques exemplaires proposé par le CCRIC sont des recommandations et n’ont pas force de lois. Pourtant, la façon agressive dont le CCRIC demande aux fournisseurs d’accès Internet d’enquêter lorsqu’un de ses clients ne respectent pas ses « recommandations », force les administrateurs de réseau à se conformer à ses règles, brimant ainsi leur liberté d’expression.

Pour l’instant, le réseau Alice continuera d’héberger un serveur DNS public, qui ne répondra qu’aux requêtes concernant les noms de domaines sur lesquels nous avons autorité. Nous sommes aussi en discussion avec le CCRIC pour tenter d’être excepté des pratiques exemplaires, au nom de la liberté d’expression et de la recherche. Nous considérons aussi la possibilité d’héberger un second serveur DNS à l’extérieur du Canada et des États-Unis. Ce serveur serait responsable des requêtes touchant les noms de domaines étrangers au réseau et nous permettrait de répondre à ces requêtes sans tenir compte de la censure exercée par les agences gouvernementales américaines.

Sources :

Sécurité Publique Canada – Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Sécurité Publique Canada – Pratiques exemplaires pour serveurs DNS ouverts