Page History

Le rapport préliminaire numéro 32 du SSAC aborde la pratique de modification de réponse DNS employée par les agents de confiance ou les tiers. Dans le premier cas, un agent de confiance reçoit une requête DNS de nom. L’agent de confiance détermine que le nom mentionné dans la requête n’existe pas dans le fichier de zone qu’il héberge pour le registrant du domaine, mais, au lieu de retourner une réponse DNS indiquant un nom non existant, l’agent de confiance retourne une réponse indiquant que le nom existe et contenant un mappage d’adresse IP pour le nom demandé, au choix de l’agent. Dans le deuxième cas, un tiers gérant un solveur itératif reçoit des réponses NXDomain générées par un serveur de noms faisant autorité et en modifie discrètement le contenu, transformant la réponse de nom non existant en une réponse indiquant que le nom existe et contenant un mappage d’adresse IP pour le nom demandé, au choix du tiers.

Ce comportement est désigné par différents termes : redirection de sous-domaine, redirection/réécriture/détournement de domaine non existant (NXDomain), détournement de sous-domaine, résolution d’erreur ou encore marketing d’erreur. Ces appellations soulignent la dimension commerciale et controversée de cette pratique.

L’objectif de cette présentation est de décrire les conséquences d’une modification
de réponse DNS pour les registrants de nom de domaine, les opérateurs DNS et les utilisateurs d’Internet, tout en explorant le détournement possible de cette pratique
par des personnes malveillantes. Elle sera consacré à l’explication des conséquences prévisibles et imprévisibles sur les utilisateurs et les registrants de domaine, ainsi que sur les personnes qui s’appuient sur les réponses de domaine non existant
à des fins de rapport d’erreur ou administratives.