fr

Ce que l’ITHI peut nous dire sur la concentration de résolveurs

27 octobre 2020

Gabriella SchittekGabriella Schittek, Global Stakeholder Engagement Senior Manager – Nordic and Central EuropeAlain DurandAlain Durand, Principal Technologist, Office of the Chief Technology Officer (OCTO)

En juillet 2020, nous avons publié un billet où nous avons présenté une initiative de recherche de l'ICANN : les indicateurs de santé des technologies des identificateurs (ITHI). Dans ce billet nous avons expliqué pourquoi ce projet était important pour l'écosystème de l'Internet et pourquoi nous voulions attirer plus de participants et collecter davantage de données. Les modèles et les tendances de trafic que nous pourrons identifier permettront aux opérateurs de certaines parties clés du système des noms de domaine de faire un meilleur travail et de préserver la résilience de l'Internet.

Pour mieux faire comprendre à quel point l'ITHI peut être utile pour la communauté chargée des opérations du DNS, nous souhaitons partager quelques résultats de l'initiative. Nous commencerons par un aperçu de ce que l'ITHI a révélé par rapport à la concentration de résolveurs.

Pour comprendre ce qu'est la concentration de résolveurs, il faut d'abord rappeler ce qu'est un résolveur DNS et quel est son rôle. De manière très générale, un résolveur convertit des noms de domaine en adresses IP. Chaque fois que vous vous connectez à un site web à l'aide d'un nom de domaine, votre dispositif doit convertir le nom de domaine de ce site web en une adresse IP unique pour pouvoir y accéder. Votre requête est envoyée à un ou à plusieurs résolveurs DNS. Ces résolveurs interrogent d'autres serveurs DNS afin d'obtenir l'adresse correcte qui vous est ensuite envoyée comme réponse à votre requête.

Le résolveur DNS est une service habituellement assuré par votre fournisseur d'accès à Internet (FAI) dans le cadre de vos services Internet. C'est souvent le processus par défaut à travers lequel les requêtes DNS de vos dispositifs sont dirigées vers des résolveurs DNS exploités par votre FAI.

Cependant, il y a des alternatives. Il s'agit de ce qu'on appelle des « résolveurs DNS ouverts », dont l'exploitation est indépendante des FAI. Certains de ces résolveurs fonctionnent depuis des années, comme c'est le cas du service OpenDNS, détenu et exploité maintenant par Cisco et appelé Cisco Umbrella, ou du service DNS public de Google, avec l'adresse IP 8.8.8.8.

Il en existe d'autres plus récents, comme les services DNS ouverts exploités par Cloudflare et Quad9. Vous pouvez configurer votre dispositif pour utiliser un de ces résolveurs publics plutôt que celui de votre FAI.

Pour changer le résolveur que vous utilisez dans votre dispositif il suffit généralement d'une simple configuration du dispositif lui-même. Vous pouvez également faire cette modification dans la passerelle d'accès au réseau pour changer ainsi le résolveur dans toutes les dispositifs de votre réseau. Certains FAI ont aussi fait le choix, pour de multiples raisons, de configurer leur service de résolution DNS FAI de manière à utiliser les services d'un résolveur DNS ouvert.

Tous ces comportements peuvent aboutir à ce que l'on appelle une « concentration de résolveurs », une situation dans laquelle un nombre croissant de résolutions des requêtes DNS des utilisateurs finaux sont effectuées par une poignée d'acteurs.

Au cours des deux dernières années, il y a eu des discussions sur ces sujets au sein de la communauté de l'ICANN et, en avril 2020, le bureau du directeur de la technologie de l'ICANN (OCTO) a publié un document intitulé Implications du chiffrement du DNS sur les politiques locales et les politiques Internet. Vous connaissez peut-être les termes DoH (DNS sur HTTPS, voir RFC8484) et DoT (DNS sur TLS, voir RFC7858), qui font référence à des méthodes de chiffrement et d'authentification du trafic DNS.

Parmi les interrogations que ces méthodes de chiffrement suscitent, on retrouve la question de savoir si leur déploiement conduirait à une plus grande concentration du marché des résolveurs DNS.

Pour mesurer cette concentration, il est nécessaire d'observer le volume des requêtes DNS et le nombre de résolveurs utilisés. Notre équipe a décidé d'incorporer au projet ITHI une nouvelle mesure, celle de la concentration des résolveurs DNS. Contrairement aux prises de mesures faites en partenariat avec des opérateurs de noms de domaine de premier niveau (TLD) ou avec des grands FAI, cette fois-ci nous avons travaillé en collaboration avec le Centre d'information du réseau Asie-Pacifique (APNIC), le registre régional d'adresses Internet pour la région Asie-Pacifique.

Réussir à mesurer les requêtes s'est avéré plus compliqué que prévu, car nous nous sommes rendu compte que certains requêtes sont adressées à plusieurs résolveurs, ce qui peut conduire à d'éventuels doublons à travers différents résolveurs. Après avoir défini un certain nombre d'indicateurs pour examiner le problème sous différents angles, nous avons finalement décidé de considérer uniquement la première requête envoyée par chaque utilisateur et d'associer chaque utilisateur au premier résolveur DNS qui traite sa requête DNS en son nom. Nous avons ensuite trié la liste de résolveurs DNS par le nombre d'utilisateurs desservis par chaque résolveur et nous avons analysé les résultats de la liste afin de voir combien de résolveurs sont utilisés pour traiter les requêtes de 50 % de l'ensemble des internautes. Nous avons également comptabilisé combien de résolveurs sont utilisés pour 90% des internautes.

Ces mesures ont commencé en octobre 2019 et les résultats obtenus à ce jour sont décrits ci-dessous.

À octobre 2020, il faut compter 212 résolveurs pour voir 50% de tous les utilisateurs Internet. Il faut 2149 résolveurs pour en voir 90%. Ces chiffres ont été relativement stables au cours des douze derniers mois. Pour placer les choses dans leur contexte, il faut dire qu'il y a des millions de résolveurs à travers le monde.

Pour les membres de la communauté préoccupés par une éventuelle concentration de résolveurs, cela vaut la peine de rester vigilants à l'évolution de ces chiffres.

Si la concentration de résolveurs par elle-même peut ne pas avoir d'effets directs sur la résilience de l'Internet, il s'agit néanmoins d'un facteur important à considérer et l'ICANN produit des données observables afin d'étudier en profondeur cette question.

Nous avons encore besoin de votre aide ! Si vous exploitez un résolveur DNS récursif de grande taille ou un nom de domaine de premier niveau, nous vous invitons à soutenir nos recherches et à travailler en partenariat avec nous pour fournir des données et des mesures qui nous permettront d'accroître l'utilité de l'initiative ITHI pour la communauté Internet. Pour rappel, les données que nous demandons sont anonymisées, résumées et ne contiennent pas des informations personnelles identifiables.

Finalement, nous souhaitons remercier APNIC et souligner à quel point son rôle a été crucial pour l'aboutissement de cet exercice.

Pour plus de données sur les différentes mesures ITHI, rendez-vous sur https://ithi.research.icann.org.

Si vous souhaitez en savoir plus sur l'initiative et comment y participer, n'hésitez pas à contacter Gabriella Schittek gabriella.schittek@icann.org ou Alain Durand alain.durand@icann.org, qui se feront un plaisir de vous aider.

Gabriella Schittek
Gabriella Schittek
Global Stakeholder Engagement Senior Manager – Nordic and Central Europe

Gabriella Schittek

Read biographyRead biography
Principal Technologist, Office of the Chief Technology Officer (OCTO)

Alain Durand

Read biographyRead biography