Polémique provoquée par Verisign à propose des domaines ".com" et ".net"

Date : 22 Juin 2005

Introduction :

La société Verisign qui est l'organisme chargé, entre autres, par l'ICANN de la gestion des domaines ".COM" et ".NET" a lancé le 15 septembre dernier un nouveau service, appelé "Site Finder". Ce service propose une redirection automatique vers un site appartenant à Verisign de toutes les connexions vers des noms de domaines ".COM" et ".NET" inexistants.

Bien que cette pratique ne soit pas tout à fait nouvelle (elle existe pour les domaines comme ".CC" ".CX", ".TD", …), elle prend avec Verisign une ampleur plus médiatique car elle touche des noms de domaines couramment utilisés.

L'aspect technique :

Enfin d'effectuer cette redirection, Verisign utilise la notion de "WildCard DNS" (joker DNS) dans la configuration de leurs serveurs de noms pour les domaines ".COM" et ".NET". Ces jokers sont techniquement acceptables et normalisés dans la RFC 1034. Ainsi, toute requête DNS portant sur un nom de domaine ".COM" ou ".NET" n'existant pas aura comme réponse l'adresse IP 64.94.110.11 qui correspond à l'adresse du site web "SiteFinder" (http://sitefinder.verisign.com/index.jsp) de Verisign.

Cette action a tendance à remettre en cause certaines bonnes pratiques sur Internet au niveau des organismes impliqués dans le cœur de l'Internet.

Ce service peut être utilisé à des fins mercantiles par Verisign car il permet de suivre les habitudes des internautes.

Un cookie est en effet installé sur le poste de l'utilisateur lors de l'accès au site "SiteFinder" :

Exemple de connexion à partir d'un navigateur "Opera" :

Cette page souhaite définir le cookie
opera7="_3f744360,,126885^82401&146807^125879_"
Cette valeur sera envoyée à documents sur tous les serveurs du domaine opera7-servedby.advertising.com, et aux chemins commençant par /.
Le cookie est valide jusqu'à Sun, 26 Oct 2003 13:47:12 GMT ----------------------
Demande de cookies:
opera7=_3f744360,,126885^82401&146807^125879_; domain=opera7-servedby.advertising.com; path=/; expires=Sunday, 26-Oct-2003 13:47:12 GMT

Nota : "Advertising.Com" est une entreprise travaillant dans le domaine du marketing pour des sociétés de publication.

Les outils d'anti-Spam qui se basent sur les résolutions DNS afin de définir la validité du domaine émettant l'e-mail voient ce contrôle devenu obsolète pour les domaines ".COM" et ".NET".
De plus, outre le fait d'imposer un service de redirection pour les URL erronées, Verisign dispose également d'un serveur de messagerie acceptant les e-mails à destination de domaines erronés (ex : cert@certist.com). Cette pratique peut remettre en cause la confidentialité des données, car tous les e-mails envoyés vers des adresses erronées (erreur de saisie) vont être redirigés vers le site de Verisign. Néanmoins, Verisign a souligné dans un premier temps que la partie "données" (corps et sujet du message") n'était pas traitée par son serveur de messagerie, et que la connexion SMTP était automatiquement fermée avant la transmission de ces informations.

Après quelques vives protestations, Verisign a par la suite modifié la configuration de son serveur de messagerie pour retourner une message d'erreur normalisé à l'émetteur :

<cert@certist.com>: host certist.com[64.94.110.11] said: 550

<unknown[213.56.132.1]>: Client host rejected: The domain you are trying to send mail to does not exist.

D'après Verisign, aucune trace des transactions SMTP n'est enregistrée sur son serveur de messagerie (journalisation désactivée sur le serveur de messagerie pour des problèmes de performance…).

Le cas Microsoft Internet Explorer :

Le service que propose Vérisign au niveau du DNS afin d'effectuer des redirections vers son site "SiteFinder" peut être techniquement comparé à ce que propose Microsoft au niveau de son navigateur web "Internet Explorer". En effet, si un internaute saisit sous Internet Explorer une adresse web inexistante, il est redirigé vers le site http://search.msn.fr (cas d'un internaute français). Ce phénomène est néanmoins plus lié à l'utilisation d'un outil particulier qu'à une politique globale et unilatérale sur certains domaines de l'Internet.

Les réactions de la communauté :

Les réactions ont été nombreuses sur Internet. Des pétitions circulent sur Internet et des actions en justice contre VeriSign voient le jour.

Au niveau des organismes officiels garants de la gestion d'Internet, les remarques ne se sont pas faites attendre. L'ICANN ("Internet Corporation for Assigned Names and Numbers" – organisme central chargé de la gestion de l'allocation des adresses IP, des noms de domaines, …) a demandé à VeriSign de suspendre son service en attendant qu'une analyse de la situation par un groupe de travail interne soit effectuée.

Du côté français, le Cigref et l'AFNIC ("Association Française pour le Nommage Internet en Coopération" – association gérant l'allocation des domaines ."fr") ont fait part de leur indignation et ont déclaré avoir contacté des instances nationales et internationales compétentes. L'AFNIC s'est également engagé à ne jamais utiliser cette méthode pour les domaines ".fr", dont elle est administrativement responsable.

Dans un courrier adressé à la société Verisign, le Cert-IST a souligné l'incompatibilité de cette mesure avec la plupart des politiques de sécurité actuellement mises en place dans les grandes entreprises et a exigé la confidentialité des échanges électroniques de l'ensemble des entreprises françaises du secteur IST.

Les solutions proposées :

Des mises à jour ont vu le jour pour le logiciel chargé du service de noms : "BIND". Ces modifications proposent de forcer BIND à retourner un enregistrement de type "NXDOMAIN" (domaine non existant) s'il reçoit dans une réponse l'adresse IP du serveur de Verisign. Cependant, ces rustines n'étant pas publiées officiellement par les éditeurs des différentes versions de BIND (ISC, Sun, HP, …), leur utilisation est à prendre avec beaucoup de précautions.

Des solutions temporaires ont été également proposées :

filtrage des requêtes HTTP sortantes vers le site de Verisign (SiteFinder)
filtrage des e-mails sortants vers le serveur de messagerie de Verisign
filtre au niveau réseau de l'adresse IP de Verisign (64.94.110.11)
- Cette solution peut par contre occasionner une surcharge sur les serveurs de messagerie, car lorsque le serveur de messagerie ne parvient pas à joindre la machine destinataire, les messages non délivrés sont placés en file d'attente.

Cependant, la plupart de ces solutions peut être remise en cause si Verisign décide de changer le nom et/ou l'adresse IP de son site "SiteFinder".

Pour plus d'information :

Document de Verisign sur les "WildCard DNS" : http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf
FAQ de Verisign : http://www.verisign.com/nds/naming/sitefinder/faq.html
RFC 1034 : http://www.ietf.org/rfc/rfc1034.txt?number=1034
Documents de l'ICANN :

Lettre de l'ICANN à Verisign : http://www.icann.org/announcements/advisory-19sep03.htm

Réponse de l'ICANN : http://www.icann.org/correspondence/lewis-to-twomey-21sep03.htm

Autre information de l'ICANN : http://www.icann.org/correspondence/secsac-to-board-22sep03.htm

Autre information de l'ICANN :

http://www.icann.org/correspondence/secsac-to-board-22sep03.htm

Information du Cigref : http://www.cigref.fr (partie "Actualité" : "Alerte de sécurité : détournement de données sur internet")
Communiqué de l'AFNIC : http://www.nic.fr/nouvelles/2003/wildcards.html
Communiqué de l'IAB (Internet Architecture Board de l'IETF) ; http://www.iab.org/documents/docs/2003-09-20-dns-wildcards.html