2. Blogs

Le DNS chaperon de l'industrie du X

22 mars 2011 Vincent Maurin , Sécurité

Miniature de l'image pour S FILTERING.gif

Est-il bien raisonnable de surfer sur la vague de l'audience en abordant les stratégies en matière d'Internet de l'industrie du X ?

A première vue, la réponse semble négative si nous considérons que la plupart des professionnels de la sécurité ne sont pas forcément en relation directe avec l'industrie du divertissement pour adultes.

La réponse est tout autre au regard des ressources engagées par les entreprises pour limiter les accès à des contenus illicites et trop divertissants pour leurs collaborateurs.

Un nouveau Top-Level-Domain

L'ICANN (Internet Corporation for Assigned Names and Numbers) est une société à but non lucratif, en charge de la régulation de l'Internet. Son principal rôle consiste est "d'allouer l’espace des adresses de protocole Internet, d’attribuer les identificateurs de protocole (IP), de gérer le système de nom de domaine de premier niveau pour les codes génériques (gTLD) et les codes nationaux (ccTLD), et d’assurer les fonctions de gestion du système de serveurs racines" (source Wikipedia).

Après bientôt une décennie de négociations, l'ICANN a annoncé cette semaine, par communiqué de presse, l'extension dans les mois qui viennent des domaines de premier niveau et la prise en charge des domaines .xxx.

Un bureau d'enregistrement dédié

Comme il est déjà d'usage pour l'ensemble des domaines de premier niveau, l'ICANN devra s'adjoindre les services d'un bureau d'enregistrement des nouveaux domaines .xxx, qui complètera la liste des partenaires existants.

Même si ce dernier n'apparait pas encore dans la liste, le partenaire ICANN semble être la société ICM Registry, basée en Floride, USA. Le site de la société permet d'ailleurs de pré-réserver dès maintenant les noms de domaines et annonce plus de 330.000 domaines en pré-réservation.

Charte d'utilisation d'un domaine .xxx

Ne vous inquiétez pas, ICM Registry vous explique tout ce que vous avez toujours voulu savoir sur le xxx ... sans jamais oser le demander . Pour cela, une belle Foire Aux Questions aborde les questions administratives et contractuelles des futurs possesseurs de domaines.

Quelques 10 dollars annuels alimenteront l'IFFOR (Internation Foundation for Online Reponsablity), qui a pour mission d'animer la communauté du divertissement en ligne pour adultes, en publiant notamment des chartes de bonnes conduites.

Une de ces chartes alimente directement une annexe aux contrats d'ICM Registry en définissant les règles de base. En y regardant de plus près, certains paragraphes font alors directement allusion aux contenus qui seraient associés aux domaines .xxx :

F. Consent to Monitoring
All registrants in the sTLD must agree to permit automated monitoring of their sites for compliance with IFFOR policies, including without limitation, IFFOR policies requiring site labeling, prohibiting child pornography, and prohibiting content or conduct designed to suggest the presence of child pornography. Registrants must agree not to employ technological or other means to defeat or prevent such monitoring.

Traduction: les possesseurs de domaines devront autoriser le contrôle de leurs sites pour compatibilité avec les chartes IFFOR [...] qui requiert la labellisation des sites, interdit la pornographie enfantine, [...] et ne devront pas employer de moyens technologiques ou autres qui empêcherait ces contrôles.

H. Prohibition on Malicious Conduct
No registrant shall use or permit use of a .XXX domain name for or in connection with email spoofing, phishing, spam, or other forms of malicious behavior, in accordance with specifications and policies issued by IFFOR from time to time.

Traduction: les possesseurs de domaines ne devront pas utiliser ceux-ci pour des actions de phishing, spam ou autres formes de comportements malicieux, en accord avec les chartes IFFOR [...]

Les services DNS, modérateurs de contenu ?

Selon les règles IFFOR énoncées ci-dessus, les services DNS proposés autour des .xxx s'éloignent un peu plus de leur mission d'origine, à savoir transformer une adresse IP en nom et vice-versa. Ils stigmatisent une industrie sectorielle et garantissent le contenu utilisé par leur biais.

Il est vrai que nous pouvons aussi considérer que les domaines de premier niveau .tel ou .travel stigmatisent également une industrie sectorielle, mais ces secteurs là regroupent de nombreux domaines d'activités tels que des équipementiers, des distributeurs, des sociétés de services, des sites d'informations, des forums utilisateurs ... etc.

Cependant les autres domaines de premier niveau ne positionne aucun système de contrôle du contenu associés à leurs domaines. En exploitant un site web sous domaine .xxx, vous adoptez également les règles de contrôle de contenu qui pourraient être mises en place par le bureau d'enregistrement.

Rassembler pour mieux régner

A l'opposé de l'adage "diviser pour mieux régner", la stratégie de certains états seraient donc de rassembler les contenus qui leur semblent "scandaleux" sous la même bannière, en utilisant le système d'extension .xxx. Ainsi poussés vers des domaines sectoriels, sous couvert de chartes de bonne conduite et de respectabilité nouvelle aux yeux de leurs détracteurs, les industriels se retrouveront enfermer au sein d'un enclos numérique.

Un récent article de Clubic fait état de l'organisation d'une probable manifestation des acteurs de l'industrie du divertissement pour adultes aux Etats-Unis. Ces derniers dénoncent en effet le risque de censure et de blocage des sites, le filtrage au niveau DNS devant de fait un jeu d'enfants pour les professionnels de la sécurité.

Politique, Argent et Sexe

Comme le révèle cet article de l'Express, le débat se déroule autour de pressions de la part des gouvernements (qui souhaitent réguler le réseau et son contenu), de la part d'investisseurs (le propriétaire de ICM Registry a investi 10 millions de dollars et souhaitent en récupérer 200 millions par an) et de la part des défenseurs de libertés.

Nous n'en sommes pas encore au marquage des paquets TCP malicieux, comme l'annonçait le 1er avril 2003, la RFC "The Security Flag in the IPv4 Header", mais l'adoption des domaines .xxx donne de l'espoir aux professionnels en charge du filtrage de contenu.

Si les responsables de l'ICANN nous lisent, je souhaiterai moi aussi proposer quelques nouveaux domaines de premier niveau pour faciliter encore plus le travail quotidien des responsables sécurité du monde entier :

  • Domaines .food pour tous les contenus associés à l'alimentation
  • Domaines .games pour tous les contenus associés au jeu
  • Domaines .music pour tous les contenus associés à la musique
  • Domaines .sport pour tous les contenus associés aux sports


Je vous laisse ensuite adopter vos politiques de filtrage en fonctions de ces nouveaux domaines.

Egalement à propos des services DNS

Les services DNS, talon d'Achille des cyber-criminels

Vincent Maurin

Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.