Le blocage DNS impos\u00e9, souvent pr\u00e9sent\u00e9 comme une solution politique simple, est inefficace, nuisible et peu pratique. Il est inefficace<\/strong>, car il est facilement contourn\u00e9 par les utilisateurs et ne parvient pas \u00e0 supprimer le contenu cibl\u00e9, qui r\u00e9appara\u00eet simplement sous de nouveaux noms de domaine. Il est nuisible<\/strong>, car cet instrument impr\u00e9cis est incapable de distinguer un contenu ill\u00e9gal d\u2019un contenu l\u00e9gitime, ce qui entra\u00eene un blocage excessif, une fragmentation du syst\u00e8me mondial de nommage d\u2019Internet et des d\u00e9faillances des services interconnect\u00e9s, y compris des protocoles de s\u00e9curit\u00e9 essentiels. Enfin, il est peu pratique<\/strong> car le DNS n\u2019est pas limit\u00e9 par des fronti\u00e8res g\u00e9ographiques, ce qui signifie que les ordres nationaux de blocage visant des modules de r\u00e9solution mondiaux cr\u00e9ent des effets extraterritoriaux involontaires et \u00e9tendus. Le blocage impos\u00e9 est un outil inadapt\u00e9 \u00e0 un r\u00f4le pour lequel le DNS n\u2019a jamais \u00e9t\u00e9 con\u00e7u. Pour lutter contre les pr\u00e9judices en ligne, les interventions doivent se concentrer sur le contenu lui-m\u00eame et sur les acteurs responsables, tout en ne compromettant pas l\u2019universalit\u00e9, la fiabilit\u00e9 et la s\u00e9curit\u00e9 de l\u2019infrastructure fondamentale d\u2019Internet.<\/p>\n\n\n\n Le Syst\u00e8me de Noms de Domaine (DNS) remplit une fonction essentielle pour Internet. Il permet aux utilisateurs d\u2019employer des mots familiers, comme \u00ab example.com \u00bb, au lieu de longues adresses num\u00e9riques pour acc\u00e9der aux sites Web, envoyer des e-mails et utiliser des services en ligne. Sans cette couche de nommage, Internet ne serait pas le syst\u00e8me de communication mondial et pratique dont le monde d\u00e9pend aujourd\u2019hui.<\/p>\n\n\n\n Parce que le DNS offre cette fonction, il est parfois consid\u00e9r\u00e9 comme un point pratique pour appliquer des politiques publiques, d\u2019autant plus que le filtrage DNS volontaire ou parental est une pratique courante. Les gouvernements et les tribunaux ont de plus en plus recours au blocage DNS impos\u00e9 pour emp\u00eacher l\u2019acc\u00e8s \u00e0 certains contenus, que ce soit pour lutter contre l\u2019exploitation sexuelle des enfants, la violation du droit d\u2019auteur, restreindre les jeux d\u2019argent en ligne ou aborder des contenus politiquement sensibles ou illicites.<\/p>\n\n\n\n Cette approche para\u00eet simple : si un nom ne peut pas \u00eatre traduit en son adresse IP, le contenu devient inaccessible. Cette apparente simplicit\u00e9 est cependant trompeuse. Le DNS a \u00e9t\u00e9 con\u00e7u pour l\u2019universalit\u00e9, la coh\u00e9rence et la facilit\u00e9 d\u2019utilisation, et non comme un outil d\u2019application des politiques publiques. Le r\u00e9utiliser \u00e0 cette fin entra\u00eene des effets secondaires techniques et op\u00e9rationnels, cr\u00e9e des tensions juridiques entre les juridictions et compromet les mesures de s\u00e9curit\u00e9 importantes qui prot\u00e8gent les utilisateurs. Il est important de noter que ces interventions sont intrins\u00e8quement impr\u00e9cises : elles ne peuvent pas cibler des pages ou des fichiers sp\u00e9cifiques, sont sujettes \u00e0 des dommages collat\u00e9raux et sont facilement contourn\u00e9es. De plus, la nature globale et d\u00e9centralis\u00e9e du DNS rend difficile de limiter le blocage bas\u00e9 sur la localisation \u00e0 une seule juridiction.<\/p>\n\n\n\n Le message de ce rapport est simple : le blocage DNS impos\u00e9 peut sembler une solution technique simple pour appliquer une politique publique, mais en pratique, il est impr\u00e9cis, co\u00fbteux et m\u00eame contre-productif. Pour comprendre pourquoi, il faut consid\u00e9rer le DNS comme une infrastructure mondiale partag\u00e9e et reconna\u00eetre les cons\u00e9quences lorsqu\u2019on lui confie une t\u00e2che pour laquelle il n\u2019a pas \u00e9t\u00e9 con\u00e7u.<\/p>\n\n\n\n Le DNS assure la fonction de nommage qui permet le fonctionnement pratique de l\u2019Internet. Bien que les ordinateurs utilisent des adresses IP pour s\u2019identifier entre eux, celles-ci sont difficiles \u00e0 m\u00e9moriser ou \u00e0 utiliser pour les humains. Ainsi, le r\u00f4le du DNS est d\u2019assurer la traduction entre des noms compr\u00e9hensibles par l\u2019\u00eatre humain, comme \u00ab example.com \u00bb, en identifiants num\u00e9riques dont les r\u00e9seaux ont besoin pour acheminer les donn\u00e9es. Ce faisant, il permet aux utilisateurs d\u2019interagir avec Internet de mani\u00e8re simple et intuitive, tandis que les ordinateurs continuent de s\u2019appuyer sur les identifiants num\u00e9riques n\u00e9cessaires \u00e0 l\u2019acheminement des paquets de donn\u00e9es.<\/p>\n\n\n\n Le processus de traduction entre les noms et les adresses peut \u00eatre compris \u00e0 travers deux composants cl\u00e9s du DNS. Le premier est le r\u00e9solveur r\u00e9cursif<\/em>, qui est un serveur recevant la requ\u00eate de l\u2019utilisateur pour r\u00e9soudre un nom de domaine donn\u00e9 (par exemple, \u00ab example.com \u00bb) et qui est charg\u00e9 de trouver l\u2019adresse IP correspondante. Pour ce faire, le r\u00e9solveur interroge s\u00e9quentiellement une s\u00e9rie de serveurs de noms faisant autorit\u00e9<\/em>, qui sont les serveurs qui d\u00e9tiennent les enregistrements officiels pour des portions sp\u00e9cifiques, ou \u00ab zones \u00bb, du DNS. Le processus commence au sommet de la hi\u00e9rarchie, la zone dite \u00ab racine \u00bb, qui indique au r\u00e9solveur o\u00f9 trouver les serveurs du niveau suivant (comme, \u00ab .com \u00bb). Ces serveurs, \u00e0 leur tour, indiquent au r\u00e9solveur les serveurs faisant autorit\u00e9 pour le domaine demand\u00e9 (comme \u00ab example.com \u00bb), qui fournit enfin l\u2019adresse IP.<\/p>\n\n\n\n Cela met en \u00e9vidence deux caract\u00e9ristiques importantes du DNS :<\/p>\n\n\n\n Bien qu\u2019il soit techniquement possible d\u2019installer le r\u00e9solveur r\u00e9cursif sur l\u2019appareil de l\u2019utilisateur pour que le r\u00e9solveur effectue de mani\u00e8re autonome l\u2019int\u00e9gralit\u00e9 du processus de r\u00e9solution des noms, cela reste peu fr\u00e9quent et tr\u00e8s peu pratique[2]<\/a><\/sup>. La plupart des appareils s\u2019appuient plut\u00f4t sur un r\u00e9solveur r\u00e9cursif s\u00e9par\u00e9, g\u00e9n\u00e9ralement exploit\u00e9 par leur fournisseur d\u2019acc\u00e8s \u00e0 Internet (FAI) ou un autre service.<\/p>\n\n\n\n Le r\u00e9solveur r\u00e9cursif a traditionnellement \u00e9t\u00e9 fourni par le FAI de l\u2019utilisateur ou, dans le cas d\u2019un r\u00e9seau d\u2019entreprise, par l\u2019administrateur r\u00e9seau. Dans ce mod\u00e8le, appel\u00e9 r\u00e9solveur r\u00e9cursif priv\u00e9<\/em>, le r\u00e9solveur r\u00e9cursif est exploit\u00e9 au sein du r\u00e9seau d\u2019acc\u00e8s et est principalement accessible aux abonn\u00e9s ou aux membres de ce r\u00e9seau. Dans ce cadre, le r\u00e9solveur r\u00e9cursif est g\u00e9n\u00e9ralement configur\u00e9 automatiquement via les param\u00e8tres r\u00e9seau. Par cons\u00e9quent, la plupart des utilisateurs ignorent quel r\u00e9solveur sp\u00e9cifique ils utilisent, puisqu\u2019il leur est fourni automatiquement dans le cadre de leur service d\u2019acc\u00e8s \u00e0 Internet.<\/p>\n\n\n\n Ces derni\u00e8res ann\u00e9es, on a \u00e9galement constat\u00e9 une augmentation de l\u2019utilisation des r\u00e9solveurs r\u00e9cursifs dits publics<\/em>. Ils sont exploit\u00e9s par des organisations tierces, telles que Google (8.8.8.8), Cloudflare (1.1.1.1) et Quad9 (9.9.9.9), qui rendent leurs r\u00e9solveurs accessibles \u00e0 toute personne connect\u00e9e \u00e0 Internet. Les r\u00e9solveurs publics sont souvent mis en avant pour leur vitesse am\u00e9lior\u00e9e, leurs fonctionnalit\u00e9s de s\u00e9curit\u00e9 avanc\u00e9es ou leurs pratiques de confidentialit\u00e9 renforc\u00e9es. Ils peuvent \u00eatre adopt\u00e9s par des particuliers qui reconfigurent leurs appareils, par des d\u00e9veloppeurs d\u2019applications qui ont besoin de performances DNS constantes, ou par des r\u00e9seaux entiers qui choisissent d\u2019externaliser la r\u00e9solution DNS plut\u00f4t que d\u2019exploiter leurs propres r\u00e9solveurs[3]<\/a><\/sup>.<\/p>\n\n\n\n Les diff\u00e9rences op\u00e9rationnelles et structurelles entre les r\u00e9solveurs r\u00e9cursifs priv\u00e9s et publics sont importantes \u00e0 plusieurs \u00e9gards. Notamment, les r\u00e9solveurs priv\u00e9s sont g\u00e9n\u00e9ralement li\u00e9s, \u00e0 la fois sur le plan technique et contractuel, au r\u00e9seau d\u2019acc\u00e8s dans lequel ils fonctionnent, ce qui en fait une partie int\u00e9grante de la relation directe de l\u2019utilisateur avec le service. En revanche, les r\u00e9solveurs publics sont propos\u00e9s comme des services ind\u00e9pendants, fonctionnant \u00e0 l\u2019\u00e9chelle mondiale et pouvant \u00eatre situ\u00e9s dans des juridictions diff\u00e9rentes de celles de leurs utilisateurs.<\/p>\n\n\n\n Le blocage DNS (\u00e9galement appel\u00e9 filtrage bas\u00e9 sur le DNS) modifie le fonctionnement normal du DNS pour emp\u00eacher les utilisateurs d\u2019acc\u00e9der \u00e0 certains noms de domaine. Tel que cela est d\u00e9crit ci-dessus, dans des conditions normales, lorsqu\u2019un utilisateur saisit un nom de domaine (par exemple, \u00ab example.com \u00bb) dans un navigateur Web, son r\u00e9solveur r\u00e9cursif renvoie l\u2019adresse IP correspondante afin que le navigateur (ou une autre application) puisse se connecter au serveur appropri\u00e9.<\/p>\n\n\n\n Cependant, avec le blocage DNS, le r\u00e9solveur est configur\u00e9 pour v\u00e9rifier les noms demand\u00e9s par rapport \u00e0 une liste de blocage avant de compl\u00e9ter la recherche. Si le nom demand\u00e9 figure sur la liste, le r\u00e9solveur renverra une r\u00e9ponse modifi\u00e9e ou erron\u00e9e au lieu de l\u2019adresse IP r\u00e9elle.<\/p>\n\n\n\n Les d\u00e9cideurs politiques citent parfois l\u2019utilisation du filtrage volontaire comme preuve que le blocage DNS impos\u00e9 n\u2019est qu\u2019une extension des pratiques existantes. Cette comparaison est cependant trompeuse. Bien que les deux approches impliquent de modifier les r\u00e9ponses DNS, elles diff\u00e8rent fondamentalement par leur objectif, leur mise en \u0153uvre et leurs effets techniques.<\/p>\n\n\n\n Tout d\u2019abord, le filtrage volontaire est dirig\u00e9 par l\u2019utilisateur individuel, l\u2019organisation ou le fournisseur d\u2019acc\u00e8s \u00e0 Internet (FAI), qui choisit une liste de blocage qu\u2019il peut modifier ou d\u00e9sactiver \u00e0 tout moment. Les utilisateurs peuvent, par exemple, activer des filtres de contr\u00f4le parental pour bloquer la pornographie ou des listes de s\u00e9curit\u00e9 pour se prot\u00e9ger contre les logiciels malveillants et les sites d’hame\u00e7onnage[4]<\/a><\/sup>. En revanche, le blocage DNS impos\u00e9 est l\u2019expression d\u2019une politique publique, \u00e9mise par des agences gouvernementales ou des tribunaux, dont les d\u00e9cisions sont contraignantes pour tous les op\u00e9rateurs relevant de leur juridiction. L\u2019autorit\u00e9 ayant le pouvoir de d\u00e9cider ce qui peut ou ne peut pas \u00eatre r\u00e9solu passe ainsi de la p\u00e9riph\u00e9rie du r\u00e9seau \u00e0 une autorit\u00e9 centralis\u00e9e (l\u2019\u00c9tat), o\u00f9 les d\u00e9cisions sont impos\u00e9es universellement et sans intervention des utilisateurs.<\/p>\n\n\n\n Ensuite, dans les syst\u00e8mes volontaires, le filtrage DNS est g\u00e9n\u00e9ralement mis en \u0153uvre pr\u00e8s de l\u2019utilisateur, par exemple sur les routeurs domestiques, les pare-feux d\u2019entreprise ou les r\u00e9solveurs au niveau du FAI, que l\u2019utilisateur peut remplacer ou reconfigurer. Le filtrage s\u2019effectue donc dans le cadre d\u2019une relation limit\u00e9e et transparente[5]<\/a><\/sup>. Le blocage impos\u00e9, en revanche, n\u00e9cessite une intervention au niveau du syst\u00e8me, o\u00f9 les r\u00e9solveurs de l\u2019ensemble d\u2019une juridiction (et potentiellement au-del\u00e0) doivent \u00eatre reconfigur\u00e9s pour se conformer \u00e0 un ordre. De telles mesures suppriment la possibilit\u00e9 pratique pour les utilisateurs ou les r\u00e9seaux de choisir des r\u00e9solveurs alternatifs, transformant un choix de gestion local en une politique au niveau national.<\/p>\n\n\n\n Enfin, les deux approches diff\u00e8rent par leurs cons\u00e9quences techniques et op\u00e9rationnelles. Le filtrage volontaire est g\u00e9n\u00e9ralement limit\u00e9, transparent et g\u00e9r\u00e9 localement. Par exemple, en cas de blocage excessif, il peut \u00eatre rapidement d\u00e9tect\u00e9 et corrig\u00e9, avec un impact limit\u00e9 sur le reste d\u2019Internet. En revanche, le blocage impos\u00e9 risque d\u2019entra\u00eener d\u2019importants effets collat\u00e9raux en imposant une r\u00e9solution des noms incoh\u00e9rente \u00e0 travers les juridictions.<\/p>\n\n\n\n Le blocage DNS ne supprime pas le contenu d\u2019Internet. Il emp\u00eache seulement un r\u00e9solveur particulier de r\u00e9soudre les adresses IP du serveur qui h\u00e9berge le contenu. Le contenu reste accessible via d\u2019autres r\u00e9solveurs ou par connexion directe d\u00e8s que l\u2019adresse IP est connue.<\/p>\n\n\n\n Les utilisateurs d\u00e9termin\u00e9s disposent de nombreuses techniques de contournement facilement accessibles (et m\u00eame automatis\u00e9es) pour \u00e9viter le blocage DNS. Cela r\u00e9duit consid\u00e9rablement l\u2019efficacit\u00e9 du blocage DNS \u00e0 long terme.<\/p>\n\n\n\n Tout d\u2019abord, l\u2019utilisateur peut simplement changer de r\u00e9solveur. \u00c9tant donn\u00e9 que le blocage DNS est g\u00e9n\u00e9ralement mis en \u0153uvre sur des r\u00e9solveurs sp\u00e9cifiques, tels que ceux exploit\u00e9s par un fournisseur d\u2019acc\u00e8s \u00e0 Internet (FAI), un utilisateur peut souvent contourner le blocage en dirigeant ses requ\u00eates vers un autre r\u00e9solveur. La plupart des utilisateurs commencent par un r\u00e9solveur choisi par leur FAI et configur\u00e9 automatiquement via les param\u00e8tres r\u00e9seau lors de l\u2019installation. Cependant, les utilisateurs peuvent remplacer ce param\u00e8tre et pointer vers un autre r\u00e9solveur (par exemple, un r\u00e9solveur public) ou m\u00eame ex\u00e9cuter un r\u00e9solveur sur leur propre appareil. Par exemple, lors de l\u2019interdiction de Twitter en Turquie en 2014, l\u2019utilisation du r\u00e9solveur public de Google pour contourner les blocages DNS impos\u00e9s par les FAI locaux est devenue si r\u00e9pandue que l\u2019adresse IP du r\u00e9solveur (8.8.8.8) a \u00e9t\u00e9 peinte sur les murs pour indiquer comment contourner la censure[6]<\/a><\/sup>.<\/p>\n\n\n\n Ensuite, l\u2019utilisateur peut utiliser un r\u00e9seau priv\u00e9 virtuel (VPN) ou le r\u00e9seau Tor[7]<\/a><\/sup>. Ces outils chiffrent et redirigent l\u2019ensemble du trafic Internet (y compris les requ\u00eates DNS) via des serveurs situ\u00e9s dans un autre r\u00e9seau (potentiellement en dehors de la juridiction concern\u00e9e). Du point de vue du module de r\u00e9solution du FAI, aucune requ\u00eate n\u2019est effectu\u00e9e, puisque la r\u00e9solution DNS est r\u00e9alis\u00e9e via des serveurs externes. Les VPN et Tor sont des outils de plus en plus courants, ce qui facilite le contournement m\u00eame pour les utilisateurs non techniques.<\/p>\n\n\n\n Le blocage DNS emp\u00eache uniquement un module de r\u00e9solution de traduire un nom de domaine bloqu\u00e9 en son adresse IP correspondante. Il ne supprime pas le contenu sous-jacent d\u2019Internet. En pratique, le contenu reste g\u00e9n\u00e9ralement disponible et peut \u00eatre \u00e0 nouveau consult\u00e9 d\u00e8s qu\u2019il est associ\u00e9 \u00e0 un nouveau nom de domaine. Cette dynamique est particuli\u00e8rement visible dans des contextes rapides comme le hame\u00e7onnage, la propagande extr\u00e9miste ou la violation du droit d\u2019auteur. Dans de tels cas, les op\u00e9rateurs cibl\u00e9s peuvent enregistrer de nouveaux domaines et les diriger vers les m\u00eames serveurs presque imm\u00e9diatement. En cons\u00e9quence, un blocage appliqu\u00e9 \u00e0 un domaine ne peut affecter l\u2019acc\u00e8s que temporairement, jusqu\u2019\u00e0 ce que le site r\u00e9apparaisse sous un autre nom[8]<\/a><\/sup>.<\/p>\n\n\n\n La r\u00e9solution DNS ne traduit qu\u2019un nom de domaine en adresse IP d\u2019un serveur Web, et non le chemin complet d\u2019une ressource. Par exemple, lorsqu\u2019un utilisateur saisit \u00ab https:\/\/example.com\/page1<\/a> \u00bb dans son navigateur Web, le DNS ne r\u00e9sout que la partie adresse IP de \u00ab example.com \u00bb. Le reste du chemin, c\u2019est-\u00e0-dire la partie \u00ab \/page1 \u00bb (ou toute image, vid\u00e9o ou fichier sp\u00e9cifique), est trait\u00e9 une fois qu\u2019une connexion a \u00e9t\u00e9 \u00e9tablie avec le serveur Web. Cela signifie que le blocage DNS ne peut s\u2019appliquer qu\u2019aux noms de domaine entiers, et non aux pages ou fichiers individuels[9]<\/a><\/sup>.<\/p>\n\n\n\n Cela fait du blocage DNS un outil impr\u00e9cis. Si une seule page d\u2019un domaine est ill\u00e9gale, le blocage au niveau DNS emp\u00eache l\u2019acc\u00e8s \u00e0 tout le reste du contenu licite h\u00e9berg\u00e9 sous ce m\u00eame domaine. L\u2019impact peut \u00eatre particuli\u00e8rement important pour les plateformes mutualis\u00e9es telles que les r\u00e9seaux sociaux, les services de blogging ou les services cloud, o\u00f9 des millions d\u2019utilisateurs diff\u00e9rents peuvent d\u00e9pendre du m\u00eame nom de domaine. Un blocage unique peut donc perturber d\u2019\u00e9normes quantit\u00e9s de contenu sans lien.<\/p>\n\n\n\n De plus, les services en ligne n\u2019existent que rarement comme un syst\u00e8me unique h\u00e9berg\u00e9 sur un seul serveur. En fait, ce qu\u2019un utilisateur per\u00e7oit comme un site Web ou une application unifi\u00e9e est g\u00e9n\u00e9ralement un ensemble de composants r\u00e9partis sur plusieurs serveurs. Par exemple, la structure de base d\u2019une page Web peut \u00eatre fournie par un serveur, tandis que les images ou les vid\u00e9os sont int\u00e9gr\u00e9es depuis un autre, la fonction de connexion peut d\u00e9pendre d\u2019un service d\u2019authentification externe, et des fonctionnalit\u00e9s suppl\u00e9mentaires peuvent provenir d\u2019autres fournisseurs tiers. Ces \u00e9l\u00e9ments, chacun h\u00e9berg\u00e9 sur des serveurs diff\u00e9rents, sont assembl\u00e9s pour offrir une exp\u00e9rience utilisateur fluide, et leur int\u00e9gration repose g\u00e9n\u00e9ralement sur les noms de domaine pour localiser et connecter les diff\u00e9rentes parties[10]<\/a><\/sup>. Ces d\u00e9pendances signifient \u00e9galement que le blocage d\u2019un domaine peut provoquer des dysfonctionnements sur des sites et applications sans lien entre eux. Si un module de r\u00e9solution fournit une r\u00e9ponse modifi\u00e9e ou incoh\u00e9rente, le service principal peut \u00e9chouer compl\u00e8tement, m\u00eame si l\u2019utilisateur ne remarque jamais quelle partie du syst\u00e8me a \u00e9chou\u00e9[11]<\/a><\/sup>.<\/p>\n\n\n\n La pratique du blocage DNS a \u00e9galement des implications importantes en mati\u00e8re de s\u00e9curit\u00e9. Par exemple, la communaut\u00e9 Internet a d\u00e9velopp\u00e9 les extensions de s\u00e9curit\u00e9 du DNS (DNSSEC) afin de rem\u00e9dier aux vuln\u00e9rabilit\u00e9s du syst\u00e8me DNS. DNSSEC permet de signer cryptographiquement les enregistrements DNS afin que les r\u00e9solveurs r\u00e9cursifs puissent v\u00e9rifier que les r\u00e9ponses qu\u2019ils re\u00e7oivent sont authentiques et n\u2019ont pas \u00e9t\u00e9 alt\u00e9r\u00e9es. Lorsqu\u2019il est correctement d\u00e9ploy\u00e9, DNSSEC emp\u00eache les attaques de type \u00ab man-in-the-middle \u00bb (soit l\u2019attaque de l\u2019homme du milieu) o\u00f9 de fausses r\u00e9ponses DNS sont inject\u00e9es afin de rediriger les utilisateurs vers des sites malveillants. Cela cr\u00e9e un conflit direct avec le blocage DNS, car toute tentative de rediriger une requ\u00eate vers autre chose que le domaine demand\u00e9 va \u00e0 l\u2019encontre du fonctionnement pr\u00e9vu de DNSSEC. Si un r\u00e9solveur renvoie une adresse IP falsifi\u00e9e pour se conformer \u00e0 une mesure de blocage, par exemple en redirigeant l\u2019utilisateur vers une page indiquant que le site est bloqu\u00e9, cette r\u00e9ponse ne peut pas \u00eatre sign\u00e9e par l\u2019op\u00e9rateur l\u00e9gitime du domaine et serait donc rejet\u00e9e par la validation DNSSEC. Lorsque DNSSEC vise \u00e0 garantir l\u2019authenticit\u00e9 par une validation cryptographique, le blocage DNS introduit une inauthenticit\u00e9 d\u00e9lib\u00e9r\u00e9e. Il en r\u00e9sulte un conflit dans lequel les mesures de blocage DNS compromettent l\u2019adoption g\u00e9n\u00e9ralis\u00e9e de DNSSEC[12]<\/a><\/sup>.<\/p>\n\n\n\n L\u2019architecture d\u2019Internet ne correspond pas aux fronti\u00e8res g\u00e9ographiques ou aux juridictions. Alors que la transmission des donn\u00e9es s\u2019effectue in\u00e9vitablement via des infrastructures physiques situ\u00e9es dans des lieux pr\u00e9cis, les syst\u00e8mes d\u2019adressage et de nommage qui permettent la communication sur Internet fonctionnent ind\u00e9pendamment des fronti\u00e8res g\u00e9ographiques. Par exemple, un domaine peut \u00eatre enregistr\u00e9 aupr\u00e8s d\u2019un bureau d\u2019enregistrement dans un pays, ses serveurs de noms faisant autorit\u00e9 \u00e9tant exploit\u00e9s depuis un autre, et les serveurs Web h\u00e9bergeant r\u00e9ellement le contenu se trouvant encore dans un autre pays. Pour le r\u00e9seau, tous ces emplacements dispers\u00e9s peuvent sembler tr\u00e8s \u00ab proches \u00bb en termes de millisecondes plut\u00f4t qu\u2019en miles ou en kilom\u00e8tres, m\u00eame s\u2019ils sont r\u00e9partis g\u00e9ographiquement.<\/p>\n\n\n\n Les r\u00e9solveurs r\u00e9cursifs ajoutent encore plus de complexit\u00e9. Par exemple, un r\u00e9solveur public situ\u00e9 dans le pays A peut traiter les requ\u00eates de millions d\u2019utilisateurs des pays B, C et D. Les politiques de blocage de contenu appliqu\u00e9es \u00e0 ce r\u00e9solveur peuvent donc affecter des utilisateurs bien au-del\u00e0 de la juridiction vis\u00e9e, \u00e0 moins que l\u2019op\u00e9rateur ne puisse d\u00e9terminer de mani\u00e8re fiable et extr\u00eamement rapide (en quelques millisecondes) la localisation de chaque utilisateur, ce qui est compliqu\u00e9 par les limites de la g\u00e9olocalisation bas\u00e9e sur l\u2019adresse IP.<\/p>\n\n\n\n D\u2019un point de vue technique, les op\u00e9rateurs peuvent mettre en place des filtres qui estiment la localisation g\u00e9ographique d\u2019un utilisateur en se basant sur son adresse IP. Cependant, cette approche est loin d\u2019\u00eatre pr\u00e9cise[13]<\/a><\/sup>. Ce type de filtrage bas\u00e9 sur la localisation est imparfait et peut entra\u00eener des erreurs de classification des utilisateurs, en particulier dans les r\u00e9gions o\u00f9 les adresses IP sont mobiles, partag\u00e9es entre plusieurs pays ou r\u00e9attribu\u00e9es de mani\u00e8re dynamique. Cela peut conduire \u00e0 ce que des utilisateurs l\u00e9gitimes situ\u00e9s en dehors de la juridiction vis\u00e9e se voient refuser l\u2019acc\u00e8s, tandis que les utilisateurs cibl\u00e9s peuvent malgr\u00e9 tout y acc\u00e9der.<\/p>\n\n\n\n De plus, l\u2019ajout d\u2019un filtrage bas\u00e9 sur la localisation risque \u00e9galement d\u2019entrer en conflit avec les engagements en mati\u00e8re de confidentialit\u00e9 et de neutralit\u00e9 de nombreux op\u00e9rateurs de r\u00e9solveurs publics. Des services tels que les r\u00e9solveurs publics de Cloudflare ou de Quad9 se pr\u00e9sentent explicitement comme des alternatives globales, coh\u00e9rentes et respectueuses de la confidentialit\u00e9 aux r\u00e9solveurs g\u00e9r\u00e9s par les FAI[14]<\/a><\/sup>. Cela inclut des politiques telles que l\u2019absence de journalisation, de profilage ou de modification des requ\u00eates DNS des utilisateurs en fonction de leur identit\u00e9 ou de leur localisation. En revanche, le filtrage bas\u00e9 sur la localisation obligerait les r\u00e9solveurs \u00e0 collecter ou \u00e0 d\u00e9duire ce type d\u2019informations pour chaque requ\u00eate, compromettant \u00e0 la fois la neutralit\u00e9 et la confidentialit\u00e9.<\/p>\n\n\n\n \u00c9tant donn\u00e9 que le DNS est un syst\u00e8me mondial, les mesures de blocage entrent souvent en conflit avec de nombreux cadres juridiques nationaux. Ce qui peut \u00eatre interdit dans une juridiction peut \u00eatre l\u00e9gal dans une autre, et un ordre de blocage \u00e9mis au niveau national ne peut pas facilement tenir compte de ces diff\u00e9rences. Ce probl\u00e8me est particuli\u00e8rement aigu pour les r\u00e9solveurs publics, qui desservent des utilisateurs \u00e0 l\u2019\u00e9chelle mondiale et au-del\u00e0 des fronti\u00e8res. Lorsqu\u2019un organisme de r\u00e9glementation national ou un tribunal ordonne \u00e0 un op\u00e9rateur de r\u00e9solveur public de mettre en place un blocage, il demande en r\u00e9alit\u00e9 \u00e0 cet op\u00e9rateur d\u2019appliquer la l\u00e9gislation nationale \u00e0 des utilisateurs situ\u00e9s \u00e0 l\u2019\u00e9tranger. L\u2019op\u00e9rateur se retrouve alors confront\u00e9 \u00e0 un dilemme juridique : se conformer \u00e0 l\u2019ordre et risquer de violer les droits des utilisateurs ou les lois d\u2019une autre juridiction, ou refuser et s\u2019exposer \u00e0 des sanctions dans la juridiction imposant le blocage[15]<\/a><\/sup>.<\/p>\n\n\n\n Enfin, la mise en \u0153uvre du blocage DNS peut s\u2019av\u00e9rer co\u00fbteuse, tant pour les op\u00e9rateurs que pour les utilisateurs. La mise en \u0153uvre du blocage, en particulier lorsqu\u2019il est appliqu\u00e9 de mani\u00e8re s\u00e9lective selon la juridiction, n\u00e9cessite non seulement des modifications techniques de l\u2019infrastructure des modules de r\u00e9solution, mais aussi un investissement op\u00e9rationnel continu. Une simple liste de blocage appliqu\u00e9e \u00e0 l\u2019\u00e9chelle mondiale est relativement facile \u00e0 configurer, mais un blocage cibl\u00e9 bas\u00e9 sur la localisation des utilisateurs ou la juridiction l\u00e9gale augmente consid\u00e9rablement la complexit\u00e9 et le co\u00fbt. Plus les r\u00e8gles deviennent fragment\u00e9es, plus le fardeau op\u00e9rationnel des op\u00e9rateurs DNS est important et plus le risque d\u2019erreurs, de blocages excessifs ou insuffisants, augmente. Bien que le co\u00fbt suppl\u00e9mentaire pour prendre en charge une r\u00e8gle de blocage additionnelle puisse \u00eatre modeste, les co\u00fbts se multiplient \u00e0 mesure que de plus en plus de juridictions imposent des exigences diff\u00e9rentes. Le r\u00e9sultat peut \u00eatre une consolidation du march\u00e9, o\u00f9 seuls les acteurs les plus importants peuvent op\u00e9rer \u00e0 grande \u00e9chelle, ce qui r\u00e9duit la concurrence et la diversit\u00e9 de l\u2019offre de services DNS[16]<\/a><\/sup>.<\/p>\n\n\n\n Du point de vue de l\u2019utilisateur, le blocage risque \u00e9galement d\u2019affecter la qualit\u00e9 du service, car l\u2019int\u00e9gration de v\u00e9rifications de g\u00e9olocalisation dans la r\u00e9solution DNS peut augmenter la latence. Bien que des retards de seulement quelques millisecondes puissent sembler insignifiants, \u00e0 l\u2019\u00e9chelle d\u2019Internet ils ont un impact sur l\u2019exp\u00e9rience utilisateur, car les pages complexes se chargent beaucoup plus lentement puisque chaque composant est atteint via le DNS et subit, par exemple, une v\u00e9rification de g\u00e9olocalisation. Cela peut \u00e9galement inciter les utilisateurs \u00e0 se tourner vers des r\u00e9solveurs alternatifs, ce qui compromet \u00e0 la fois la conformit\u00e9 et les objectifs commerciaux.<\/p>\n\n\n\n En tant qu\u2019outil de politique publique, le blocage DNS est inefficace, nuisible et peu pratique.<\/p>\n\n\n\n Cela ne fonctionne pas, car il peut \u00eatre facilement contourn\u00e9 et ne parvient pas \u00e0 supprimer le contenu vis\u00e9, qui reste accessible, y compris sous un nouveau nom de domaine. Cela perturbe le fonctionnement en entra\u00eenant un blocage excessif de contenus licites, en fragmentant la r\u00e9solution globale des noms de domaine et en provoquant des d\u00e9faillances collat\u00e9rales au sein de services interconnect\u00e9s, y compris les services de s\u00e9curit\u00e9. C\u2019est peu pratique, puisque le DNS n\u2019est pas limit\u00e9 par la g\u00e9ographie, et que les modules de r\u00e9solution mondiaux font que les mesures nationales de blocage produisent des effets extraterritoriaux.<\/p>\n\n\n\n Pour toutes ces raisons, le blocage DNS impos\u00e9 est un outil inadapt\u00e9 \u00e0 l\u2019application des politiques publiques. Un r\u00f4le pour lequel il n\u2019a jamais \u00e9t\u00e9 con\u00e7u.<\/p>\n\n\n\n Si les pr\u00e9judices en ligne doivent \u00eatre trait\u00e9s, les interventions devraient se concentrer sur le contenu lui-m\u00eame, les acteurs responsables, ainsi que sur des mesures fond\u00e9es sur le respect des proc\u00e9dures l\u00e9gales et la coop\u00e9ration internationale. Le DNS existe pour rendre Internet utilisable, et non pour servir de m\u00e9canisme de contr\u00f4le. Pr\u00e9server son universalit\u00e9, sa fiabilit\u00e9 et sa s\u00e9curit\u00e9 est essentiel pour maintenir un Internet ouvert, r\u00e9silient et accessible \u00e0 l\u2019\u00e9chelle mondiale.<\/p>\n\n\n\n Abecassis, David, Andrew Daly, et Dalya Glickman. The Economic Cost of Network Blocking. Analysys Mason, 2025. https:\/\/www.analysysmason.com\/consulting\/reports\/network-blocking-economic-impact-jul25\/<\/a><\/p>\n\n\n\n Badiei, Farzaneh, et Sebastian Castro. Resolving the Future \u2013 The DNS Layer and the Power to Navigate the Internet. Digital Medusa, 2025. https:\/\/digitalmedusa.org\/wp-content\/uploads\/2025\/04\/DNS-Resolvers-2025-Final.pdf<\/a><\/p>\n\n\n\n Barnes, Richard, Alissa Cooper, Olaf Kolkman, Dave Thaler, et Erik Nordmark. RFC 7754 Technical Considerations for Internet Service Blocking and Filtering. 2016. https:\/\/datatracker.ietf.org\/doc\/rfc7754\/<\/a><\/p>\n\n\n\n Documents Cloudflare \u20181.1.1.1 Public DNS Resolver\u2019. 13 ao\u00fbt 2024. https:\/\/developers.cloudflare.com\/1.1.1.1\/privacy\/public-dns-resolver\/<\/a><\/p>\n\n\n\n Crocker, Steve, David Dagon, Dan Kaminsky, Danny McPherson, et Paul Vixie. Security and Other Technical Concerns Raised by the DNS Filtering Requirements in the PROTECT IP Bill. Auteurs (Affiliations fournies \u00e0 des fins d\u2019identification uniquement), 2011. https:\/\/www.circleid.com\/pdf\/PROTECT-IP-Technical-Whitepaper-Final.pdf<\/a><\/p>\n\n\n\n ICANN SSAC. DNS Blocking Revisited. SAC127. 2025. https:\/\/itp.cdn.icann.org\/en\/files\/security-and-stability-advisory-committee-ssac-reports\/sac127-dns-blocking-revisited-16-05-2025-en.pdf<\/a><\/p>\n\n\n\n ICANN SSAC. SSAC Advisory on Impacts of Content Blocking via the DNS. SAC056. 2012. https:\/\/itp.cdn.icann.org\/en\/files\/security-and-stability-advisory-committee-ssac-reports\/sac-056-en.pdf<\/a><\/p>\n\n\n\n Internet Society. Introduction to DNS Privacy. 2018. https:\/\/www.internetsociety.org\/resources\/doc\/2018\/introduction-to-dns-privacy\/<\/a><\/p>\n\n\n\n Internet Society. Perspectives sur le blocage de contenu sur Internet : tour d\u2019horizon. 2017. https:\/\/www.internetsociety.org\/resources\/doc\/2017\/perspectives-on-internet-content-blocking\/<\/a><\/p>\n\n\n\n MaxMind. \u2018Geolocation Accuracy\u2019. 12 mars 2025. https:\/\/support.maxmind.com\/hc\/en-us\/articles\/4407630607131-Geolocation-Accuracy<\/a><\/p>\n\n\n\n Documents Web MDN \u2018Populating the Page: How Browsers Work – Performance | MDN\u2019. 11 ao\u00fbt 2025. https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/Performance\/Guides\/How_browsers_work<\/a><\/p>\n\n\n\n Quad9. \u2018Quad9 | A Public and Free DNS Service for a Better Security and Privacy\u2019. Consult\u00e9 le 2 septembre 2025. https:\/\/quad9.net\/<\/a><\/p>\n\n\n\n Sar, Ernesto van der. \u2018French Piracy Blocking Order Goes Global, DNS Service Quad9 Vows to Fight\u2019. TorrentFreak, 12 d\u00e9cembre 2024. https:\/\/torrentfreak.com\/french-piracy-blocking-order-goes-global-dns-service-quad9-vows-to-fight-241212\/<\/a><\/p>\n\n\n\n Souppouris, Aaron. \u2018Turkish Citizens Use Google to Fight Twitter Ban\u2019. The Verge, 21 mars 2014. https:\/\/www.theverge.com\/2014\/3\/21\/5532522\/turkey-twitter-ban-google-dns-workaround<\/a><\/p>\n\n\n\n Worley, Jon. \u2018IP Geolocation: The Good, The Bad, & The Frustrating\u2019. 11 juin 2018. https:\/\/www.arin.net\/vault\/blog\/2018\/06\/11\/ip-geolocation-the-good-the-bad-the-frustrating\/<\/a><\/p>\n\n\n\n Notes<\/strong><\/p>\n\n\n\n [1]<\/a> Le chemin d\u2019une page Web est la partie d\u2019une URL qui suit le nom de domaine et qui identifie une ressource sp\u00e9cifique sur le serveur Web. Par exemple, dans \u00ab\u202fhttps:\/\/example.com\/articles\/2025\/DNSblocking.html \u202f\u00bb, le nom de domaine est \u00ab\u202fexample.com\u202f\u00bb, tandis que \u00ab\u202f\/articles\/2025\/DNSblocking.html\u202f\u00bb correspond au chemin de la page. La r\u00e9solution DNS ne prend en compte que le domaine.<\/p>\n\n\n\n [2]<\/a> Internet Society, Introduction \u00e0 la confidentialit\u00e9 sur l’Internet (2018), https:\/\/www.internetsociety.org\/resources\/doc\/2018\/introduction-to-dns-privacy\/<\/a><\/p>\n\n\n\n [3]<\/a> Farzaneh Badiei et Sebastian Castro, Resolving the Future \u2013 The DNS Layer and the Power to Navigate the Internet (Digital Medusa, 2025), https:\/\/digitalmedusa.org\/wp-content\/uploads\/2025\/04\/DNS-Resolvers-2025-Final.pdf<\/a>.<\/p>\n\n\n\n [4]<\/a> Richard Barnes et al., RFC 7754 Technical Considerations for Internet Service Blocking and Filtering (2016), 77, https:\/\/datatracker.ietf.org\/doc\/rfc7754\/.<\/a><\/p>\n\n\n\n [5]<\/a> Internet Society, Fiche d’orientation politique : points de vue sur le blocage de contenu Internet (2025), https:\/\/www.internetsociety.org\/resources\/policybriefs\/2025\/perspectives-on-internet-content-blocking\/.<\/a><\/p>\n\n\n\n [6]<\/a> Aaron Souppouris, \u2018Turkish Citizens Use Google to Fight Twitter Ban\u2019, The Verge, 21 mars 2014, https:\/\/www.theverge.com\/2014\/3\/21\/5532522\/turkey-twitter-ban-google-dns-workaround<\/a>.<\/p>\n\n\n\n [7]<\/a> ICANN SSAC, DNS Blocking Revisited, SAC127 (2025), https:\/\/itp.cdn.icann.org\/en\/files\/security-and-stability-advisory-committee-ssac-reports\/sac127-dns-blocking-revisited-16-05-2025-en.pdf<\/a>.<\/p>\n\n\n\n [8]<\/a> Barnes et al., RFC 7754 Technical Considerations for Internet Service Blocking and Filtering.<\/p>\n\n\n\n [9]<\/a> ICANN SSAC, SSAC Advisory on Impacts of Content Blocking via the DNS, SAC056 (2012), https:\/\/itp.cdn.icann.org\/en\/files\/security-and-stability-advisory-committee-ssac-reports\/sac-056-en.pdf.<\/a><\/p>\n\n\n\n [10]<\/a> \u2018Populating the Page: How Browsers Work – Performance | MDN\u2019, MDN Web Docs, 11 ao\u00fbt 2025, https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/Performance\/Guides\/How_browsers_work.<\/a><\/p>\n\n\n\n [11]<\/a> ICANN SSAC, DNS Blocking Revisited.<\/p>\n\n\n\n [12]<\/a> Steve Crocker et al., Security and Other Technical Concerns Raised by the DNS Filtering Requirements in the PROTECT IP Bill (Auteurs (Affiliations fournies uniquement \u00e0 des fins d’identification), 2011), https:\/\/www.circleid.com\/pdf\/PROTECT-IP-Technical-Whitepaper-Final.pdf.<\/a><\/p>\n\n\n\n [13]<\/a> \u2018Geolocation Accuracy\u2019, MaxMind, 12 mars 2025, https:\/\/support.maxmind.com\/hc\/en-us\/articles\/4407630607131-Geolocation-Accuracy;<\/a> Jon Worley, \u2018IP Geolocation: The Good, The Bad, & The Frustrating\u2019, 11 June 2018, https:\/\/www.arin.net\/vault\/blog\/2018\/06\/11\/ip-geolocation-the-good-the-bad-the-frustrating\/.<\/a><\/p>\n\n\n\n [14]<\/a> \u2018Quad9 | A Public and Free DNS Service for a Better Security and Privacy\u2019, Quad9, consult\u00e9 le 2 septembre 2025, https:\/\/quad9.net\/;<\/a> \u20181.1.1.1 Public DNS Resolver\u2019, Documents Cloudfare, 13 ao\u00fbt 2024, https:\/\/developers.cloudflare.com\/1.1.1.1\/privacy\/public-dns-resolver\/<\/a>.<\/p>\n\n\n\n [15]<\/a> Ernesto van der Sar, \u2018French Piracy Blocking Order Goes Global, DNS Service Quad9 Vows to Fight\u2019, TorrentFreak, 12 d\u00e9cembre 2024, https:\/\/torrentfreak.com\/french-piracy-blocking-order-goes-global-dns-service-quad9-vows-to-fight-241212\/<\/a>.<\/p>\n\n\n\n [16]<\/a> David Abecassis et al., The Economic Cost of Network Blocking (Analysys Mason, 2025), https:\/\/www.analysysmason.com\/consulting\/reports\/network-blocking-economic-impact-jul25\/.<\/a><\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Le blocage DNS impos\u00e9 est un outil inadapt\u00e9 \u00e0 l\u2019application des politiques publiques. Le DNS existe pour rendre Internet utilisable, et non pour servir de m\u00e9canisme de contr\u00f4le.<\/p>\n","protected":false},"author":1969,"featured_media":0,"template":"","categories":[6187,172,4909,146],"tags":[6112,6318],"region_news_regions":[6029],"content_category":[6105],"ppma_author":[6341],"class_list":["post-247886","resources","type-resources","status-publish","hentry","category-comment-fonctionne-internet","category-politique-publique","category-renforcer-internet","category-deploy360-fr","tag-blocage-de-contenu","tag-domain-name-system-dns-2","region_news_regions-mondial","resource_types-resource","content_category-resources-type"],"acf":[],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"post-thumbnail":false,"square":false,"gform-image-choice-sm":false,"gform-image-choice-md":false,"gform-image-choice-lg":false},"uagb_author_info":{"display_name":"Mint Web Design","author_link":"https:\/\/www.internetsociety.org\/fr\/author\/mintwebdesign\/"},"uagb_comment_info":0,"uagb_excerpt":"Le blocage DNS impos\u00e9 est un outil inadapt\u00e9 \u00e0 l\u2019application des politiques publiques. Le DNS existe pour rendre Internet utilisable, et non pour servir de m\u00e9canisme de contr\u00f4le.","_links":{"self":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/resources\/247886","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/resources"}],"about":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/types\/resources"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/users\/1969"}],"wp:attachment":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/media?parent=247886"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/categories?post=247886"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/tags?post=247886"},{"taxonomy":"region_news_regions","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/region_news_regions?post=247886"},{"taxonomy":"content_category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/content_category?post=247886"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/ppma_author?post=247886"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Introduction<\/h2>\n\n\n\n
Comprendre le DNS (Une br\u00e8ve \u00e9bauche)<\/h2>\n\n\n\n
\n
R\u00e9solveurs r\u00e9cursifs DNS priv\u00e9s vs publics<\/h2>\n\n\n\n
Blocage DNS<\/h2>\n\n\n\n
Pourquoi le blocage DNS est un outil impr\u00e9cis<\/h2>\n\n\n\n
Le blocage DNS est facile \u00e0 contourner<\/h3>\n\n\n\n
Le contenu cibl\u00e9 n\u2019est pas supprim\u00e9<\/h3>\n\n\n\n
Le blocage DNS perturbe le fonctionnement<\/h4>\n\n\n\n
Le blocage DNS est peu pratique<\/h3>\n\n\n\n
Conclusion<\/h2>\n\n\n\n
R\u00e9f\u00e9rences<\/h2>\n\n\n\n
\n\n\n\n