Qu’est-ce qu’un DNS, comment ça marche, à quoi ça sert ?

Certaines notions d’informatiques sont particulièrement opaques pour qui n’est pas familiarisé avec les choses de la technique. Mais que l’on les comprenne ou non, certaines de ces briques sont indispensables au bon fonctionnement de votre usage quotidien d’Internet. Le DNS est un parfait exemple de cet état de fait. Personne ou presque ne sait de quoi il s’agit, beaucoup s’en moquent, mais tout le monde en a besoin et l’utilise tous les jours. Sans serveurs DNS, l’internet que vous connaissez n’existerait pas, et vous ne pourriez accéder qu’aux sites et des services que vous connaissez déjà, et encore, pas tout le temps, et pas pour toujours. Sans système DNS, il n’y aurait pas de Web.

Qu’est ce qu’un DNS ?

Vous allez voire c’est très simple. Le nom de domaine est la partie de l’adresse qui débute après le premier point rencontré dans l’URL, et qui se termine par l’extension de nom de domaine. Comme ceci :

Le problème qui se pose, et la solution qu’apporte le système DNS, c’est que les ordinateurs, le vôtre, le mien, celui du voisin, ne connaissent pas le serveur qui héberge le site de le-routeur-wifi.com sous ce nom. En effet, chaque matériel réseau connecté à Internet (ou à un réseau local), est accessible via ce que l’on nomme une adresse IP. Il s’agit d’une suite de chiffre, dans le cas du protocole IPV4, ressemblant à quelque chose comme ça : 104.28.1.30. Dans le cas de l’utilisation du protocole IPV6, l’adresse ressemblera à quelque chose comme cela : 2001:0db8:0000:85a3:0000:0000:ac1f:8001

A partir de là vous devez normalement, commencer à comprendre où je veux en venir. Imaginez que vous soyez obligé de tenir un petit carnet, dans lequel vous écriviez, chaque adresse IP, de chaque serveur hébergeant le site que vous souhaitez consulter ! Et que vous deviez entrer l’adresse du site ensuite dans votre navigateur, pour finalement accéder à la ressource voulue !

Ça serait long, fastidieux, et surtout, il faudrait connaitre les adresses IP.

C’est donc là qu’intervient le système DNS, c’est, pour simplifier à l’extrême, un annuaire, le plus grand du monde, qui connait les adresses IP des noms de domaine que vous souhaitez atteindre.

A lire aussi : Comment changer facilement de DNS sur Windows ?

Historique

Ce décalage entre le langage naturel (les noms de domaine), et les adresses IP correspondantes existe depuis le début d’internet. Aux commencement, lorsque que le réseau des réseaux s’appelait encore Arpanet, cette mise en relation était effectuée par l’intermédiaire d’un fichier unique, nommé le fichier Host.

Ce fichier ressemble à ça :

Et pour les plus curieux d’entre vous, sachez que ce fichier existe toujours dans nos systèmes d’exploitation modernes, même si son intérêt est considérablement moindre qu’à l’époque. Sous Windows, par exemple, vous le trouverez ici : C:\Windows\System32\drivers\etc\hosts

Ce fichier centralisé devait être copié sur chacune des machines qui devait accéder au réseau, et il est donc, assez logiquement, devenu rapidement insuffisant et compliqué à maintenir. Il est aisé de comprendre que plus « Internet » prenait de l’ampleur, et plus ce fichier devait être mis à jour et recopié sur les ordinateurs souvent.

C’est donc une nouvelle façon de faire, le système DNS qui voit le jour en 1987.

Comment marche le DNS ?

Nous allons imaginer que vous souhaitiez vous rendre sur le site de le-routeur-wifi.com.

Si c’est la première fois que vous vous rendez sur ce site (nous expliquerons plus loin pourquoi nous parlons de première fois), déjà sachez que ce n’est pas bien, vous devriez consulter ce site plus souvent, mais surtout, votre navigateur est bien incapable de savoir où aller ! Il va alors devoir faire procéder à une résolution de nom de domaine. C’est-à-dire qu’il va devoir interroger un autre ordinateur, pour que celui-ci lui fournisse l’adresse IP du nom de domaine que vous voulez atteindre.

Pour cela, votre requête va être envoyée à ce que l’on nomme un résolveur DNS. Ce résolveur est configuré automatiquement dans votre système d’exploitation, en fonction de votre FAI. Bien qu’il soit possible de le modifier si le cœur vous en dit.

Le résolveur DNS

Le résolveur DNS est souvent appelé par le grand public, uniquement « DNS ». Il est présent dans votre système sous la forme d’une adresse IP. En effet, s’il était indiqué en utilisant un nom de domaine, il faudrait alors résoudre le nom de domaine du résolveur, ce qui pourrait vite devenir un non-sens…

Bref, ce résolveur va interroger différentes autres entités (2, 3, 4, 5 ,6, 7 sur le schéma) sur les différentes parties du nom de domaine que vous souhaitez atteindre. Pour ce faire, il commence par la fin, par l’extension (2 sur le schéma).

Le serveur DNS racine

C’est la première entité qui va être interrogée, le premier serveur DNS, celui qui fournira la première clé. Ce serveur racine a pour tâche de fournir au client (celui qui demande la résolution d’un nom de domaine), l’adresse du serveur DNS s’occupant de la bonne extension.

Les noms de domaine peuvent en effet avoir différent TLD (top level domain), différentes extensions, comme par exemple « .com », « .net », « .fr » …

Il existe, dans le monde, 13 de ces serveurs DNS racines. Le serveur DNS racine qui aura été contacté par le résolveur DNS, va donc lui fournir l’adresse du serveur DNS qu’il faut contacter pour résoudre le nom de domaine, en fonction de son TLD, dans notre exemple « .com » (point 3 sur le schéma).

Le serveur DNS de niveau 1

Votre résolveur interroge donc ensuite ce serveur (4 sur le schéma), c’est celui qui va savoir qu’elle est l’adresse du serveur DNS suivant, celui qui sera capable, finalement de vous renseigner, et de vous fournir l’IP liée au nom de domaine (point 5).

Le serveur DNS de niveau 2

Le serveur DNS de niveau 2, c’est celui qui détient la liste des noms de domaines, et de leurs adresses IP, en fonction du TLD. Ce serveur va fournir à votre résolveur, la bonne adresse IP (point 7 sur le schéma). Puis le résolveur la transmettra à votre ordinateur (étape 8 du schéma), et enfin votre navigateur affichera la page que vous aviez demandé, le-routeur-wifi.com.

Tout ceci se passe très rapidement, même si la procédure semble complexe, et cela peut même aller encore plus vite.

Pourquoi nous partions de l’hypothèse d’une première visite ?

Tout simplement, car, une fois que vous avez déjà visité une page, un nom de domaine, votre navigateur s’en souvient, pour ne pas avoir à résoudre à nouveau le nom de domaine. Pour gagner du temps en sommes. Et donc, votre navigateur affichera plus rapidement la ressource demandée si ce n’est pas la première fois que vous essayez d’y accéder.

Les progrès fulgurants au niveau des débits de nos connexions, font que cette différence est aujourd’hui très peu visible.

Cette « mémoire », n’est pas infinie, elle sera présente temps que vous n’aurez pas vidé le fameux cache, de votre navigateur, et temps que le TTL (Time to live) est en cours. C’est-à-dire que périodiquement, pour s’assurer que l’adresse est toujours la bonne, une nouvelle résolution du nom de domaine sera effectuée.

A lire aussi : [Changer d’adresse DNS] Le Guide complet pour débutants (Windows et routeur)

Fonctionnement d’un DNS : Schéma simplifié

Oui c’est un peu compliqué tout cela, et le processus de résolution d’un nom de domaine ressemble un peu au clin d’œil très bien trouvé par le vidéaste Monsieur Bidouille, qui fait l’analogie entre le système DNS et l’album de BD « Les 12 travaux d’Astérix », quand les deux héros doivent se procurer le laisser passer A38 dans la Maison qui rend fou !

Pour vous aider un peu, vous pouvez consulter le schéma suivant, mais aussi aller visionner la vidéo la première partie de la vidéo de Monsieur Bidouille :

Mon schéma :

La vidéo de Mr-Bidouille :

Voilà donc, en très simplifié, le but étant que tout le monde comprenne, comment marche le système DNS, vous taper une adresse compréhensible par un humaine dans votre navigateur, ce navigateur, demande au résolveur DNS, de lui fournir l’IP qui correspond au nom de domaine, le résolveur, interroge plusieurs serveurs DNS jusqu’à obtenir cette IP et il la donne à votre navigateur.

A lire également : Le serveur DNS ne réponds pas : mes conseils pour réparer votre connexion

Importance du serveur racine

Vous l’aurez compris, c’est de lui que tout dépend, c’est lui qui dispose du trousseau de clés qui va permettre à votre résolution de nom de domaine d’aboutir.

Je vous disais plus avant, qu’il existait 13 de ces serveurs dans le monde. En fait c’est faux, il y en a plus, mais il a 13 autorités de noms, chacune pouvant avoir plusieurs serveurs racines (si vous êtes curieux, il y a environ 200 serveurs racines en réalité). C’est 13 autorités de noms sont gérées par 12 organisations différentes, 9 sont américaines, 2 sont européennes, et la dernière est japonaise.

Quand on explore la notion de DNS, il est important de comprendre que ces résolutions de noms de domaine ne portent pas toujours sur le fait de connaitre l’adresse IP du site le-routeur-wifi.com, mais que ces résolutions peuvent avoir un intérêt commercial ou stratégique tout autre. Tout est maintenant dépendant d’internet (au sens large), je pense que je ne vous apprends rien…

Les serveurs DNS racines sont donc d’une très grande importance, dans le fonctionnement d’Internet, mais aussi une ressource stratégique primordiale à notre époque.

DNS et gouvernements

Il est difficile de parler du concept de DNS sans aborder les possibilités qu’ils peuvent offrir en terme de coercition, ou de censure. Vous l’avez bien compris, le système DNS est un géant annuaire, qui fait correspondre des noms de domaine avec des adresses IP. Est-il alors possible, d’effacer l’adresse IP correspondante à un nom de domaine, ou alors de la changer ?

Et bien oui c’est possible, et c’est même très largement pratiqué, soit par des pays qui ne souhaitent pas que sa population est accès à certaines informations, comme la Chine ou la Russie par exemple, ou afin de limiter l’accès à du contenu illégal. Il est par exemple assez commun, si vous entrez le nom de domaine d’un site de téléchargement de contenus protégés, que vous atterrissiez sur une page tout autre vous expliquant que ce site est illégal et que donc vous ne pouvez pas y accéder.

J’ai utilisé, le mot « limiter », car il ne s’agit ici « que » du DNS, et comme nous l’avons vu au début de ce texte, si vous possédez l’adresse IP du site en question, ou bien alors que vous utilisez un résolveur sur lequel cette limitation n’est pas en place, rien ne vous empêchera d’arriver à vos fins, tant que le site est en ligne.

Le mythe des gardiens des clés

Bon on le sait maintenant, les serveurs DNS, et particulièrement les autorités de noms sont primordiales pour le bon fonctionnement d’internet. Sans eux, plus de net. De là est né la légende urbaine, que des gardiens, disposeraient de clés, à l’aide desquelles ils seraient capables « d’éteindre » Internet. Si cette histoire de gardiens du temple peut faire sourire, elle est pourtant basée sur des faits réels.

En effet, pour communiquer entre eux, les serveurs DNS ont besoins d’une clé de chiffrement. Chaque directeur des autorités de noms dispose de la sienne, et à intervalle régulier, ces « gardiens » se rencontrent à l’Icann, l’organisation qui gère l’ensemble des noms de domaine (Etats-Unis), afin de générer, à l’aide de leur clé, une nouvelle clé de chiffrement. Mais ça s’arrête là. Et c’est même encore moins mystérieux que cela dans la réalité des choses, puisque ces fameuses clés, ne sont pas un objet empreint de mysticisme attaché au coup de chacun des directeurs, mais un dispositif informatique enfermé dans un coffre-fort au Datacenter Terramark, à Culpeper en Virginie. Et que ce ne sont que les experts en cryptographie des différentes autorités qui peuvent y accéder. Vous pouvez donc dormir tranquille, même si un ou deux directeurs des autorités de noms font trop la fête, vous pourrez tout de même continuer de lire le-routeur-wifi.com demain matin, ou continuer de visionner les excellentes vidéos de Monsieur Bidouille sur Youtube.

A lire aussi : Qu’est ce qu’un DNS et pourquoi je n’utilise pas ceux de base ?