Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les serveurs DNS peuvent être comparés, au niveau de l'Internet et du Web, aux annuaires téléphoniques au niveau du téléphone. Exemple :

Tous les « appareils » connectés à un réseau ont une adresse dans ce réseau. Par « appareil » on entend :

  • La BOX du particulier.

  • Le centre de calcul d'une administration ou d'un groupe.

  • Les serveurs Web hébergeant les sites Web ou services Web que l'on consulte ou utilise.

  • Tous les objets connectés.

  • Etc.

On ne peut, techniquement, s'adresser à un appareil que par cette adresse qui est de la forme IPv4 (Internet Protocol version 4) xxx.xxx.xxx.xxx où xxx est un nombre de 0 à 255 (ou, avec l'explosion du nombre d'appareils, de la forme IPv6 (Internet Protocol version 6) xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx).

Votre adresse IP personnelle est une donnée privée qui n'a pas à être collectée. Plusieurs textes de loi la définisse ainsi (lire le paragraphe 2 de l'article adresse IP).

Ces adresses numériques sont une chose naturelle dans le monde numérique, mais rébarbatives pour les humains qui y sont farouchement hostiles. Or tous les sites Web et services Web que nous visitons/utilisons se trouvent sur des appareils (des serveurs dans notre monde client/serveur - le monde P2P est un autre usage de l'Internet où chaque appareil [avec son adresse IP] est à la fois client et serveur) et on se fiche complètement de savoir quelle est l'adresse IPv4 ou IPv6 de ces serveurs ! Il est préférable de donner des noms aux sites et services Web, et de laisser un mécanisme traduire automatiquement ces noms en une adresse. Il sera ainsi plus aisé de consulter le site assiste.com que le site 213.186.33.24 (en IPv4) ou 2001:41d0:1:1b00:213:186:33:24 (en IPv6) ! En plus, certains sites ou services se partagent à plusieurs milliers le même serveur, pour des raisons économiques (serveurs mutualisés).

Ce mécanisme de traduction automatiquement des noms en adresses fut inventé par Paul Mockapetris en 1983 (on est bien avant la naissance du Web qui n'interviendra que le 06 août 1991). Ce mécanisme est pris en charge par des serveurs particuliers maintenant une copie intégrale de la liste, unique et mondiale, des paires « Noms de domaine adresses IPs » (il y en a plusieurs milliards). L'application qui y est installée est particulière et ces serveurs sont appelés « Serveurs de Noms de Domaines » (dits, simplement, « serveurs DNS (Domain Name Server) ».

Chaque fois que vous demandez un accès à un domaine ou service, cette demande est traduite par un « serveur DNS » auquel accède votre appareil. (Les serveurs DNS sont, eux aussi, des appareils avec une adresse IP.)

C'est votre FAI (Fournisseurs d'Accès Internet) qui vous fournit automatiquement votre adresse IP(qui peut être permanente ou changeante par bail de 24 heures) et l'adresse IP d'un serveur DNS (ainsi qu'une seconde adresse IP pour un serveur DNS de secours si le serveur DNS préférentiel n'est pas accessible, en panne ou en surcharge). L'utilisateur n'a rien à faire et son appareil détecte automatiquement les adresses IP des serveurs DNS à utiliser. Ces adresses IP sont codées dans les paramètres de la box (modem/serveur) que vous loue votre FAI. Mais vous pouvez, avec intérêts, en changer.

D'autres serveurs DNS existent qui peuvent suppléer ou remplacer ceux par défaut. Les raisons de les utiliser :

  1. Le critère de vitesse de résolution
    Certains serveurs DNS sont plus rapides que d'autres, mais si l'on ne fait pas des dizaines de milliers de requêtes par jour vers des dizaines de milliers de domaines différents, on est au niveau de gain de quelques nanosecondes, ce qui ne se fera pas sentir. En plus, les systèmes d'exploitation comme les navigateurs Web maintiennent, presque tous, des mémoires cache de résolution DNS. Il existe un service gratuit en ligne (DNSPerf) qui compare les vitesses des serveurs DNS. Exemples (mesures le 28 décembre 2020).

    Comparaison de la vitesse des serveurs DNS dans le monde
    Comparaison de la vitesse des serveurs DNS dans le monde

    Comparaison de la vitesse des serveurs DNS en Europe
    Comparaison de la vitesse des serveurs DNS en Europe
  2. Le critère de vitesse de mise à jour de la base de données
    Le critère de vitesse de mise à jour de la base de données mondiale des paires « Noms de domaine adresses IPs » peut être un peu plus significatif. Il y a « 13 serveurs DNS racine » dans le monde, qui contiennent la base de données complète des paires « Noms de domaine adresses IPs » et des réplications partielles un peu partout, dont chez les FAI. Ceci n'intervient que lors de la création d'un nouveau domaine, ou de sa suppression ou de son déplacement d'un serveur à un autre. Les mises à jour se font par la délégation locale qui gère une partie des DNS sur une zone donnée (par exemple, Gandi en France) ou au niveau de l'hébergeur. Une fois une modification faite, elle doit se propager à travers les « 13 serveurs DNS racine » puis les centaines de milliers de réplications (miroirs DNS partiels) de la planète, ce qui peut prendre de 24 à 48 heures.

  3. La non-censure du Web
    La véritable raison pour changer de DNS est l'accès à l'intégralité du Web, sur l'Internet. Chaque fournisseur d'un service de résolution de noms de domaine (par exemple, en France métropolitaine, Orange, Free, SFR, Bouygues Telecom et une nébuleuse comme DartyBox, NordNet, OVH, Prixtel, Budget Telecom, Vivéole, Numericable, Auchan Telecom, Nerim, Magic OnLine...) peut ne pas disposer de l'image complète des paires « Noms de domaine adresses IPs » du monde. Les raisons sont diverses, dont la censure du Web. Un fournisseur d'accès DNS peut bloquer des noms de domaine :

    1. Pour des raisons qui le regardent (sauvegarde de sa bande passante, morale, politique [Chine, Corée du Nord, etc.]). On perd la neutralité d'Internet.

    2. DNS menteurs. Certains prétendus fournisseurs de serveurs DNS remplacent les paires naturelles « Noms de domaine adresses IPs » par des paires menteuses dirigeant les visiteurs vers des sites avec lesquels ils ont des intérêts économiques, voire leurs propres sites.

    3. Par obligations que certains lui imposent, comme un gouvernement ou une décision de justice nationale (ordre de bloquer un site de piratage, etc.).

Les serveurs DNS peuvent donc :

  • Comporter des censures (pas de résolution d'un nom dont l'adresse ne sera pas trouvée).

  • Être utilisés pour suivre votre navigation Web (forme d'espionnage de votre vie privée pudiquement appelée Tracking/Profiling et clickstream).

Il est possible de changer de serveurs DNS.

Pour comprendre ce que sont les DNS et où ils interviennent dans la résolution des noms de domaines, lire :

Pour changer de serveurs DNS, voici 4 choix significatifs :



02 août 2007 : L'adresse IP est une donnée à caractère personnel pour l'ensemble des CNIL européennes et sa collecte est interdite à ce titre

La CNIL France écrit :

« L'article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à des éléments qui lui sont propres. Ce qui est le cas d'un numéro de plaque d'immatriculation de véhicule, d'un numéro de téléphone ou d'une adresse IP. L'ensemble des autorités de protection des données des États membres de l'Union européenne a d'ailleurs récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l'adresse IP attribuée à un internaute lors de ses communications constituait une donnée à caractère personnel. »


19 octobre 2016 : N'importe quelle police/justice peut demander à un fournisseur d'accès Internet (FAI) l'identité complète de son abonné derrière une adresse IP, y compris si elle est dynamique, c'est donc une donnée à caractère personnelle « indirectement nominative » et sa collecte est interdite

Dans son arrêt Breyer du 19 octobre 2016, la Cour de justice de l'UE a jugé que :

« Par ces motifs, la Cour (deuxième chambre) dit pour droit :

l'article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu'une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l'occasion de la consultation par une personne d'un site Internet que ce fournisseur rend accessible au public constitue, à l'égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu'il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d'accès à Internet de cette personne. »


3 novembre 2016 : Cour de cassation, 1ère ch. civ. - Cabinet Peterson / Groupe Logisneuf et autres - l'adresse IP est définitivement une donnée personnelle

Après un procès perdu par « Cabinet Peterson », ce dernier monte en appel et, dans un arrêt rendu le 28 avril 2015, la cour d'appel de Rennes avait jugé que : « l'adresse IP, constituée d'une série de chiffres, se rapporte à un ordinateur et non à l'utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ».

Le « Groupe Logisneuf » va alors en cassation (qui juge sur la forme et non le fond).

La Cour de cassation rappelle alors que l'adresse IP EST une donnée personnelle :

« Vu les articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

  • Attendu qu'aux termes du premier de ces textes, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ; que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;
  • Que, selon le second, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL ;
  • Attendu que, pour rejeter la demande de rétractation formée par la société Cabinet Peterson, l'arrêt retient que l'adresse IP, constituée d'une série de chiffres, se rapporte à un ordinateur et non à l'utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ; qu'il en déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l'entreprise, ne constitue pas un traitement de données à caractère personnel ;
  • qu'en statuant ainsi, alors que les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la CNIL, la cour d'appel a violé les textes susvisés ;

DÉCISION
Par ces motifs et sans qu'il y ait lieu de statuer sur les autres branches du troisième moyen :
CASSE ET ANNULE, en toutes ses dispositions, l'arrêt rendu le 28 avril 2015, entre les parties, par la cour d'appel de Rennes ; »

La Cour de cassation clôt le débat sur le caractère désormais définitif de « donnée personnelle » de l'adresse IP.




Absolument tout ce qui est connecté à Internet dispose d'une adresse numérique sur Internet de manière à pouvoir être identifié lorsqu'il fait une requête et à être joint lorsqu'on le sollicite ou lui répond.

« IP » est une abréviation (acronyme) pour « Internet Protocol ».

l'« adresse IP » est un numéro attribué de manière permanente/fixe (ou temporaire, par exemple avec les connexions ADSL attribuées par baux de 24 heures aux particuliers et qui change toutes les 24 heures sauf si l'utilisateur fait la demande d'une adresse IP fixe [ce qui est une mauvaise idée en termes de furtivité]).

Les données qui circulent sur Internet, dont les données du Web (qui n'est que l'un des usages du réseau des réseaux), sont empaquetées pour pouvoir circuler « par paquets » d'une adresse IP à une autre, en passant par des « routeurs ». l'adressage IP est la base de cette circulation des paquets. Sans cet adressage IP, il n'y a pas d'Internet.

L'empaquetage est la couche 3 du modèle OSI

Le modèle OSI est un modèle en couches (7 couches). Les données qui transitent par l'internet sont encapsulées/empaquetées trois fois :

  • Au niveau 4 par la couche TCP
  • Au niveau 3 par la couche IP
  • Au niveau 2 par la trame de liaison (le protocole de liaison) : Ethernet, Cisco, ARCnet, Fiber Distributed Data Interface (FDDI), WiFi (IEEE 802.2), etc.

Il existe des adresses IP dites IPv4 (IP version 4) et des adresses IP dites IPv6 (IP version 6).

Le nombre d'adresses possibles qui avait été prévu avec IPv4 n'est plus du tout suffisant avec l'explosion des objets de tous poils connectés dits « IoT » - Internet of Things (montres, caméras, détecteurs, voitures, smartphones, réfrigérateurs, etc. – liste non limitative d'objets connectés).



  • Adresse IP