Skip to main content
Resources

Foire aux questions : collision de noms pour les professionnels des TI

Cette page est disponible en:

Introduction
Parties intéressées, effets et risques
Réduction du risque et dépannage
Rôle de l'ICANN
Interruption contrôlée et 127.0.53.53

Introduction

Qu'est-ce qu'une collision de noms ?

Une collision de noms se produit lorsqu'une tentative de résolution d'un nom utilisé dans un espace de noms privé (par exemple, en vertu d'un domaine de premier niveau (TLD) non délégué ou d'un nom court non qualifié) donne lieu à la résolution d'une requête DNS envoyée au système des noms de domaine (DNS) public. À titre de comparaison, imaginez appeler « Marie » au bureau où une seule personne s'appelle « Marie », puis en faire de même dans un centre commercial en espérant que la « Marie du bureau » vous répondra.

De telles circonstances, dans lesquelles les frontières administratives entre l'espace de noms privé et public se chevauchent et créent une résolution incertaine des noms, doivent, dans la mesure du possible, être évitées.

La collision de noms constitue-t-elle une nouvelle problématique ?

Les occurrences de collision de noms ne datent pas d'hier. Bien qu'elles aient été observées depuis le début d'Internet, les requêtes de TLD non délégués au niveau de la racine du DNS [PDF, 507 KB] ont fait l'objet d'un regain d'attention car certaines nouvelles chaînes de TLD  faisant l'objet d'une candidature pourraient être identiques à des étiquettes de nom utilisées dans des réseaux privés.

Haut

Parties intéressées, effets et risques

Le réseau de mon organisation/ma société pourrait-il être affecté par la collision de noms ?

Des études ont révélé qu'il était peu probable que des collisions de noms affectent un grand nombre de réseaux d'entreprise ou d'internautes. Dans un environnement bien géré, il est peu probable que se produise une collision de noms, et il est encore moins probable qu'une collision de noms puisse entraîner un dommage matériel étant donné qu'il y a de bonnes chances que les perturbations soient immédiatement constatées. Toutefois, sans une gestion du réseau adéquate, le risque existe.

Les collisions de noms représentent-elles un risque important ?

Une étude sur les collisions d'espaces de noms dans l'espace de noms du système des noms de domaine (DNS) d'Internet, menée par JAS Global Advisors, a indiqué que l'ajout de nouveaux domaines de premier niveau (TLD) ne faisait pas augmenter considérablement ou ne changeait fondamentalement les risques associés aux collisions d'espaces de noms du DNS. Les modalités, les risques et les causes des collisions inévitables dans l'espace de noms du DNS seront similaires dans les espaces de noms des nouveaux TLD à celles qui se produisent déjà régulièrement ailleurs dans le DNS.

Haut

Réduction du risque et dépannage

Comment les gestionnaires de systèmes peuvent-ils prévenir la collision de noms ?

Le Guide pour l'identification et l'atténuation des collisions de noms pour les professionnels des TI (version 1.1) de l'ICANN [PDF, 855 KB] recommande que les organisations n'utilisant pas encore de noms de domaine pleinement qualifiés (FQDN) du DNS public prennent connaissance de la stratégie suivante :

  • Suivi des services de nommage, création d'une liste des TLD privés ou des noms courts non qualifiés que vous utilisez en interne, et comparaison de ladite liste avec la liste de nouvelles chaînes de TLD faisant l'objet d'une candidature.
  • Formulation d'un plan visant à limiter les causes de fuite ; vous pourriez par exemple changer la racine de votre espace de noms privé afin d'utiliser un nom que vous avez enregistré dans le DNS mondial ou changer les systèmes affectés afin d'utiliser des FQDN.
  • Préparation des utilisateurs au changement imminent de l'utilisation des noms en les informant à l'avance ou en leur fournissant une formation. 
  • Mise en œuvre d'un plan visant à atténuer toute éventuelle collision.
  • Poursuite du suivi de l'utilisation des anciens noms privés ainsi que de l'utilisation des nouveaux FQDN au niveau des serveurs de noms et sur le périmètre de votre réseau, et utilisation de ces données afin de limiter les causes que vous pourriez découvrir après avoir commencé à réduire les fuites.

Comment un gestionnaire de système doit-il lutter contre la collision de noms une fois qu'elle a été identifiée ?

Les gestionnaires de systèmes détectant une erreur de système liée à une collision de noms sont encouragés à suivre les étapes suivantes :

Haut

Rôle de l'ICANN

Pourquoi l'ICANN est-elle impliquée dans l'atténuation des collisions de noms ?

Les occurrences de collision de noms ont fait l'objet d'un regain d'attention car de nombreuses nouvelles chaînes de domaine de premier niveau faisant l'objet d'une candidature via le programme des nouveaux gTLD de l'ICANN sont identiques à des étiquettes d'espace de noms utilisées dans des réseaux privés. L'objectif premier de l'ICANN est d'assurer la sécurité, la stabilité et la résilience d'Internet. Déterminer le risque et la gravité des éventuelles collisions de noms et proposer des moyens permettant de réduire les risques revêtent à présent une grande importance.

Dans une étude publiée en janvier 2013, le Comité consultatif sur la sécurité et la stabilité (SSAC) de l'ICANN a confirmé que certains espaces de noms privés étaient parfois coupables de « fuites » dans le DNS public (soit du fait d'une mauvaise configuration soit du fait de l'utilisation de logiciels obsolètes). Le Conseil d'administration de l'ICANN, son personnel et la communauté Internet se sont engagés à collaborer en matière de lutte contre la collision de noms. L'ICANN estime qu'il est de son devoir de faire tout son possible afin de minimiser l'impact potentiel des collisions et de proposer des conseils clairs eu égard à cette question.

Quelles actions l'ICANN a-t-elle menées dans sa lutte contre la collision de noms ?

L'ICANN a effectué plusieurs étapes afin de lutter contre la collision de noms. Elle a notamment commandé un rapport indépendant sur l'atténuation des collisions de noms, donné des avis aux professionnels des TI à travers le monde sur la façon d'identifier et de gérer de manière proactive les fuites d'espaces de noms privés dans le DNS public, et mené une campagne de sensibilisation à la question des collisions de noms.

De plus, en août 2014, l'ICANN a publié le cadre de gestion de l'occurrence de collision de noms [PDF, 634 KB] qui consiste en un ensemble d'exigences développées afin de gérer les occurrences de collision de noms entre les nouveaux gTLD et l'utilisation privée existante des mêmes chaînes. Le cadre a été mis au point en tenant compte de différents avis émanant notamment de la communauté Internet, d'un rapport publié par JAS Global Advisors LLC et du Comité consultatif sur la sécurité et la stabilité.

Pour de plus amples informations relatives à la façon dont l'ICANN a travaillé afin d'atténuer les collisions de noms, veuillez lire les documents suivants :

Haut

Interruption contrôlée et 127.0.53.53

Qu'est-ce que l'interruption contrôlée ?

L'interruption contrôlée est une méthode de notification aux gestionnaires de systèmes ayant procédé à une configuration erronée de leur réseau (sciemment ou non) d'une situation de collision d'espace de noms, et qui les aide à réduire les éventuels problèmes.

L'interruption contrôlée vise à détecter les requêtes DNS défaillantes.  Lorsqu'une requête défaillante est détectée, un registre prend une action « contrôlée » afin de prévenir tout dommage et d'avertir l'utilisateur qu'une correction est nécessaire. Cette action prend la forme d'une réponse à la requête DNS avec une adresse IP spéciale (127.0.53.53). Le terme « interruption » se réfère à une activité qui semblait fonctionner en dépit de la requête défaillante mais qui ne peut à présent plus fonctionner.

Les gestionnaires de systèmes affectés par un registre de nouveaux gTLD effectuant une interruption contrôlée peuvent se trouver confrontés aux « drapeaux » suivants : 

  • * 3600 IN MX 10 votre-dns-requiert-attention-immédiate.<TLD>.
  • * 3600 IN SRV 10 10 0 votre-dns-requiert-attention-immédiate.<TLD>.
  • * 3600 IN TXT « Votre DNS requiert une attention immédiate, voir https://icann.org/namecollision »

Qu'est-ce que 127.0.53.53 ?

127.0.53.53 est une adresse IPv4 spéciale qui apparaîtra dans les journaux du système afin d'avertir les gestionnaires de systèmes d'un éventuel problème de collision de noms, permettant ainsi un rapide diagnostic et l'adoption de mesures correctives. Le « 53 » est utilisé comme mnémonique afin d'indiquer un problème lié au DNS dû à l'utilisation du port de réseau 53 pour le service du DNS. Les cas laissant raisonnablement croire à l'existence d'un dommage grave et démontrable lié à une collision de noms doivent être signalés via le formulaire suivant : https://forms.icann.org/fr/help/name-collision/report-problems. Pour en savoir plus sur la collision de noms, veuillez consulter la page suivante : https://www.icann.org/namecollision.

J'ai trouvé 127.0.53.53 (ou un autre drapeau) dans mes journaux du système, que dois-je faire à présent ?

Les gestionnaires de systèmes confrontés à une erreur du système lié à la collision de noms sont encouragés à suivre les étapes suivantes :

Haut

A note about our terms of service:

We have updated our electronic terms of service to provide greater transparency and align with laws applicable to us. Learn more.

This site uses cookies to deliver an efficient user experience and to help us see how the site is used. Learn more.OK

Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."