Foire aux questions : collision de noms pour les experts informatiques

Parties intéressées, effets et risques

1. Le réseau de mon organisation/ma société pourrait-il être affecté par la collision de noms ? Des études ont révélé qu'il était peu probable que des collisions de noms affectent un grand nombre de réseaux d'entreprise ou d'internautes. Dans un environnement bien géré, il est peu probable que se produise une collision de noms, et il est encore moins probable qu'une collision de noms puisse entraîner d'importants dommages étant donné qu'il y a de bonnes chances que les perturbations soient immédiatement constatées. Toutefois, sans une gestion du réseau adéquate, le risque existe.
2. Les collisions de noms représentent-elles un risque important ? Une étude sur les collisions de système de nommage dans les espaces de nommage du système des noms de domaine (DNS) d'Internet mondial, menée par JAS Global Advisors, a indiqué que l'ajout de nouveaux domaines de premier niveau (TLD) ne faisait pas augmenter considérablement ou ne changeait pas fondamentalement les risques associés aux collisions de noms. Les modalités, les risques et les causes des collisions inévitables dans les nouveaux gTLD seront similaires à ceux des collisions qui se produisent déjà régulièrement ailleurs dans le DNS mondial.

Réduction des risques et dépannage

3. Comment les gestionnaires de systèmes peuvent-ils prévenir la collision de noms ? Le Guide pour l'identification et l'atténuation des collisions de noms pour les experts informatiques (version 1.1) de l'ICANN [PDF, 476 KB] recommande que les organisations n'utilisant pas encore de noms de domaine complètement qualifiés (FQDN) du DNS mondial prennent connaissance de la stratégie suivante :
   • Suivi des services de nommage, création d'une liste des TLD privés ou des noms courts non qualifiés que vous utilisez en interne, et comparaison de ladite liste avec la liste de nouvelles chaînes de TLD faisant l'objet d'une candidature.
   • Formulation d'un plan visant à limiter les causes de fuite ; vous pourriez par exemple changer la racine de votre espace de noms privé afin d'utiliser un nom que vous avez enregistré dans le DNS mondial ou changer les systèmes affectés afin d'utiliser des FQDN.
   • Préparation des utilisateurs au changement imminent de l'utilisation des noms en les informant à l'avance ou en leur fournissant une formation.
   • Mise en œuvre d'un plan visant à atténuer toute éventuelle collision.
   • Poursuite du suivi de l'utilisation des anciens noms privés ainsi que de l'utilisation des nouveaux FQDN au niveau des serveurs de noms et sur le périmètre de votre réseau, et utilisation de ces données afin de limiter les causes que vous pourriez découvrir après avoir commencé à réduire les fuites.
4. Comment un gestionnaire de système doit-il lutter contre la collision de noms une fois qu'elle a été identifiée ? Les gestionnaires de systèmes détectant une erreur de système liée à une collision de noms sont encouragés à suivre les étapes suivantes :
   1. Signaler le problème à l'ICANN
      Les cas laissant raisonnablement croire à l'existence d'un dommage grave et avéré lié à une collision de noms doivent être signalés.
   2. Consulter le Guide pour l'identification et l'atténuation des collisions de noms pour les experts informatiques (version 1.1) [PDF, 476 KB] et mettre en œuvre les mesures qui y sont prévues.
   3. En apprendre davantage sur la collision de noms en consultant la page suivante : https://www.icann.org/namecollision.
   4. Diffuser les informations relatives à l'occurrence et à l'atténuation des collisions de noms dans leur entourage professionnel.

Le rôle de l'ICANN

5. Pourquoi l'ICANN est-elle impliquée dans l'atténuation des collisions de noms ? Les occurrences de collisions de noms ont fait l'objet d'un regain d'attention car de nombreuses nouvelles chaînes de domaines de premier niveau faisant l'objet d'une candidature via le programme des nouveaux gTLD de l'ICANN sont identiques à des noms utilisés dans d'autres systèmes de nommage, tels que les réseaux privés. L'objectif premier de l'ICANN est d'assurer la sécurité, la stabilité et la résilience d'Internet. La détermination du risque et de la gravité des éventuelles collisions de noms et la proposition de moyens permettant de réduire les risques revêtent à présent une grande importance.

   Dans une étude publiée en janvier 2013, le Comité consultatif sur la sécurité et la stabilité (SSAC) de l'ICANN a confirmé que certains espaces de noms privés étaient parfois coupables de « fuites » dans le DNS mondial (soit du fait d'une mauvaise configuration soit du fait de l'utilisation de logiciels obsolètes). Le Conseil d'administration de l'ICANN, son personnel et la communauté Internet se sont engagés à collaborer en matière de lutte contre la collision de noms. L'ICANN estime qu'il est de son devoir de faire tout son possible afin de minimiser l'impact potentiel des collisions et de proposer des conseils clairs à cet égard.

6. Quelles actions l'ICANN a-t-elle menées dans sa lutte contre la collision de noms ? L'ICANN a adopté plusieurs mesures afin de lutter contre la collision de noms. Elle a notamment commandé un rapport indépendant sur l'atténuation des collisions de noms, donné des avis aux experts informatiques à travers le monde sur la façon d'identifier et de gérer de manière proactive les fuites d'espaces de noms privés dans le DNS mondial, et mené une campagne de sensibilisation à la question des collisions de noms.

   Afin d'évaluer et d'atténuer le risque de collisions de noms entre le DNS mondial et d'autres systèmes de nommage, l'ICANN a mis en œuvre le cadre de gestion des risques liés aux collisions de noms de domaine, suite à des recommandations issues du rapport de l'étude 2 du projet d'analyse de la collision de noms,¹ tel que requis par le Conseil d'administration de l'ICANN le 7 septembre 2024.²

   Pour en savoir plus sur la façon dont l'ICANN a travaillé afin d'atténuer les collisions de noms, veuillez lire les documents suivants :

   • Rôle de l'ICANN dans la lutte contre la collision de noms
     Voir la liste de mesures adoptées par l'ICANN et la communauté Internet afin d'atténuer les collisions de noms.
   • Archives en matière de collisions de noms
     Consulter un compte rendu détaillé des discussions et idées relatives à la collision de noms, menées et échangées entre les membres de la communauté Internet et l'ICANN, remontant à 2010.

Interruption contrôlée et 127.0.53.53

7. Qu'est-ce que l'interruption contrôlée ? L'interruption contrôlée est une méthode de notification aux gestionnaires de systèmes ayant procédé à une configuration erronée de leur réseau (sciemment ou non) d'un cas de collision de noms, qui les aide à réduire les éventuels problèmes.

   L'interruption contrôlée vise à détecter les requêtes DNS défaillantes. Lorsqu'une requête défaillante est détectée, un registre prend une action « contrôlée » afin de prévenir tout dommage et d'avertir l'utilisateur qu'une correction est nécessaire. Cette action prend la forme d'une réponse à la requête DNS avec une adresse IP spéciale (127.0.53.53). Le terme « interruption » se réfère à une activité qui semblait fonctionner en dépit de la requête défaillante mais qui ne peut à présent plus fonctionner.

   Les gestionnaires de systèmes affectés par un registre de nouveaux gTLD effectuant une interruption contrôlée peuvent se trouver confrontés aux indicateurs suivants :

   • * 3600 IN MX 10 votre-dns-requiert-attention-immédiate.<TLD>.
   • * 3600 IN SRV 10 10 0 votre-dns-requiert-attention-immédiate.<TLD>.
   • * 3600 IN TXT « Votre configuration du DNS requiert une attention immédiate, voir https://icann.org/namecollision"
8. Qu'est-ce que 127.0.53.53 ? 127.0.53.53 est une adresse IPv4 spéciale qui apparaîtra dans les journaux du système afin d'avertir les gestionnaires de systèmes d'un éventuel problème de collision de noms, permettant ainsi un rapide diagnostic et l'adoption de mesures correctives. Le « 53 » est utilisé comme mnémonique afin d'indiquer un problème lié au DNS dû à l'utilisation du port de réseau 53 pour le service DNS. Les cas laissant raisonnablement croire à l'existence d'un dommage grave et avéré lié à une collision de noms doivent être signalés via le formulaire suivant : https://forms.icann.org/en/help/name-collision/report-problems. Pour en savoir plus sur la collision de noms, veuillez consulter la page suivante : https://www.icann.org/namecollision.
9. J'ai trouvé 127.0.53.53 (ou une autre indication) dans mes journaux du système, que dois-je faire à présent ? Les gestionnaires de systèmes confrontés à une erreur du système lié à la collision de noms sont encouragés à suivre les étapes suivantes :
   1. Signaler le problème à l'ICANN
      Les cas laissant raisonnablement croire à l'existence d'un dommage grave et avéré lié à une collision de noms doivent être signalés.
   2. Consulter le Guide pour l'identification et l'atténuation des collisions de noms pour les experts informatiques (version 1.1) [PDF, 476 KB] et mettre en œuvre les mesures qui y sont prévues.
   3. En apprendre davantage sur la collision de noms en consultant la page suivante : https://www.icann.org/namecollision.
   4. Diffuser les informations relatives à l'occurrence et à l'atténuation des collisions de noms dans leur entourage professionnel.

¹ Voir https://www.icann.org/en/system/files/files/ncap-study-2-report-05apr24-en.pdf.

² Voir https://www.icann.org/en/board-activities-and-meetings/materials/approved-resolutions-regular-meeting-of-the-icann-board-07-09-2024-en.