Le fournisseur DNS Quad9 qualifie les injonctions de blocage du piratage de « menace existentielle »

 (torrentfreak.com)
4 points par GN⁺ 2025-11-12 | 1 commentaires | Partager sur WhatsApp
  • Le résolveur DNS suisse à but non lucratif Quad9 avertit que les injonctions d’un tribunal français visant à bloquer des sites de streaming illégaux menacent directement la pérennité même de son service
  • Il souligne que de grandes entreprises comme Google, Cloudflare et Cisco peuvent absorber les coûts juridiques et techniques, alors qu’une petite organisation à but non lucratif ne peut pas supporter la même charge
  • Quad9 explique qu’en raison d’un manque de moyens financiers, il a récemment décidé de ne pas comparaître directement dans une procédure devant un tribunal français, et qu’il n’a eu d’autre choix que d’appliquer le blocage à l’échelle mondiale
  • Alors que les ayants droit reportent la responsabilité sur des fournisseurs d’infrastructure neutres (FAI, VPN, DNS), c’est la structure de base même d’Internet (plumbing) qui se retrouve endommagée
  • Cette pression juridique risque d’affaiblir l’ouverture, la confidentialité et la nature distribuée d’Internet, et à terme de conduire à une centralisation autour d’un petit nombre de grandes entreprises

Les injonctions de blocage du piratage et la crise de Quad9

  • Le résolveur DNS suisse à but non lucratif Quad9 a récemment déclaré sur son blog que les injonctions de blocage de sites pirates constituaient une « menace existentielle » pour son service
    • Il indique que les grandes entreprises technologiques peuvent intégrer les coûts juridiques et d’ingénierie dans leurs frais d’exploitation, mais qu’une petite organisation à but non lucratif ne peut pas assurer le même niveau de défense
  • Dans le litige devant la justice française, Quad9 a renoncé à se défendre lui-même en raison de ses limites financières, ce qui l’a placé dans une situation où il a dû appliquer les blocages au niveau mondial
  • L’affaire a commencé en mai 2024, lorsque le tribunal judiciaire de Paris a ordonné à Google, Cloudflare et Cisco de bloquer l’accès à plusieurs sites de streaming sportif illégaux
    • Par la suite, d’autres ayants droit comme DAZN et beIN ont formulé des demandes similaires, élargissant la cible à davantage de fournisseurs DNS comme Quad9 et Vercel

« Casser la plomberie d’Internet »

  • Quad9 estime que les ayants droit ne visent pas directement les contrevenants, mais font peser la responsabilité sur des opérateurs d’infrastructure neutres comme les FAI, VPN et fournisseurs DNS
    • De telles mesures ont un impact direct sur les fournisseurs de l’infrastructure centrale d’Internet
  • Quad9 affirme que ce ne sont pas les plateformes qui tirent profit de l’infraction qui sont attaquées, mais les fournisseurs d’infrastructure neutres qui permettent à Internet de fonctionner
  • Après les mesures de blocage en France, Cisco a décidé de se retirer du marché français, montrant que les effets concrets sont déjà visibles
  • Google et Cloudflare peuvent techniquement limiter le blocage au seul territoire français, mais Quad9 n’a pas la capacité de le faire et a dû appliquer le blocage dans le monde entier

La position des tribunaux français et les questions soulevées par Quad9

  • Les tribunaux français ont jugé ces injonctions de blocage légitimes, et même si certains appels sont en cours, rien n’indique pour l’instant un renversement de cette position
  • Quad9 estime qu’un débat de fond est nécessaire sur les principes fondamentaux d’Internet et les limites de la responsabilité, et pose plusieurs questions
    • « Une infrastructure technique neutre doit-elle être tenue responsable des actes d’autrui ? »
    • « Jusqu’où les tribunaux nationaux peuvent-ils appliquer leur droit à un réseau mondial ? »
    • « Une petite organisation à but non lucratif peut-elle assumer des obligations juridiques conçues de fait pour des entreprises mondiales ? »
    • « Que deviennent la confidentialité et la résilience si seules quelques grandes entreprises peuvent satisfaire aux obligations légales ? »
    • « À partir de quand la conformité juridique devient-elle une censure de fait ? »

Une menace ravivée après le contentieux allemand

  • Quad9 avait déjà remporté par le passé un long contentieux en Allemagne contre Sony, mais cette affaire française fait réapparaître une menace existentielle pour l’organisation
  • Quad9 avertit que ces procédures de blocage risquent d’affaiblir l’ouverture, la confidentialité et la nature distribuée d’Internet, et de conduire finalement à un Internet centralisé autour d’un petit nombre de grandes entreprises capables d’assumer les coûts juridiques

À lire aussi

1 commentaires

 
GN⁺ 2025-11-12
Avis sur Hacker News

  • J’ai vu l’annonce indiquant que l’OpenDNS de Cisco avait été bloqué en France et au Portugal sur décision de justice, puis rétabli ensuite au Portugal
    C’est admirable que Quad9 veuille lutter contre la censure, mais ils finiront probablement eux aussi par devoir bloquer les demandes françaises
    Je me demande s’il ne vaudrait pas mieux rediriger les utilisateurs vers une page de redirection expliquant la situation et indiquant les coordonnées des responsables gouvernementaux

    • D’après l’article, Google et Cloudflare disposent d’une technologie de géorestriction leur permettant d’appliquer le blocage uniquement en France, alors que Quad9 ne le peut pas et a donc appliqué le blocage à l’échelle mondiale
      Je me demande quel est le coût et la complexité pour un résolveur DNS public de mettre en place une telle géorestriction
    • Bloquer un pays entier risque au final de devenir une véritable menace existentielle

  • En déboguant un problème de connexion sur le site web d’une banque, j’ai découvert que le DNS de Quad9, contrairement à Google ou Cloudflare, ne renvoyait qu’une partie des enregistrements A
    En testant avec la commande dig, Google et Cloudflare me donnent 6 IP, tandis que Quad9 n’en donne qu’une seule
    Je me demande si c’est simplement une différence de routage géographique ou s’il y a une autre raison

    • Moi aussi, j’utilisais Quad9 comme DNS par défaut à la maison, mais depuis environ 11 jours les requêtes ne partaient plus du tout, ce qui m’a fait soupçonner un blocage d’IP. Je suis passé à Quad1 pour l’instant
    • J’ai vu les trois DNS ne renvoyer qu’une seule IP. Google utilise EDNS0 client subnet pour faire du géociblage basé sur l’IP du client
      On peut le vérifier avec la commande dig -t txt o-o.myaddr.l.google.com @8.8.8.8
    • J’ai essayé d’aimer Quad9, mais je suis finalement revenu à Cloudflare à cause des erreurs SERVFAIL trop fréquentes dans le Nord-Est
    • Google utilise EDNS et du load balancing, donc ce n’est pas un bon choix pour les tests. Il vaudrait mieux refaire l’essai avec un domaine disposant de plusieurs IP fixes
    • Fait intéressant, moi aussi j’ai reçu une IP unique différente avec chacun des trois DNS

  • Plusieurs FAI allemands ont désormais abandonné le combat et ont commencé à pratiquer une censure directement au niveau du DNS
    On peut voir des informations à ce sujet sur le site de la CUII

    • Au Japon aussi, le Cabinet du Premier ministre avait envisagé en 2018 un blocage DNS des sites pirates, mais cela avait échoué face à l’opposition de la communauté technique
      Ils discutent maintenant du blocage des sites de casinos en ligne
      Références : compte rendu de réunion du gouvernement, communiqué du NIC
    • C’est précisément dans ce genre de situation qu’il est important d’exploiter son propre résolveur avec Unbound. Pas besoin de dépendre d’un DNS centralisé
    • En réalité, cette auto-censure existait déjà depuis longtemps. C’était déjà le cas à l’époque de The Pirate Bay

  • J’espère que la Suisse ne signera pas l’an prochain l’accord qu’elle veut conclure avec l’UE
    Ce texte de plus de 8 000 pages contient une obligation de conformité à la réglementation européenne sur le droit d’auteur, ce qui pourrait faire disparaître la liberté actuelle de téléchargement
    Quelle que soit son orientation politique, je pense que c’est une mauvaise affaire pour tout le monde

  • J’utilise Mullvad DNS et j’en suis plutôt satisfait
    Spécifications de Mullvad DNS

    • Je ne savais pas que Mullvad DNS était public. Merci pour l’info
      En ce moment, je teste aussi DNS4EU
    • Je l’utilise aussi en secours, mais c’est très lent
      À noter que Wikimedia DNS est également proposé comme service public : Wikimedia DNS
    • Dans mon cas, j’obtiens en moyenne 350 ms de latence. Capture d’écran du test de vitesse
    • Mullvad DNS a souvent eu des temps d’indisponibilité. Il y avait des pannes presque tous les jours, même si le VPN lui-même reste excellent

  • S’attaquer aux résolveurs DNS ressemble à une victoire facile
    Si un site est réellement illégal, il faudrait essayer de faire saisir le domaine via l’ICANN. Mais comme c’est difficile à prouver, on dirait qu’ils préfèrent faire pression sur les résolveurs DNS

    • Une saisie de domaine via l’ICANN devrait s’appliquer à l’échelle mondiale, ce qui rend difficile la prise en compte des différences juridiques entre pays
      Il faudrait une structure permettant à chaque pays de conserver sa propre liste de blocage
    • Mais l’ICANN n’a en réalité ni l’autorité ni le mécanisme pour saisir directement un domaine
      Elle peut seulement aller jusqu’au retrait d’accréditation en cas de violation du contrat par un registrar

  • Ironiquement, la dynamique actuelle d’Internet décentralisé ne naît pas pour des raisons idéales, mais comme une réaction à la censure autoritaire

    • Ironiquement, l’une des vertus originelles de la décentralisation est précisément la résistance à la censure
    • Pour moi, la résistance à la censure est la valeur centrale de la décentralisation
    • Raison, liberté et résistance à la censure sont précisément les vertus que nous devons préserver

  • Je me demande si Quad9 exploite un résolveur avec DNSSEC activé mais sans blocage de malwares
    Il est arrivé plusieurs fois que des domaines parfaitement légitimes soient bloqués temporairement

    • Malheureusement, cette combinaison n’existe pas. 9.9.9.10 est une version sans DNSSEC et sans blocage de malwares

  • Je me demande si les serveurs DNS racine pourraient être censurés ou modifiés sur décision de justice
    Je les imaginais inviolables, mais je me demande ce qu’il en est en pratique

    • À moins que les États-Unis ne tentent directement une censure, je pense qu’ils s’y opposeraient fermement
      Il vaudrait mieux développer des alternatives comme DNS-over-Tor ou DNS-over-DHT, et généraliser les services onion de Tor
    • Les serveurs racine ne sont pas totalement à l’abri, mais si la validation DNSSEC échoue, cela produit un SERVFAIL et le client réessaie avec un autre serveur racine
      Par conséquent, cela n’aurait aucun effet à moins que tous les serveurs racine soient modifiés en même temps
      Référence : statistiques DNSSEC
    • Les serveurs racine ne stockent pas les véritables enregistrements de domaine, ils indiquent seulement l’emplacement des registres
      Donc, pour qu’une censure ait lieu, le blocage doit se produire au niveau du registre
    • Comme dans le cas suédois, lorsqu’un registre reçoit une décision de justice, il peut traiter cela en transférant le domaine à la police
      Mais comme il n’existe pas vraiment de notion de « destruction permanente d’un domaine », la définition même du blocage reste floue

  • J’exploite mon propre serveur de noms
    Tant que les serveurs racine ne sont pas compromis, le blocage DNS ne pose aucun problème
    En préchargeant les 5 000 domaines les plus populaires dans le cache, les temps de réponse sont aussi plus rapides

    • En pratique, ce sont moins les serveurs racine que les registres TLD/2LD qui constituent le cœur du blocage
      Faire tourner son propre serveur DNS de contenu racine rend presque immunisé contre ce type d’attaque
    • Bien sûr, sur certains réseaux domestiques, le blocage du port 53 peut empêcher ce genre de tentative