CES 2023 : dappy, un projet français pour moderniser le DNS

Ça pourrait être de la blockchain, mais ça n’en est pas. Ou plutôt, ça n’en est plus. Telle est la réalité de dappy.

Le projet, porté par une start-up de la région toulousaine, fait partie de la délégation française au CES. En développement depuis 2018, il est récemment passé en prod. Sa nature : un protocole open source pour la gestion de noms de domaines.

dappy se pose en alternative au système actuel sur deux grands aspects. D’une part, en intégrant l’infrastructure à clés publiques (mécanisme des autorités de certification) au DNS. De l’autre, en décentralisant ce dernier, de l’attribution à la résolution des noms de domaines.

Le premier point s’inspire du protocole DANE (DNS-Based Authentication of Named Entities). Qui permet notamment aux propriétaires de nom de domaines d’imposer aux navigateurs leur propre source de confiance (et donc de contourner les autorités de certification).

Sur le deuxième volet, dappy exploitait, à l’origine, la plate-forme de smart contracts RChain… dont le développement a cessé en août 2022. Il a basculé sur une base PostgreSQL.

Cette dernière sert de base pour « distribuer la confiance » au sein des réseaux dappy. Elle stocke les noms de domaines et les identités TLS.
Une requête DNS (éventuellement sur HTTPS ; dappy est compatible avec le protocole DoH) qu’effectuent les clients n’aboutit qu’après qu’un certain nombre de membres l’ont validée.

Sur ce principe, le réseau devient potentiellement d’autant plus sécurisé qu’il gagne de membres. Et il élimine des risques inhérents à la structure « traditionnelle » du système DNS tels que l’empoisonnement de cache, le piratage de registres ou les mauvaises manipulations d’autorités de certification.

dappy, sans blockchain mais pas sans permissions

Le fonctionnement du système DNS a joué sur la décision de ne pas opter pour une blockchain. Dans ce type de système, certaines ressources n’interagissent effectivement jamais. À titre d’exemple, une opération qui modifierait l’enregistrement TLS d’un domaine x n’aurait pas besoin d’être strictement ordonnée par rapport à une autre transaction ajoutant un A-Record (association d’adresse IP) à un domaine y.

Un tel paradigme autorise à paralléliser les traitements ; ce qui est plus simple à réaliser sans blockchain, en particulier pour les clients « légers ». Pour ce qui est du choix d’un système avec permissions, il est lié notamment au fonctionnement des navigateurs, qui ont besoin d’une liste « finie » de racines de confiance. Sur les réseaux dappy, chaque membre a effectivement le même « poids ».

En conséquence, le système n’utilise pas de tokens. Cela permet d’éliminer les frais de gaz pour toutes les opérations sur les noms de domaines. Le modèle économique est ailleurs : l’incitation à participer aux réseaux provient de la répartition – égalitaire – des coûts de réservation de noms de domaines.

Pour le moment, une seule possibilité de paiement : en fiat, par carte bancaire. Non pas qu’une passerelle fondée sur un stablecoin soit inenvisageable, mais elle n’est pas pour le moment à l’ordre du jour, pour une question de simplicité d’utilisation. Cela implique un certain degré de centralisation, les membres d’un réseau étant amenés à faire confiance à l’un d’entre eux en tant qu’émetteur des noms de domaines (mais qui ne possède toutefois pas les clés privées associées).

Compte tenu de ses différences avec le système actuel, dappy a choisi un TLD spécifique (.d). Cela devrait simplifier l’intégration du protocole dans les navigateurs. Le projet propose le sien, fondé sur Chromium et utilisable en marque blanche.

Illustration principale © Duc Dao – Shutterstock