DNS4EU : l'UE accumule des listes de blocage sans jamais les utiliser — ce que les devs doivent savoir
DNS4EU : quand collecter des données devient un sport européen
Tu te souviens de l'engouement autour de DNS4EU ? L'Union Européenne lançait son propre resolver DNS, promis comme une alternative sérieuse aux services américains comme Google Public DNS et 1.1.1.1 de Cloudflare. L'idée : garder les requêtes DNS des Européens sur le sol européen, loin des lois américaines sur la vie privée.
Pas mal sur le papier.
Sauf que des chercheurs ont déterré un truc intéressant. Très intéressant même.
Le secret de polichinelle
DNS4EU accumule discrètement des listes de blocage liées au piratage. Ces fameuses listes que les tribunaux ordonnent auxFAI de mettre en place pour empêcherr l'accès aux sites de streaming illegaux. Des listes provenant de plusieurs pays membres.
La twist ? Ces listes ne servent absolument à rien.
Le resolver les stocke. Les garde au chaud. Mais ne les utilise jamais pour bloquer qui que ce soit.
Autrement dit : on sait que tu as demandé un domaine présent sur une liste de sites "indésirables". Mais on te laisse quand même accéder au contenu.
Pourquoi ça te concerne, toi développeur
Tu vas me dire : "Cool, ça me bloque pas, où est le problème ?"
Le problème est exactement là.
Tu es listé sans ton accord
Quand tu passes par DNS4EU, le service enregistre que ton adresse IP a interrogé des domaines figurants sur ces blocklists. Aucun blocage. Aucune action. Juste de la donnée collectée.
La question qui brûle : pourquoi diable garder des infos sur des requêtes qu'on n'utilise jamais ?
Pour les devs et les entreprises qui construisent des applications, c'est un signal d'alarme. Un service soutenu par des fonds publics qui collectionne des données comportementales "au cas où"… ça contredit tout ce qui rendait DNS4EU intéressant au départ.
La confiance en question
On fait confiance à nos fournisseurs DNS. On choisit entre rapidité, fiabilité, et politique de confidentialité. DNS4EU s'était positionné comme le choix "privacy-friendly" made in Europe.
Apprendre qu'il maintient des listes de sites "problématiques" — même non bloqués — change radicalement la donne. Qu'est-ce qui figure sur ces listes ? Des sites de streaming ? Des médias ? Du contenu politique ?
Tu ne le sauras jamais.
Le fonctionnement technique, simplement
Un resolver DNS a trois options quand il croise un domaine bloqué :
- Retourner la vraie IP → l'accès est autorisé
- Retourner NXDOMAIN → le domaine "n'existe pas"
- Retourner une IP sinkhole → redirection vers une page d'avertissement
DNS4EU semble faire le choix n°1. Pas de blocage. Mais la métadonnée reste.
what else, les alternatives ?
Pas de panique, le monde du DNS privacy ne se limite pas à DNS4EU. Voici des options qui restent clean :
- Cloudflare (1.1.1.1) — Le leader, politique de confidentialité solide
- Quad9 — Association à but non lucratif, blocage des malwares, pas de logging
- NextDNS — Filtrage personnalisable, politique de logging transparente
L'astuce : lis vraiment les politiques de confidentialité. Comprends ce qui est collecté — même si ça n'est jamais utilisé contre toi.
Le tableau d'ensemble
Ce que révèle l'affaire DNS4EU, c'est un réflexe bien de chez nous : dans les infrastructures internet "souveraines", collectionner de la donnée = avoir du pouvoir. Même quand cette donnée ne sert absolument à rien.
Pour toi qui développes des applications pour le marché européen, retiens ceci : la vie privée, c'est pas juste savoir où tes données sont stockées. C'est d'abord ce qui est collecté.
L'UE présentait DNS4EU comme le guardian européen face aux services américains. Mais entasser des blocklists sans les utiliser ? Ça ressemble davantage à une capacité de surveillance sans responsabilité.
Si tu construis pour l'Europe et que tu réfléchis à ton infrastructure DNS, choisis en connaissance de cause. Comprends ce que tes fournisseurs collectent. Questionne leurs pratiques. Et n'oublie jamais : les données qu'on ne partage pas peuvent quand même être des données qu'on garde.
Le plus ironique dans tout ça ? Un resolver DNS "privacy-focused" qui accumule des listes de sites juste pour… les avoir. Parfois, le plus révélateur dans une technologie, c'est pas ce qu'elle fait, mais ce qu'elle choisit de ne pas faire tout en récupérant l'info quand même.