Résumé
- Le DNS inverse est une chaîne de délégation, et non un enregistrement qu’un détenteur d’adresse peut rendre visible globalement par lui-même. Un détenteur peut continuer à servir des enregistrements PTR sur ses serveurs faisant autorité, mais les résolveurs ne les trouveront pas si le parent cesse de référer les requêtes vers ces serveurs.
- La perte d’une délégation inverse diffère de la perte d’une route IP. Les paquets peuvent toujours atteindre le réseau, tandis que les systèmes de réception de courrier, les centres de traitement des abus, les systèmes de surveillance et les opérateurs humains perdent un signal de correspondance adresse-nom sur lequel ils comptent.
- L’effet sur le courrier est concret mais non universel. Gmail exige un DNS direct et inverse valides pour les adresses d’envoi et publie des codes d’échec temporaires et permanents pour les données PTR absentes ou non concordantes. D’autres systèmes de réception accordent un poids différent à la même preuve.
- Supprimer une délégation constamment boiteuse peut protéger les utilisateurs du DNS. La procédure publiée par l’APNIC distingue une défaillance temporaire d’une défaillance persistante, envoie des notifications répétées et permet le rétablissement en retirant un marqueur administratif. Cela constitue un modèle d’action raisonnée et réversible, et non un argument en faveur d’une suspension arbitraire.
- La pratique des registres montre déjà que le DNS inverse n’est pas nécessairement lié à l’adhésion payante. L’APNIC décrit un service pour les membres et les non-membres détenant de l’espace d’adressage; les documents du RIPE NCC et d’AFRINIC maintiennent le service inverse pour des détenteurs patrimoniaux spécifiques sans contrat d’adhésion ordinaire.
- Un retour, un transfert ou une révocation définitive de ressources numériques peut justifier un changement au niveau du parent. Une facture contestée, un contact obsolète, une alerte de sanctions ou un statut d’entreprise litigieux ne devraient pas produire le même résultat immédiat sans une décision d’autorité distincte et une évaluation de la continuité.
- Un régime proportionné publierait les motifs, associerait chaque action proposée aux zones concernées, utiliserait une notification et un délai de correction lorsque la sécurité le permet, préserverait un canal de rétablissement d’urgence et enregistrerait l’état technique exact avant et après un changement.
- La Société des ressources numériques peut comparer les règles régionales, maintenir des méthodes de test et représenter les petits détenteurs cherchant une procédure régulière. Elle ne peut pas se faire le parent autoritaire, certifier un droit ou inférer un préjudice global à partir d’un petit nombre d’incidents.
La route est active, mais le nom a disparu
Imaginez une petite société d’hébergement dont le bloc d’adresses est toujours annoncé via deux fournisseurs de transit. Les sites web de ses clients se chargent. Son service DNS direct faisant autorité continue d’associermail.exampleà la bonne adresse. Son serveur SMTP présente le nom attendu et signe les messages sortants avec DKIM. Puis la livraison vers un grand fournisseur de messagerie commence à ralentir. Certains messages reçoivent une erreur temporaire; d’autres sont rejetés. Une requête de diagnostic pour l’adresse d’envoi ne retourne aucune réponse PTR car la zone inverse n’est plus déléguée par son parent.
Dans cette séquence, rien n’exige un retrait BGP. Les serveurs de DNS inverse du registre ne se trouvent pas sur le chemin emprunté par le paquet de courrier. Ils répondent à une autre question: quels serveurs de noms font autorité pour la partie dein-addr.arpaouip6.arpacorrespondant aux adresses du détenteur? Si le renvoi disparaît, les résolveurs récursifs n’ont aucun chemin ordinaire vers les données PTR. Le détenteur peut conserver une zone impeccable sur des serveurs accessibles et rester inaudible pour la hiérarchie DNS publique.
C’est ce qui rend la suspension du DNS inverse silencieuse. Une panne de route est voyante. Les alarmes de surveillance réseau se déclenchent, les traceroutes s’arrêtent et les clients se plaignent immédiatement. Un renvoi manquant produit des conséquences sélectives. Un système de réception peut rejeter le courrier, un autre peut le placer dans les indésirables, un troisième peut l’accepter parce que des authentifications plus robustes réussissent. Un analyste anti-abus peut voir une adresse nue au lieu d’un nom d’opérateur. Une tâche d’enrichissement de journaux peut ralentir en attendant une réponse négative.
Le réseau n’est pas uniformément hors ligne, mais sa crédibilité opérationnelle a été réduite.
Le mot sanction décrit donc l’effet, pas nécessairement l’intention. Un registre peut retirer une délégation parce qu’elle est techniquement défaillante, parce que le détenteur a rendu les adresses, parce qu’un compte a été résilié ou parce que le personnel estime qu’une instruction légale l’exige. Ces motifs ne sont pas moralement ou opérationnellement équivalents. La gouvernance commence par refuser de les réduire à un simple commutateur générique d’état de compte.
Un enregistrement PTR dépend de plusieurs autres institutions
La correspondance inverse utilise la hiérarchie DNS dans un ordre visuel inhabituel. Pour IPv4, les octets d’une adresse sont inversés sousin-addr.arpa; pour IPv6, les quartets hexadécimaux sont inversés sousip6.arpa. Les noms qui en résultent permettent à un résolveur de demander des enregistrements PTR qui associent des adresses à des noms de domaine. La RFC 5855 décrit ces zones comme une infrastructure dont de nombreuses applications dépendent pour obtenir des réponses en temps voulu, tandis que l’IANA les identifie comme des branches techniques de.arpa.
Le détenteur est normalement responsable du contenu de sa zone inverse enfant. Il choisit les noms PTR, exploite ou se procure des serveurs faisant autorité et maintient les enregistrements directs nécessaires à une recherche de correspondance. Mais le détenteur n’écrit pas directement dans la vue de chaque résolveur. Une zone parent contient des enregistrements NS qui renvoient l’enfant vers ces serveurs faisant autorité. Lorsque DNSSEC est utilisé, le parent peut également publier des enregistrements DS reliant la clé de signature de l’enfant à la chaîne de confiance.
Au-dessus d’un détenteur type se trouve un RIR ou un fournisseur amont. Le RIR a lui-même reçu l’autorité correspondante sur la zone inverse pour l’espace d’adressage alloué par l’IANA. La documentation du RIPE NCC indique que l’IANA délègue les zones correspondantes pour les blocs qu’elle alloue au registre. L’APNIC explique la même chaîne de requêtes, depuis la racine DNS jusqu’à un serveur du RIR, puis vers les serveurs de noms désignés par le réseau ou le détenteur. AFRINIC décrit ses serveurs comme fournissant des renvois lorsque les informations sur les serveurs de noms du détenteur sont enregistrées.
Les limites d’allocation et de DNS ne coïncident pas toujours parfaitement. Les délégations IPv4 inférieures à un /24 nécessitent des techniques telles que l’approche basée sur CNAME documentée dans la RFC 2317, laissant souvent le fournisseur avec des enregistrements continus dans une zone parent. L’espace enregistré anciennement peut impliquer une gestion partagée ou des fragments de zone. La convention de délégation IPv6 suit les frontières en quartets, mais les arrangements opérationnels peuvent encore impliquer des fournisseurs et des clients à plusieurs niveaux.
Le fait institutionnel important demeure malgré ces variations: l’enfant ne peut pas obliger le parent à lui référer les requêtes.
Le contrôle est distribué, mais la dépendance est hiérarchique. L’IANA ne peut pas inventer les noms PTR du détenteur. Le RIR n’héberge généralement pas la zone du détenteur. Le détenteur ne peut pas publier son propre renvoi parent. Chaque acteur a un rôle technique plus restreint; une défaillance ou un refus à une seule de ces frontières peut modifier la réponse publique.
Le courrier transforme un signal DNS optionnel en condition d’accès
Aucune norme Internet n’exige que chaque système de réception de courrier rejette un expéditeur sans enregistrement PTR. Cet avertissement est important. Le DNS inverse n’est ni une preuve d’intention bénigne ni un substitut à SPF, DKIM et DMARC. Les attaquants peuvent obtenir des noms plausibles, les systèmes compromis peuvent hériter d’un excellent DNS et un nouveau serveur légitime peut être mal configuré. La politique de réception reste locale.
Pourtant, la politique locale d’un très grand système de réception peut fonctionner comme une exigence de marché. Les recommandations actuelles de Google pour les expéditeurs exigent que l’adresse publique d’un serveur SMTP d’envoi dispose d’un enregistrement PTR et que le nom d’hôte résultant se résolve en direct vers cette adresse. Son catalogue d’erreurs publié inclut la limitation temporaire de débit et le blocage permanent pour l’absence de PTR ou un enregistrement direct qui ne renvoie pas vers l’adresse. Cela ne signifie pas que chaque livraison Gmail échoue après chaque interruption du DNS inverse.
Cela établit un chemin direct et documenté entre les données inverses et les décisions d’acceptation du courrier.
La documentation de support de Microsoft illustre la même attente opérationnelle sous un autre angle. Elle décrit des destinataires qui rejettent le courrier lorsque le nom d’hôte source et l’adresse ne correspondent pas et note que les adresses d’envoi de Microsoft 365 disposent d’un DNS inverse confirmé en direct. Microsoft conseille également que les serveurs de courrier source aient des entrées PTR et que l’identité HELO ou EHLO soit cohérente avec le nom inverse. Là encore, les implémentations et les politiques de réception diffèrent. Il s’agit d’une preuve de dépendance, pas d’un algorithme universel.
La distinction entre un renvoi NS et un enregistrement PTR est cruciale pour diagnostiquer la conséquence. Un détenteur peut avoir un PTR correct dans le fichier de zone mais perdre le renvoi qui permet aux résolveurs publics de l’atteindre. Pour le système de réception, le résultat peut ressembler à un PTR manquant. Rétablir l’enregistrement enfant ne fait rien parce qu’il n’a jamais disparu; le remède doit intervenir à la frontière du parent.
Une équipe de support concentrée uniquement sur le serveur de courrier peut passer des heures à changer des clés ou à modifier les paramètres de réputation, tandis que l’état déterminant réside dans une zone générée par le registre.
Le DNS inverse interagit également avec les délais. Les renvois en cache et les réponses négatives ont des valeurs de durée de vie (TTL). La génération de zone faisant autorité et le rafraîchissement mondial des résolveurs ne sont pas instantanés. L’APNIC indique que ses zones inverses sont générées à partir des informations de la base de données à intervalles réguliers, et qu’un délai supplémentaire est nécessaire pour que les données en cache soient mises à jour. Une brève interruption au niveau du parent peut donc perdurer au-delà de l’événement administratif qui l’a provoquée.
Le temps de rétablissement doit inclure la convergence DNS et la réévaluation par le système de réception, et pas seulement le moment où un portail affiche à nouveau un objet actif.
Les répercussions vont au-delà du courrier
La RFC 8501 énumère les utilisations courantes des recherches PTR dans un contexte IPv6: rejet du courrier, publicité ou géolocalisation approximative, heuristiques d’acceptation SSH, journaux, traceroute et découverte de service. Le document critique certaines déductions, en particulier l’idée que la présence d’un PTR prouve la compétence d’un administrateur. Son scepticisme est utile. Un signal faible peut encore être intégré dans les outils et les habitudes opérationnelles, même lorsque l’inférence qui en est tirée est contestable.
Les équipes d’exploitation nomment les interfaces des routeurs de manière à ce qu’un traceroute montre la géographie, le rôle ou le lieu de peering. Les intervenants en cas d’incident enrichissent les adresses dans les journaux pour reconnaître des schémas d’infrastructure. Les centres de traitement des abus comparent les noms inverses, les adresses directes, les informations d’enregistrement et l’authentification des messages lors du tri des signalements. Aucune de ces pratiques ne fait des données PTR une preuve d’autorité de propriété.
Perdre ces données augmente néanmoins le coût des enquêtes et peut faire paraître anonyme un réseau en fonctionnement.
Certains services réseau effectuent des vérifications inverses et directes avant d’accorder l’accès, d’ajouter une bannière, de sélectionner une politique ou d’écrire un nom dans une piste d’audit. Une conception de sécurité raisonnable ne devrait pas bloquer une connexion légitime uniquement parce qu’une recherche PTR expire. De nombreux systèmes déployés sont moins disciplinés. Un changement de zone parent peut donc créer de la latence, un traitement différent ou un refus pur et simple dans des systèmes que le détenteur ne contrôle pas.
L’effet est asymétrique. Un grand fournisseur de messagerie cloud peut déplacer le trafic sortant vers des adresses déjà préparées. Un petit réseau municipal, un point d’échange local, un hébergeur indépendant ou une institution de recherche peuvent avoir un ensemble d’adresses restreint, lié à des contrats, des listes d’autorisation et un historique de réputation. Changer l’adresse d’envoi pour échapper à un problème de DNS inverse peut invalider les listes d’autorisation des clients, nécessiter une nouvelle portée SPF, perdre la réputation accumulée et perturber la géolocalisation.
L’alternative nominale existe, mais son coût n’est pas réparti équitablement.
C’est pourquoi un registre ne peut pas évaluer l’impact uniquement en vérifiant si le préfixe est toujours joignable. La carte des services pertinents comprend l’acceptation du courrier, l’administration à distance, l’observabilité, le traitement des abus et le temps nécessaire pour déplacer les identités. Une décision proportionnée doit identifier ces dépendances avant de traiter la délégation inverse comme une fonction détachable du compte.
Tous les retraits ne sont pas des sanctions
Il existe des raisons valables de supprimer ou de modifier une délégation inverse. Si les serveurs de noms listés ne répondent plus avec autorité, le parent continue d’orienter les requêtes vers une destination morte ou incorrecte. Cela génère du trafic inutile, des retards et des données erronées. Si des adresses ont été rendues ou transférées, l’ancien détenteur ne devrait pas conserver le contrôle de leur identité inverse. Si une clé privée est compromise, un enregistrement DS peut nécessiter un changement urgent.
Si un tribunal détermine qu’une entité n’a jamais eu autorité sur les ressources, maintenir sa délégation peut nuire au détenteur légitime.
La réponse publiée par l’APNIC aux délégations inverses constamment boiteuses montre comment une raison technique peut se traduire en une procédure mesurée. L’APNIC teste une délégation suspecte pendant une certaine période. Après 15 jours sans résolution réussie, elle considère la condition comme persistante, puis entame une période de notification de 45 jours. Elle contacte à plusieurs reprises les contacts administratifs et techniques enregistrés et peut rechercher d’autres moyens de contact. Si le défaut persiste, un marqueur administratif provoque le retrait.
Le détenteur peut retirer le marqueur par les procédures ordinaires de la base de données et rétablir le service.
Les délais exacts relèvent de la procédure de l’APNIC; ils ne constituent pas un minimum global ni une prédiction pour chaque rétablissement. Leur valeur institutionnelle réside dans la séparation. Une défaillance temporaire n’est pas assimilée à une défaillance persistante. Le registre énonce le défaut technique, le teste, notifie la partie capable de le corriger et maintient un chemin réversible. Le retrait est lié à la qualité du DNS, plutôt qu’utilisé comme une réponse indirecte à un désaccord sans rapport.
AFRINIC décrit également une attention automatisée aux délégations boiteuses et leur suppression lorsque les problèmes persistants ne sont pas corrigés conformément à sa politique. Les exigences techniques de l’IANA pour les zones qu’elle gère utilisent des vérifications de base telles que plusieurs serveurs faisant autorité, l’accessibilité en UDP et TCP, des réponses faisant autorité, la diversité réseau et la cohérence entre parent et enfant. Ces vérifications protègent la stabilité du DNS.
Elles montrent aussi pourquoi un refus nécessite une raison lisible: l’opérateur devrait pouvoir dire si l’objection est un test technique échoué, un différend d’autorisation ou une sanction de compte.
Un argument en faveur de la continuité ne doit pas devenir un argument en faveur de mauvaises délégations éternelles. Maintenir indéfiniment un renvoi manifestement boiteux impose un coût aux résolveurs et aux utilisateurs. Maintenir un ancien détenteur aux commandes après un transfert effectif sape l’intégrité du registre. Le principe est plus restreint: utilisez l’action sur le DNS inverse pour une raison liée au DNS inverse ou à une autorité sur la ressource finalisée, et adaptez la rapidité et le remède au risque.
L’adhésion et l’autorité inverse ne sont pas la même chose
Les RIR sont, selon les combinaisons, des institutions fondées sur l’adhésion, des fournisseurs de services, des lieux de politique et des dépositaires des données d’enregistrement. Il est administrativement tentant de représenter toutes ces relations par une valeur d’état unique. Les membres actifs reçoivent des services; les membres inactifs n’en reçoivent pas. Mais un renvoi DNS répond à la question de savoir qui doit exploiter une zone pour des adresses, et non si le vote d’une assemblée annuelle ou une facture est à jour.
La pratique régionale publiée montre que les deux questions peuvent être séparées. L’APNIC dit fournir des services de délégation inverse aux membres et aux non-membres qui détiennent de l’espace d’adressage. La matrice du RIPE NCC pour les ressources patrimoniales indique que le DNS inverse est disponible pour les détenteurs patrimoniaux avec adhésion, par l’intermédiaire d’un registre sponsorisant, ou sans relation formelle. AFRINIC déclare qu’il maintiendra les délégations inverses fonctionnelles pour les ressources patrimoniales enregistrées dans sa base de données, même si ces détenteurs n’ont pas de contrat avec lui.
Ces politiques diffèrent dans le détail et peuvent changer, mais elles réfutent l’affirmation selon laquelle l’adhésion payante est techniquement nécessaire pour chaque renvoi inverse.
L’ARIN illustre la frontière la plus stricte. Ses documents publics de facturation actuels indiquent qu’après qu’une facture a atteint un stade spécifié, il cesse les services, et à un stade ultérieur, il peut résilier l’accord d’enregistrement, révoquer les ressources couvertes et les retourner pour réémission. Son accord d’enregistrement inclut le service de noms inverses parmi les services du registre. Si les adresses ont été définitivement révoquées et sont disponibles pour un nouveau bénéficiaire, l’ancienne délégation inverse ne peut manifestement pas subsister.
La question de gouvernance concerne l’intervalle avant cette finalité, l’exactitude de la détermination sous-jacente et la disponibilité de la réintégration.
On ne doit pas tirer un simple classement régional de ces documents. Les ressources patrimoniales et postérieures au registre peuvent avoir des histoires juridiques différentes. Un service non-membre peut toujours exiger une authentification et des contacts exacts. Une institution fondée sur l’adhésion peut financer les opérations centrales du registre par des frais. Une perte définitive des droits sur les ressources a des conséquences différentes d’une suspension temporaire de service.
La comparaison utile est fonctionnelle: quels services doivent changer immédiatement, lesquels peuvent continuer en toute sécurité pendant la correction ou l’appel, et quelles preuves établissent le point de non-retour?
Un registre peut maintenir le DNS inverse pendant un litige de facturation sans concéder que les frais sont optionnels. Il peut imposer des intérêts, restreindre la formation ou les droits de vote, refuser de nouvelles allocations, suspendre des fonctions non essentielles du portail ou engager un recouvrement contractuel. Ces mesures ciblent la relation en cause. Le retrait du renvoi inverse affecte les communications de tiers et peut être plus difficile à inverser proprement que le solde d’un grand livre de compte.
Le danger du commutateur d’état maître
Les systèmes de registre modernes favorisent l’automatisation. Un seul enregistrement de compte peut alimenter la publication dans l’annuaire, la génération de zones inverses, les services de certificats, les autorisations de tickets et la facturation. L’automatisation réduit le travail manuel incohérent et accélère les transferts légitimes. Elle peut aussi transformer une classification contestée en plusieurs conséquences infrastructurelles avant qu’un humain ne comprenne le graphe de dépendances.
Supposons qu’une fusion d’entreprise laisse une facture attachée à un ancien nom juridique. Le personnel marque le compte comme inactif en attendant des documents. Si le même état pilote la génération de la zone inverse, l’ensemble NS peut disparaître alors que les adresses restent enregistrées au nom de l’entreprise opérationnelle et que les serveurs de noms sont en bon état. L’événement est cohérent en interne: inactif signifie pas de service. En externe, il transforme une incohérence administrative en dégradation du courrier.
Ou prenons le cas d’une alerte de filtrage de sanctions. Un nom ressemble à une entité listée, mais la propriété et la juridiction nécessitent un examen. Une équipe de conformité peut avoir besoin de geler immédiatement les transferts ou les nouvelles activités contractuelles. Il ne s’ensuit pas que les renvois inverses existants doivent disparaître avant que la correspondance ne soit confirmée. Leur suppression peut affecter des clients, des services publics et des contreparties qui ne font pas l’objet de l’alerte.
Lorsque la loi exige une action, le personnel doit documenter l’obligation spécifique et choisir la mesure conforme la moins perturbatrice, plutôt que de recourir à un gel indifférencié du compte.
Le même problème apparaît dans les litiges judiciaires. Une ordonnance provisoire peut préserver le statu quo, ordonner un changement particulier ou être muette sur le DNS. La transposer nécessite un jugement juridique et une correspondance technique. Un bouton de suspension générique peut faire plus que ce que l’ordonnance exige. Inversement, refuser d’agir après un jugement de transfert définitif peut laisser la mauvaise partie contrôler l’identité. La sauvegarde n’est pas la paralysie; c’est un enregistrement de décision reliant l’autorité, la portée de la ressource, l’action DNS et le plan de continuité.
Les systèmes devraient donc maintenir des états distincts pour la situation contractuelle, l’adhésion avec droit de vote, l’autorité d’enregistrement, la délégation de DNS inverse, la certification de route et les services optionnels. Les dépendances devraient être explicites plutôt que cachées dans un seul champ booléen. Une transition d’état proposée devrait produire un aperçu de l’impact énumérant les zones, les modifications NS et DS, le temps de publication prévu et les étapes de rétablissement. L’automatisation peut alors imposer une meilleure gouvernance au lieu de simplement accélérer l’hypothèse la plus faible.
La proportionnalité est une discipline opérationnelle
La proportionnalité peut sembler une abstraction juridique. Dans ce contexte, elle peut être mise en œuvre comme une séquence de décision. Identifiez d’abord l’objectif légitime: réparer une délégation boiteuse, achever un retour de ressource, protéger une clé compromise, se conformer à une loi contraignante ou faire respecter un contrat. Demandez-vous ensuite si le changement de la zone parent est lié à cet objectif. Enfin, demandez-vous si une mesure moins perturbatrice peut l’atteindre pendant que les faits contestés sont examinés.
Pour une défaillance technique, la voie proportionnée ressemble à des tests persistants, des diagnostics clairs, une notification, une correction et un retrait réversible. Pour une clé DNSSEC compromise, le retard peut augmenter le risque; une suppression ou un remplacement d’urgence du DS peut être justifié, accompagné d’une confirmation rapide du détenteur et d’un enregistrement postérieur à l’action. Pour un transfert effectif, le remplacement coordonné de la délégation protège le bénéficiaire.
Pour une facture contestée, le lien avec l’intégrité du DNS est faible, et la continuité devrait normalement prévaloir jusqu’à ce que l’autorité sur la ressource elle-même change.
La portée compte autant que le moment. Si une délégation /24 est défaillante, le registre ne devrait pas supprimer des délégations saines pour des blocs sans rapport, simplement parce qu’ils partagent un même compte. Si un serveur de noms tombe en panne mais que d’autres restent autoritaires, la réponse devrait considérer si la délégation dans son ensemble répond toujours aux exigences publiées. Si seul un enregistrement DS est incorrect, supprimer l’intégralité du renvoi NS est une action plus importante que de corriger ou de supprimer temporairement la chaîne de confiance rompue.
La durée doit également être limitée. Une action d’urgence devrait avoir un propriétaire, une date d’expiration ou de révision et une condition de rétablissement. Un blocage administratif temporaire ne devrait pas devenir permanent parce que l’employé d’origine a fermé un ticket. Le détenteur devrait pouvoir voir ce qui reste à corriger. Lorsque la divulgation publique exposerait des informations de sécurité ou des informations juridiques protégées, le registre peut toujours fournir une raison confidentielle et publier ultérieurement des données agrégées de responsabilité.
Le test n’est pas de savoir si un client s’est plaint. Le rejet sélectif du courrier peut être difficile à observer, et les petits détenteurs peuvent manquer de mesures. Le registre devrait évaluer l’impact prévisible avant d’agir et mesurer l’impact réel après, lorsque cela est possible. La proportionnalité est une ingénierie préventive associée à un jugement institutionnel.
La continuité nécessite un plan de type « établir avant de couper »
Des changements légitimes peuvent être rendus moins perturbateurs. Un cédant et un cessionnaire peuvent préparer les nouveaux serveurs faisant autorité avant que le registre ne modifie le parent. Ils peuvent pré-construire des données PTR et directes correspondantes, réduire les TTL pertinents à l’avance, tester à partir de résolveurs indépendants et convenir de qui contrôle chaque étape. Le registre peut valider les serveurs proposés et programmer l’activation lorsque les deux parties peuvent l’observer.
L’expression « établir avant de couper » doit être délimitée. Elle n’exige pas que deux parties conservent indéfiniment l’autorité sur la même zone inverse. Cela créerait une ambiguïté et un risque de sécurité. Elle signifie préparer l’état successeur avant de retirer le prédécesseur, en utilisant une transition courte et déclarée lorsque l’architecture DNS le permet, et en conservant une possibilité de retour rapide si la nouvelle délégation échoue aux vérifications techniques après l’activation.
DNSSEC rend la coordination plus exigeante. Un parent publie du matériel DS pour l’enfant. Une transition de clé correcte au sein de l’enfant peut encore échouer si les états du parent et de l’enfant ne se chevauchent pas correctement. La RFC 7745 est née en partie du besoin de modifications sécurisées et authentifiées des données NS et DS entre les RIR et l’ICANN. Sa conception de transactions automatisées et ses accusés de réception montrent que les mises à jour du parent sont des événements opérationnels exigeant intégrité et confirmation, et non des modifications informelles.
La frontière côté détenteur mérite une attention comparable. Avant un retrait planifié, le registre devrait fournir un aperçu lisible par machine des anciens et nouveaux ensembles NS et DS, des noms de zones concernées, du code motif, de l’heure d’activation et de l’horizon TTL prévu. Le détenteur devrait confirmer l’autorité et l’état technique. Pour un changement involontaire, l’absence de confirmation devrait déclencher un examen plutôt que de valoir consentement tacite, à moins qu’une règle d’urgence ne s’applique clairement.
Le rétablissement devrait être répété. Il ne suffit pas de savoir cliquer sur un bouton d’activation. Le personnel a besoin de la dernière délégation connue comme bonne, de l’autorité pour la republier, de moyens de contact disponibles en dehors d’un compte désactivé et de sondes qui vérifient les réponses depuis plusieurs réseaux. Un plan de continuité qui dépend du même domaine de connexion ou de courrier électronique affecté par la suspension n’est pas un plan.
La notification doit atteindre quelqu’un qui peut agir
Les registres satisfont souvent l’exigence de notification formelle en envoyant des courriels aux contacts enregistrés dans les données d’enregistrement. Des coordonnées exactes relèvent de la responsabilité du détenteur, et aucune institution ne peut garantir la réception. Pourtant, l’action sur le DNS inverse présente un risque circulaire: la notification peut être envoyée à l’infrastructure de messagerie affectée par le changement proposé, ou à un ancien employé dont le départ est la raison pour laquelle le compte est en cours d’examen.
La procédure de l’APNIC pour les délégations boiteuses est remarquable car elle répète les notifications et peut utiliser le téléphone, les coordonnées postales, les enregistrements parents ou les fournisseurs amont lorsque le courriel ordinaire échoue. Tous les cas ne justifient pas cet effort. Un retrait involontaire à fort impact le justifie. Le plan de notification devrait refléter la conséquence, et non la simple commodité de l’expéditeur.
La notification doit contenir suffisamment de détails pour permettre l’action. « Vos services peuvent être suspendus » est insuffisant. Le détenteur a besoin des zones inverses exactes, de la délégation actuelle et proposée, du motif factuel, de la clause politique ou contractuelle, du moment de l’activation, de la méthode de correction et de la voie de recours. Pour une défaillance, il a besoin des résultats des tests échoués avec l’heure, le lieu et le type de requête.
Pour un différend d’autorisation, il a besoin des documents ou de la question d’identité que le personnel considère comme non résolus, sous réserve de la confidentialité légale.
Le délai devrait tenir compte de la réalité opérationnelle. Les petits réseaux peuvent utiliser un fournisseur DNS externe, et les changements peuvent nécessiter une coordination entre fuseaux horaires. Les réseaux du secteur public peuvent avoir des contrôles d’approvisionnement. Un transfert peut impliquer deux registres. Cela ne justifie pas un retard infini. Cela signifie simplement que la période de correction devrait être basée sur le risque et pouvoir être prolongée par un examinateur lorsque le détenteur remédie activement au défaut.
L’action d’urgence inverse l’ordre mais non le devoir. Si une délégation cause activement un préjudice ou si une instruction contraignante exige un changement immédiat, le registre peut agir en premier. Il devrait ensuite notifier par plusieurs canaux, identifier l’autorité d’urgence, préserver l’état antérieur et ouvrir une révision rapide. L’urgence devrait raccourcir la séquence, et non effacer la responsabilité.
L’examen doit être indépendant de la file d’attente initiale
Un appel qui retourne dans la même file d’attente de support sans nouvelle autorité n’est qu’un réexamen de pure forme. L’examinateur n’a pas besoin d’être un tribunal ou une instance externe permanente pour chaque ticket DNS. L’examinateur a besoin de l’autorisation de suspendre, de restreindre ou d’annuler l’action proposée, et d’accéder au dossier technique et institutionnel.
Les questions techniques et d’autorité devraient être séparées. Un ingénieur DNS peut déterminer si les serveurs répondent avec autorité, si les ensembles NS du parent et de l’enfant concordent et si DNSSEC valide. Cet ingénieur n’est peut-être pas le mieux placé pour trancher une succession d’entreprise contestée ou une interprétation de sanctions. Un examinateur juridique ou d’enregistrement peut évaluer l’autorité, mais ne devrait pas rejeter une défaillance DNS reproductible. Un examen solide réunit les deux dossiers tout en attribuant chaque jugement à un personnel qualifié.
Le temps fait partie du remède. Une décision rendue des semaines après qu’une identité de courrier a perdu sa réputation peut être formellement motivée et opérationnellement inutile. Les registres devraient maintenir un canal d’urgence pour la continuité en cas de préjudice actif lié au DNS inverse. Le canal peut exiger une preuve de connexion à la ressource, du contrôle de la zone et de la défaillance concrète. Il devrait être joignable sans les identifiants du compte contesté.
Le recours externe reste précieux pour les litiges récurrents ou à enjeux élevés. Les conseils élus par la communauté, les fonctions de médiateur, les clauses d’arbitrage et les tribunaux peuvent chacun avoir un rôle dans le cadre d’arrangements régionaux. Aucun ne devrait être présenté comme un remède universel. Le minimum est une décision interne distincte de l’acteur d’origine, des motifs écrits et la préservation du dossier nécessaire à toute instance ultérieure.
Les résultats de l’examen devraient alimenter les règles. Si plusieurs cas montrent qu’un indicateur de facturation a accidentellement supprimé des délégations saines, la réponse n’est pas seulement de rétablir chaque détenteur. Le registre devrait modifier la dépendance, publier un compte rendu de l’incident et tester la transition d’état corrigée. Un remède individuel sans correction systémique laisse la sanction silencieuse disponible pour une réutilisation.
Les preuves doivent survivre au changement
Le DNS est observable, mais l’observation après l’événement peut être incomplète. Les caches conservent d’anciens renvois. Différents résolveurs voient les nouvelles données à différents moments. Les journaux du serveur d’un détenteur prouvent qu’il a répondu aux requêtes, et non que le parent y a référé le monde entier. Une capture d’écran d’un portail prouve encore moins ce qui a été réellement servi dans la zone.
Pour chaque changement involontaire, le registre devrait conserver le diff de la zone parent générée, les numéros de série, les ensembles NS et DS, l’événement d’autorisation, les résultats de validation, les horodatages de publication, les tentatives de notification et les étapes de rétablissement. Des sondes indépendantes devraient interroger le parent et l’enfant avant et après l’activation via UDP et TCP, avec validation DNSSEC le cas échéant. Les preuves devraient distinguer l’absence de délégation, la délégation boiteuse, l’échec DNSSEC, le non-terminal vide et les données PTR manquantes.
Les preuves relatives au courrier exigent une précision similaire. Une augmentation des messages rejetés après un changement de parent est suggestive, mais la causalité devrait être testée avec les codes d’erreur du système de réception et des recherches directes depuis plusieurs réseaux. Les codes publiés par Google rendent une catégorie de conséquence identifiable. D’autres systèmes de réception peuvent masquer la pondération du DNS inverse dans des décisions de réputation plus larges. Le détenteur devrait éviter d’affirmer que chaque rejet provenait de la délégation, à moins que les preuves ne le confirment.
Le registre a également besoin de dénominateurs. Combien de zones concernées ont été modifiées? Combien de sondes ont échoué? Combien de temps jusqu’à ce qu’un renvoi valide soit visible? Combien de demandes de rétablissement ont atteint leur objectif? Les rapports publics peuvent agréger ces mesures sans exposer les litiges confidentiels. Le seul nombre de tickets de support est un mauvais dénominateur, car les échecs silencieux et les détenteurs injoignables disparaissent de la vue.
Aucun document public choisi ne fournit un historique mondial complet des suspensions involontaires de DNS inverse et de leurs conséquences sur le courrier en aval. Cette absence devrait façonner à la fois la rhétorique et la politique. Elle empêche une estimation mondiale fiable des pertes. Elle renforce la nécessité d’enregistrements structurés des événements et d’un examen mesuré après action.
Les transferts révèlent à quoi ressemble une bonne séparation
Un transfert de ressource offre un contraste utile avec l’application de l’adhésion, car la question de l’autorité change réellement. Une fois qu’un bénéficiaire légitime devient le détenteur enregistré, laisser le cédant contrôler le DNS inverse peut déformer l’identité opérationnelle et entraver le bénéficiaire. Le parent devrait changer. La continuité demande comment, et non s’il faut, reconnaître le nouvel état.
L’enregistrement du transfert devrait identifier le moment effectif, les plages d’adresses concernées et l’autorité de chaque partie. Le bénéficiaire devrait soumettre des serveurs de noms préparés et, le cas échéant, des données DS. Le registre devrait les tester avant l’activation. Si un transfert inter-RIR change le registre qui maintient la zone parent, les deux registres devraient coordonner le passage de relais plutôt que de laisser le détenteur déduire leur frontière interne à partir de requêtes échouées.
L’espace patrimonial complique le tableau parce que le contrôle opérationnel, l’historique d’enregistrement et le statut contractuel peuvent ne pas coïncider. Les politiques du RIPE NCC et d’AFRINIC préservant le service inverse pour les détenteurs patrimoniaux montrent une réponse de continuité: maintenir une fonction de registre de base même sans adhésion ordinaire. La diligence raisonnable reste nécessaire lorsque l’identité du détenteur est contestée. La continuité ne dit pas au registre d’accepter tout revendicateur autoproclamé.
La même architecture peut soutenir la sortie d’un fournisseur DNS. Un détenteur devrait pouvoir remplacer des serveurs de noms sans perdre la délégation simplement parce que l’ancien fournisseur contrôle une interface de compte. L’authentification devrait être transférable au détenteur vérifié de la ressource, avec un chemin d’urgence documenté si l’ancien fournisseur ne coopère pas. Le rôle du registre est d’authentifier l’autorité et de préserver l’unicité, et non d’imposer un verrouillage par un fournisseur privé.
Un transfert propre incarne donc la thèse de l’article. Le statut contractuel, l’autorité sur la ressource et l’exploitation du DNS sont des faits distincts. Ils interagissent à un point de règlement déclaré. Les traiter séparément n’affaiblit pas le registre; cela rend le changement décisif plus précis et plus facile à défendre.
Les sanctions et les ordonnances judiciaires exigent une traduction plus étroite
Les registres opèrent au-delà des frontières et ne peuvent promettre l’immunité juridique. Une règle de sanctions peut interdire de fournir des services à une partie désignée. Un tribunal peut ordonner la préservation, le transfert ou la restriction. La tâche difficile consiste à traduire une injonction juridique dans les couches techniques réellement concernées.
Le DNS inverse ne devrait pas bénéficier d’une exemption catégorique. Il peut y avoir des cas où le maintien de la délégation est lui-même interdit ou où le contrôle continu faciliterait l’abus. Mais de nombreuses alertes de conformité commencent par une identité, une propriété ou une portée territoriale incertaine. Une correspondance préliminaire n’équivaut pas à une conclusion juridique définitive. Lorsque cela est permis, la continuité pendant l’examen réduit le préjudice pour les clients innocents et les dépendances publiques.
L’enregistrement de la décision devrait répondre à quatre questions. Quelle autorité s’applique au registre? Quelle personne, organisation ou ressource en relève? Quelle action l’autorité exige-t-elle ou interdit-elle? Pourquoi la modification de cet ensemble NS ou DS est-elle nécessaire et proportionnée? Si la quatrième réponse se résume à « tous les services du compte s’arrêtent ensemble », la conséquence technique n’a pas été examinée indépendamment.
La transparence a des limites. Publier l’objet d’une enquête peut être illégal ou injuste. Le registre peut néanmoins publier son cadre décisionnel général, des décomptes agrégés de cas, des catégories d’action et la performance de rétablissement. Il peut fournir des motifs confidentiels au détenteur concerné et conserver le matériel pour un examinateur compétent.
La planification de la continuité n’est pas une esquive. Elle inclut une cessation ordonnée et légale, la migration vers un opérateur autorisé et la préservation des services clients non liés. Une institution qui sait séparer les couches peut se conformer plus précisément qu’une institution dont le seul contrôle est la suspension totale.
Une charte du DNS inverse fondée sur les droits
Une charte pratique commencerait par le droit du détenteur de connaître les règles applicables avant que les problèmes ne surviennent. Le registre devrait énumérer tous les motifs pour lesquels il peut refuser, modifier ou retirer une délégation inverse. Il devrait distinguer la défaillance technique, l’urgence de sécurité, le changement demandé par le détenteur, le transfert de ressource finalisé, la révocation définitive, la contrainte légale et l’exécution contractuelle.
Le deuxième droit est une notification accompagnée d’un calendrier technique compréhensible. Sauf en cas d’urgence définie, le détenteur devrait recevoir les zones concernées, le diff proposé, le moment de l’activation, les preuves et la voie de correction. Les délais de notification peuvent varier selon le risque, mais ne devraient pas être inventés au cas par cas sans motif.
Le troisième est la continuité pendant que l’autorité est véritablement contestée. Une délégation existante saine devrait normalement subsister pendant un examen de facturation, d’adhésion ou d’identité, à moins que le registre ne démontre un risque spécifique ou une interdiction légale. Le détenteur ne devrait pas obtenir un service indéfini en refusant la vérification. Un examinateur peut fixer des jalons et une date butoir.
Le quatrième est un recours rapide et efficace. Un examinateur doit pouvoir suspendre une action, en réduire la portée et ordonner le rétablissement. Le registre devrait conserver un état connu comme bon et tester la republication. Les objectifs de service devraient couvrir l’accusé de réception, la décision et la propagation technique séparément.
Le cinquième est la portabilité des preuves. Le détenteur devrait recevoir un enregistrement de l’événement suffisant pour diagnostiquer les effets en aval et poursuivre un examen ultérieur. Les données sensibles peuvent être expurgées, mais les faits techniques ne devraient pas disparaître à l’intérieur d’un ticket interne.
Le dernier droit appartient au public: la responsabilité agrégée. Les registres devraient rendre compte des changements involontaires par motif, succès de la notification, annulations, délais de rétablissement et impact technique vérifié. Sans dénominateurs, une anecdote spectaculaire peut dominer le débat; sans récits d’incidents, les pourcentages agrégés peuvent masquer une défaillance de contrôle grave. Les deux formes sont nécessaires.
Ce que les registres devraient tester avant d’appuyer sur supprimer
Une liste de contrôle opérationnelle peut rendre ces principes routiniers. Le registre devrait confirmer la plage de ressources exacte et les zones inverses. Il devrait interroger chaque serveur faisant autorité listé via UDP et TCP depuis plus d’un réseau, comparer les données SOA et NS, valider DNSSEC et distinguer un délai d’attente transitoire d’une défaillance persistante. Il devrait vérifier l’autorité actuelle du détenteur et si un transfert ou un retour a atteint son point effectif.
Ensuite, il devrait cartographier les effets dépendants. Les zones sont-elles connues pour contenir des enregistrements PTR de serveur de courrier? Les noms confirmés en direct se résolvent-ils? Des contacts du secteur public ou de services partagés sont-ils enregistrés? Cette enquête n’a pas besoin d’inspecter chaque PTR ni de juger l’importance de chaque client. Son but est de classer le risque de continuité et de choisir la rapidité de notification et d’examen.
Avant la publication, une deuxième personne devrait approuver les changements involontaires à fort impact. Le système devrait afficher l’ancienne et la nouvelle délégation côte à côte et rejeter toute extension accidentelle de la portée. Les tentatives de contact et les réponses du détenteur devraient être jointes à la décision. Une tâche planifiée ne devrait pas transformer un cas non résolu en suppression simplement parce qu’un champ de date a expiré sans propriétaire humain.
Après la publication, les sondes devraient confirmer la réponse attendue du parent et l’accessibilité de l’enfant. Si l’action était un retrait, elles devraient vérifier que l’état du parent correspond à la décision, et non à une modification partielle mal formée. Si l’action était un transfert, elles devraient vérifier la nouvelle délégation. Le dossier reste ouvert jusqu’à ce que l’état DNS observé, et pas seulement l’enregistrement du compte, soit correct.
Enfin, le rétablissement devrait être testé sous pression. Le personnel devrait périodiquement s’exercer à la récupération en utilisant une zone non productive ou un scénario contrôlé. Les identifiants, les approbations et les contacts expirent. Une promesse papier de rétablissement d’urgence est faible si personne ne peut l’exécuter en dehors des heures ouvrables.
Mesurer les répercussions sans fabriquer de certitude
L’étude idéale combinerait l’historique des zones parents, les enregistrements de décision du registre, les sondes DNS, les journaux de courrier et les entretiens avec les détenteurs. Les chercheurs publics possèdent rarement ces cinq éléments. Les zones parents révèlent les changements techniques, mais pas toujours la raison. Les politiques des registres révèlent l’autorité possible, mais pas la fréquence. Les journaux de courrier montrent les résultats locaux, mais pas pour chaque système de réception. Les entretiens peuvent exposer des coûts cachés, mais souffrent d’un biais de sélection.
Un programme de mesure crédible peut néanmoins commencer modestement. Pour chaque changement documenté, enregistrez les préfixes et zones concernés, les anciennes et nouvelles données NS et DS, les TTL, les heures observées sur plusieurs résolveurs et les résultats des requêtes faisant autorité. Envoyez du courrier contrôlé uniquement à partir d’adresses et de domaines que le chercheur est autorisé à utiliser, en enregistrant les codes de réponse d’un ensemble déclaré de systèmes de réception. Mesurez l’enrichissement des journaux et le comportement de diagnostic dans des outils nommés.
Ne transformez pas un panel de test en une affirmation concernant l’ensemble de l’Internet.
Les comparaisons nécessitent une base de référence. La livraison du courrier varie déjà en fonction de la réputation IP, du contenu, de l’authentification, du volume et de la politique du système de réception. Une observation avant-après devrait maintenir ces facteurs aussi constants que possible. Une erreur de PTR manquant est une preuve plus solide qu’un résultat générique de dossier spam. Si la délégation parent disparaît en même temps qu’une panne de route, les effets ne peuvent pas être attribués clairement sans preuves supplémentaires.
Les rapports des registres devraient utiliser les changements tentés comme dénominateur, et pas seulement ceux réussis. Ils devraient compter les retraits empêchés par l’examen, les portées incorrectes détectées avant publication et les rétablissements d’urgence. Les quasi-incidents révèlent la qualité du contrôle. L’absence de plaintes publiques ne prouve pas qu’aucune répercussion n’a eu lieu.
Ces méthodes ne produiront pas un chiffre universel unique. Elles peuvent remplacer la spéculation par des observations délimitées et rendre comparables les procédures régionales. C’est suffisant pour améliorer la gouvernance.
Le rôle limité de la Société des ressources numériques
La Société des ressources numériques a ici une ouverture légitime, car les petits détenteurs perçoivent souvent le DNS inverse comme une dépendance obscure plutôt que comme un sujet politique. NRS peut publier des explications techniques claires, aider les membres à préserver les preuves, comparer les règles des RIR et soumettre des propositions qui dissocient le statut d’adhésion de la continuité fondamentale du registre.
Elle peut maintenir un kit de test d’interopérabilité qui interroge les zones parent et enfant, vérifie les données PTR confirmées en direct, enregistre l’état DNSSEC et analyse les erreurs de courrier. Si le kit publie ses points d’observation et ses limites, il peut aider les détenteurs à diagnostiquer si le préjudice provient du parent, de l’enfant, du cache ou du système de réception. Des méthodes partagées sont plus utiles que des allégations non vérifiées de censure.
NRS peut également promouvoir une charte minimale interrégionale: motifs prospectifs, notification basée sur le risque, examen indépendant, rétablissement d’urgence, enregistrements précis des événements et rapports agrégés. Elle peut apporter des preuves provenant d’opérateurs indépendants qui n’ont pas le personnel pour assister à chaque réunion politique. Elle peut demander aux registres de publier si le service inverse est disponible en dehors de l’adhésion ordinaire et selon quelles règles d’authentification.
Les limites sont tout aussi importantes. NRS n’est pas l’IANA, un RIR ou l’opérateur parent simplement parce qu’elle parle au nom des détenteurs. Elle ne peut pas créer une délégation efficace au niveau mondial, décider des droits légaux ou promettre qu’un PTR garantira la livraison du courrier. Ses propres membres peuvent avoir des revendications conflictuelles. Tout rôle de médiation nécessite un consentement, des conflits transparents et le respect des décisions techniques et juridiques faisant autorité.
Sa contribution la plus forte est la traduction institutionnelle: montrer comment une petite modification de la zone parent devient une conséquence opérationnelle, et transformer cette preuve en garanties plus étroites et testables.
Un pouvoir silencieux mérite des règles explicites
Le DNS inverse se trouve dans une catégorie inconfortable. Ce n’est pas la route d’adresse ni le domaine direct, et pourtant des systèmes importants l’utilisent comme preuve pour les deux. Sa hiérarchie confère aux opérateurs parents l’autorité légitime de préserver une délégation exacte. La même hiérarchie permet à une décision administrative sans rapport de se propager vers l’extérieur sous forme de dégradation sélective du service.
La réponse n’est pas de geler chaque délégation ni de priver les registres de leurs moyens d’exécution. C’est de distinguer les raisons. Un DNS boiteux appelle des tests et une correction. Une clé compromise appelle de la rapidité. Un transfert finalisé appelle un remplacement coordonné. Un litige d’adhésion ou de facturation appelle des remèdes dirigés contre l’adhésion ou la facturation, à moins que l’autorité sur la ressource elle-même n’ait finalement changé.
Cette distinction devrait être encodée dans les systèmes, les contrats et les examens. Des états séparés, une notification précise, une préparation de type « établir avant de couper », un retour à un état connu comme bon et un examinateur habilité ne sont pas des luxes. C’est ainsi qu’une institution démontre que son pouvoir technique reste lié à son mandat.
Une sanction silencieuse est dangereuse en partie parce qu’elle ne laisse aucune panne spectaculaire unique pour mobiliser une réponse. Le courrier se dégrade de manière inégale, les journaux perdent des noms et les opérateurs passent du temps à chercher dans la mauvaise couche. Des règles explicites rendent la conséquence visible avant que le parent ne change. Elles rendent également l’action justifiée plus rapide, car le personnel peut montrer exactement pourquoi cette délégation, cette portée et ce moment sont nécessaires.
Le DNS inverse devrait rester un service de correspondance fiable, et non un levier collatéral. Préserver cette frontière protège les détenteurs, les utilisateurs et la légitimité des registres qui maintiennent l’arborescence.
Sources
- RFC 2317: Délégation IN-ADDR.ARPA sans classe
- RFC 3152: Délégation de IP6.ARPA
- RFC 3172: Lignes directrices de gestion et exigences opérationnelles pour le domaine ARPA
- RFC 5855: Serveurs de noms pour les zones inverses IPv4 et IPv6
- RFC 7745: Schémas XML pour la gestion du DNS inverse
- RFC 8501: DNS inverse dans IPv6 pour les fournisseurs de services Internet
- IANA: Gestion de la zone ARPA
- IANA: Exigences techniques pour les serveurs de noms faisant autorité
- APNIC: Délégation de DNS inverse
- APNIC: Réponse opérationnelle aux délégations inverses boiteuses
- APNIC: Services d'enregistrement des ressources
- RIPE NCC: Délégation inverse
- RIPE NCC: Services aux détenteurs de ressources Internet patrimoniales
- AFRINIC: DNS inverse
- AFRINIC: Détenteurs de ressources patrimoniales
- ARIN: Révocation, retour et réintégration des ressources
- ARIN: Accord de services d'enregistrement
- Google: Consignes pour les expéditeurs de courrier
- Google: FAQ sur les consignes pour les expéditeurs de courrier
- Microsoft: Le destinataire rejette le courrier lorsque le nom d’hôte ne correspond pas à l’adresse IP

