Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Quad9 : un résolveur DNS ouvert qui veut vous protéger en respectant votre vie privée

9.9.9.9 is the new 8.8.8.8
Internet 6 min
Quad9 : un résolveur DNS ouvert qui veut vous protéger en respectant votre vie privée

L'importance des résolveurs DNS est méconnue, pourtant il s'agit d'une brique essentielle de l'accès à Internet. Outre ceux proposés par les FAI, il en existe chez Google ou encore FDN. Un petit nouveau vient de faire son apparition, Quad9, qui veut bloquer certaines attaques tout en respectant votre vie privée.

Lorsque vous cherchez à accéder à un site web, vous tapez son adresse (URL) dans la barre principale de votre navigateur. Mais voilà, pour établir la connexion, il faut que votre machine sache à quel serveur s'adresser à travers son adresse IP. Pour cela, il existe les résolveurs DNS.

Pour faire simple, il s'agit de gros annuaires qui visent à faire correspondre le nom de domaine d'un site à l'adresse IP d'un serveur qui sera chargé de vous envoyer le contenu de la page demandée. Cela passe par une requête DNS.

Les résolveurs DNS : des éléments peu connus, mais d'importance

Il s'agit donc d'un élément essentiel du fonctionnement d'Internet tel qu'on le connaît, et peut être à l'origine de nombreux problèmes. Il est notamment utilisé pour mettre en place le blocage de certains sites (on parle alors de DNS menteur), mais peut aussi altérer votre navigation lorsqu'un problème survient, comme nous l'avions vu l'année dernière.

Car par défaut, ce sont les serveurs DNS de votre fournisseur d'accès qui sont utilisés par votre smartphone ou la box qui vous est fournie, et donc par les appareils qui y sont connectés. Ils prennent la forme de deux adresse IP pour le serveur DNS primaire et le secondaire.

DNS
Crédits : TouiTouit, Michel et le hamster (licence: CC by SA 4.0)

 

Parfois, certains s'arrogent le droit d'utiliser les leurs, c'est notamment le cas de Google Wifi qui passe par défaut par les serveurs DNS publics de Google, les fameux 8.8.8.8 / 8.8.4.4. Même si Google se défend de toute utilisation abusive, conformément à ses engagements en termes de vie privée, il n'apparait pas comme la meilleure idée de livrer de telles informations à un tiers qui en sait déjà probablement beaucoup sur vous et vit essentiellement de la publicité. 

Il s'agit là d'un point d'importance, car celui qui voit passer toutes vos requêtes DNS peut en apprendre énormément sur vous. Il connait en effet tous les noms de domaine des sites que vous visitez, à quelle fréquence, à quelle heure, etc. De plus, toutes les requêtes DNS passent bien souvent en clair, sans chiffrement.

Quel résolveur DNS choisir ? Méfiez-vous des réponses

Dès qu'un problème d'ampleur concernant les DNS survient, on voit fleurir de nombreux guides sur le thème « quels serveurs DNS utiliser ? ». Dans le pire des cas, on voit comme conseil celui d'utiliser ceux de Google, parfois des alternatives comme OpenDNS sont évoquées, la société ayant cessé son activité publicitaire en 2014, elle appartient à Cisco depuis 2015. Vous pouvez également utiliser votre propre résolveur DNS.

Si vous optez pour un résolveur public, il y a une alternative qui est sans doute la plus intéressante à utiliser : FDN. Il s'agit d'un fournisseur d'accès à internet associatif, militant pour les libertés publiques à travers le groupement FFDNles exégètes amateurs ou même RSF. Il fournit gratuitement des résolveurs DNS publics en IPv4 ou IPv6 que chacun peut utiliser et se finance uniquement à travers ses abonnements, adhésions et  d'autres services payants

Mais comme l'a rappelé en début d'année Stéphane Bortzmeyer, spécialiste du sujet, « le lien entre vous et le résolveur public est long et non sécurisé. Même si vous avez une confiance aveugle dans le résolveur public et ceux qui le gèrent, sur le trajet, des tas de choses peuvent aller mal. D'abord, le trafic peut être écouté trivialement [...], le trafic DNS est très bavard (trop), circule en clair, passe par des réseaux supplémentaires (en plus du trafic « normal »), et peut donc poser des problèmes de vie privée. Avec un résolveur DNS habituel, le problème est limité car le résolveur est proche de vous, limitant le nombre de gens qui peuvent écouter. Avec un résolveur public, le nombre d'écoutants potentiels augmente ».

Quad9 : une solution qui veut mieux protéger l'internaute

Récemment, un nouveau service a été lancé après une phase de bêta : Quad9. Il s'agit d'un résolveur DNS ouvert qui affiche quelques spécificités, géré par une organisation à but non lucratif qui propose un DNS menteur, mais dans « le bon sens du terme ». En effet, celui-ci bloque directement certains domaines qui sont liés à des botnets, des attaques par phishing et autres pratiques malicieuses.

19 sources sont utilisées pour identifier les domaines, dont X-Force d'IBM, partenaire du projet auprès de la Global Cyber Alliance, une organisation à but non lucratif qui travaille sur les questions de sécurité en ligne et notamment sur la mise en place simplifiée de DMARC pour l'authentification des emails. 

On retrouve aussi Packet Clearing House qui est un autre organisme à but non lucratif qui est très impliqué dans la gestion de l'infrastructure DNS, notamment anycast. La liste des domaines bloqués n'est pas donnée, mais il est possible d'effectuer une recherche depuis le site du projet.

La promesse est donc celle d'une sécurité accrue, mais aussi d'un respect de la vie privée. Quad9 précise ainsi qu'elle ne stocke pas l'adresse IP sur un disque, uniquement dans des logs temporaires le temps de l'anonymiser pour que cela soit ensuite utilisé à des fins purement statistiques ou techniques (limiter les attaques notamment). 

Les logs permanents ne contiendraient aucune information personnelle, mais seulement des données géographiques larges (ville/métro) là aussi à des fins de debug, d'analyse d'abus éventuels et de télémétrie notamment. Des statistiques publiques pourront d'ailleurs être diffusées sur base de ces informations. 

Aucune de ces informations n'est croisée, partagée ou même revendue à des tiers, promet le projet.

Rapidité et sécurité au programme

Quad9 se veut aussi rapide, avec 70 zones géographiques déjà couvertes, principalement dans des IXP (points d'échange Internet). Un objectif de 160 est affiché pour 2018.

Le service se veut rassurant sur la question du blocage de domaines légitime et précise dans sa FAQ qu'il « utilise un algorithme permettant de s'assurer qu'un domaine légitime n'est pas bloqué par accident. Dans les rares cas où cela arrive, Quad9 travaille avec les utilisateurs pour rapidement le débloquer ».

On retrouve aussi des mentions du support de DNSSEC et de l'IPv6. Pour ceux qui voudraient un service « non-menteur » et sans le blocage des domaines, une alternative est proposée mais elle retire d'autres éléments de sécurité, dommage :

  • 9.9.9.9 ou 2620:fe::fe - Blocklist, DNSSEC, No EDNS Client-Subnet
  • 9.9.9.10 ou 2620:fe::10 - No blocklist, no DNSSEC, send EDNS Client-Subnet

Dans un billet de blog assez détaillé, Stéphane Bortzmeyer note un autre point qui n'est pas évoqué par Quad9 : le support de DNS sur TLS (RFC 7858), qui permet un chiffrement du transport des requêtes. Une fonctionnalité que l'on retrouve encore trop rarement, alors qu'elle est pourtant d'importance.

Comment utiliser Quad9 (ou un autre résolveur DNS) ?

Pour ceux qui veulent utiliser les DNS de Quad9 ou même d'autres que ceux de leur FAI, deux guides ont été mis en ligne par le service : l'un pour macOS, l'autre pour Windows. Vous pouvez également les modifier dans votre routeur.

Pour les autres systèmes, vous retrouverez en général les éléments nécessaires dans les paramètres de votre connexion Wi-Fi. DNS Override vous permet de faire la même chose avec votre connexion mobile sous iOS. Sur Android, plusieurs applications sont proposées, mais toutes ne sont pas maintenues et certaines sont payantes.

98 commentaires
Avatar de tiret Abonné
Avatar de tirettiret- 17/11/17 à 13:46:21

Il est vrai que j'utilise le DNS Google pour l'instant, parce que j'ai eu des soucis avec celui de la FDN. Mais s'il y en a un qui ne pose pas de problème avec la vie privée je suis preneur. ;-)

Avatar de Pierre_ INpactien
Avatar de Pierre_Pierre_- 17/11/17 à 13:56:10

Il s'agit d'un résolveur DNS ouvert qui affiche quelques spécificités, géré par une organisation à but lucratif

Quelle est cette organisation et comment se finance-t-elle ? :keskidit:

Avatar de eglyn Abonné
Avatar de eglyneglyn- 17/11/17 à 13:57:45

géré par une organisation à but lucratif qui propose un DNS menteur,

Il me semblait avoir lu l'inverse, que c'était une organisation à but non lucratif

Avatar de Minoucalinou INpactien
Avatar de MinoucalinouMinoucalinou- 17/11/17 à 13:58:44

Et changer ses DNS sur Android ? On ne peut pas sans rooter le mobile. Donc Google sait tout de vous

Avatar de Liara T'soni INpactien
Avatar de Liara T'soniLiara T'soni- 17/11/17 à 14:00:19

moui enfin c'est bien beau mais "viens chez moi chui clean" ne suffit pas m'voyez !

Avatar de sp0ker INpactien
Avatar de sp0kersp0ker- 17/11/17 à 14:00:56

Minoucalinou a écrit :

Et changer ses DNS sur Android ? On ne peut pas sans rooter le mobile. Donc Google sait tout de vous

 On peux via des app sur le play store. Mais ces apps s'éxécute comme des applications VPN et tout ton traffic réseaux passe par elles... Donc faut avoir sacrément confiance dans l'application.

Édité par sp0ker le 17/11/2017 à 14:01
Avatar de eglyn Abonné
Avatar de eglyneglyn- 17/11/17 à 14:03:10

Minoucalinou a écrit :

Et changer ses DNS sur Android ? On ne peut pas sans rooter le mobile. Donc Google sait tout de vous

C'est ton serveur DHCP qui attribue les DNS normalement, ton tel n'a pas de DNS en dur.

Avatar de GrosMatou27 Abonné
Avatar de GrosMatou27GrosMatou27- 17/11/17 à 14:11:22

J'ai cherché une app au hasard, je tombelà dessus
 
Whilst it is fairly easy to adjust the DNS servers used by your device when using wifi, android offers no option to change the used DNS servers when using a mobile connection (2G/3G/4G etc.).This App creates a VPN connection locally (No data leaves your phone using this VPN connection) to use your configured DNS servers on both wifi and mobile networks without needing root permissions.Both Ipv4 and Ipv6 are usable, a feature which isn't supported on many phones (Even Android doesn't offer IPv6 DNS configuration in your wifi settings).

Que faut-il en penser du coup ?
Édité par GrosMatou27 le 17/11/2017 à 14:15
Avatar de egoz INpactien
Avatar de egozegoz- 17/11/17 à 14:17:58

Non, tu peux les forcer il me semble. Que ce soit pour le Wifi sur android, ou pour tes cartes réseau sur PC d'ailleurs.

Édité par egoz le 17/11/2017 à 14:18
Avatar de David_L Équipe
Avatar de David_LDavid_L- 17/11/17 à 14:21:21

Pierre_ a écrit :

Quelle est cette organisation et comment se finance-t-elle ? :keskidit:

eglyn a écrit :

Il me semblait avoir lu l'inverse, que c'était une organisation à but non lucratif

Petite erreur inattention à la relecture, c'est bien non lucratif ;) 
 

Liara T'soni a écrit :

moui enfin c'est bien beau mais "viens chez moi chui clean" ne suffit pas m'voyez !

Comme dit quand on a confiance en personne, on peut faire son propre résolveur DNS ;)

Il n'est plus possible de commenter cette actualité.
Page 1 / 10