Voici un nouveau venu dans le petit monde des résolveurs DNS : après le 9.9.9.9 de Quad9, voici le 1.1.1.1 de Cloudflare. Cette fois encore, le respect de la vie privée est placé au centre des préoccupations, tout comme la rapidité ou la sécurité.
La question du résolveur DNS agite régulièrement le Net. Il s'agit, pour faire simple, du dispositif qui permet d'associer une adresse internet (URL) à l'IP d'un serveur. Comme nous l'évoquions en novembre dernier, à l'occasion de la mise en ligne de Quad9, il s'agit d'un élément d'importance mais souvent sous-estimé par les utilisateurs.
Par défaut, vous utilisez celui de votre opérateur à travers votre box ou votre mobile. Préconfiguré, il envoie l'ensemble des requêtes nécessaires à votre navigation, mais est parfois obligé de donner une fausse réponse. C'est ce qui est utilisé en cas de blocage d'un site, pour la fameuse « main rouge » en France, devenue un point d'exclamation.
On parle alors de DNS menteur. Si les autorités disent toujours avoir de bonnes raisons pour mettre en place de tels blocages, ces dispositifs existent également dans de nombreux pays pour mettre en œuvre la censure du Net. Ainsi, depuis des années il existe des initiatives autour de résolveurs DNS accessibles à tous, sans aucune modification.
Une nouvelle vient d'arriver : 1.1.1.1 de Cloudflare. Mais quels sont ses avantages et ses différences ?
Des alternatives de plus en plus nombreuses
Bien entendu, il y a ceux de Google, les fameux 8.8.8.8 et 8.8.4.4, utilisés par défaut au sein des routeurs maisons (voir notre analyse). Même si la société se défend d'abus, conformément à ses engagements en termes de vie privée, certains préfèrent passer leur chemin pour ne pas dépendre toujours plus du géant américain.
Autre solution « historique », OpenDNS suscite aussi parfois de la méfiance. La société a néanmoins cessé son activité publicitaire en 2014 et appartient à Cisco depuis 2015.
Autre alternative assez connue et populaire auprès d'une population très technophile en France : FDN. Il s'agit d'un fournisseur d'accès à internet associatif, militant pour les libertés publiques à travers le groupement FFDN, les exégètes amateurs ou même RSF. Il fournit gratuitement des résolveurs DNS publics en IPv4 ou IPv6 que chacun peut utiliser et se finance uniquement à travers ses abonnements, adhésions et d'autres services payants.
Comme l'a rappelé début 2017 Stéphane Bortzmeyer, spécialiste du sujet, « le lien entre vous et le résolveur public est long et non sécurisé. Même si vous avez une confiance aveugle dans le résolveur public et ceux qui le gèrent, sur le trajet, des tas de choses peuvent aller mal. D'abord, le trafic peut être écouté trivialement [...], le trafic DNS est très bavard (trop), circule en clair, passe par des réseaux supplémentaires (en plus du trafic « normal »), et peut donc poser des problèmes de vie privée. Avec un résolveur DNS habituel, le problème est limité car le résolveur est proche de vous, limitant le nombre de gens qui peuvent écouter. Avec un résolveur public, le nombre d'écoutants potentiels augmente ».
Quad9 avait ainsi travaillé sur une solution exploitant DNSSEC et l'IPv6, en plus de fournir deux services : l'un avec une liste de blocage pour éviter tout malware et un autre sans aucun blocage du genre (mais aussi sans DNSSEC). Une solution attirante et financée par une organisation à but non lucratif :
- 9.9.9.9 ou 2620:fe::fe - Blocklist, DNSSEC, No EDNS Client-Subnet
- 9.9.9.10 ou 2620:fe::10 - No blocklist, no DNSSEC, send EDNS Client-Subnet
1.1.1.1 : quand Cloudflare entre dans la danse
Ce premier avril (4/1 en anglais), le géant de la protection anti-DDoS faisait à son tour une annonce : il met à disposition de tous son propre résolveur DNS, accessible depuis l'IP 1.1.1.1 récupérée auprès de l'APNIC, qui a décidé de soutenir le projet. En réalité, ce sont quatre adresses qui peuvent être utilisées :
- 1.1.1.1 ou 2606:4700:4700::1111
- 1.0.0.1 ou 2606:4700:4700::1001
Ce n'était ainsi pas une blague, le discours et les choix techniques autour de cette solution présentée comme la plus rapide du moment étant relativement détaillés.
Pour améliorer ses performances, l'équipe a opté pour des dispositifs comme le DNS aggressive negative caching (RFC8198). Mais il ne faut pas oublier que Cloudflare est également utilisé par de très nombreux sites (dont Next INpact pour le moment) afin de leur éviter de nombreuses attaques et faire office de CDN, entre autres services.
C'est notamment là que l'on peut commencer à voir un problème dans l'utilisation d'un résolveur DNS Cloudflare : la question de la centralisation. En effet, la société est déjà responsable de l'accès à de nombreux sites, et pourrait alors être en charge des requêtes des utilisateurs. En cas d'attaque ou de problème avec l'infrastructure, le problème en sera d'autant plus important, Cloudflare constituant un SPOF (Single Point of Failure) de plus en plus important.
Ceux qui critiquent l'utilisation des outils de la société par un nombre croissant de sites ne vont donc sans doute pas voir cette initiative d'un bon œil, même si elle a l'intérêt d'exister. D'autant qu'elle est assez attractive.
Des engagements sur le respect de la vie privée
Bien entendu, en pleine tempête Cambridge Analytica, la question du respect des données personnelles et de la vie privée est largement mise en avant. Le service utilise notamment la DNS Query Name Minimisation (RFC7816), qui consiste à réduire au maximum les informations utilisées. Le tout repose sur la solution logicielle Knot.
« Ce que beaucoup d'internautes ne réalisent pas, c'est que même si vous visitez un site de manière chiffrée — avec le cadenas vert dans votre navigateur — cela n'empêche pas votre résolveur DNS de connaître l'identité des sites que vous visitez. Cela signifie que par défaut, votre FAI, votre opérateur mobile, mais aussi les réseaux Wi-Fi auxquels vous vous connectez connaissent chaque site sur lequel vous allez », indique la société.
La question de la censure mais aussi de la sécurité permise par les alternatives proposées sont aussi évoquées comme un point de départ au projet, qui veut proposer une meilleure solution.
« Notre business n'a jamais été construit autour du pistage des utilisateurs ou de la vente de publicité. Nous ne voyons pas les données personnelles comme un bien à vendre, mais comme un bien toxique. [...] Nous nous engageons à ne jamais inscrire l'adresse IP à l'origine de la requête et à supprimer toutes les données au bout de 24 heures [...] KPMG auditera notre code et nos pratiques de manière annuelle, et publiera un rapport confirmant que nous respectons nos engagements », précise Cloudflare qui dit ne pas conserver ces informations plus longtemps, et seulement à des fins de debug.
Sécurité, confiance et dépendance
L'autre point qui fâche en général, lorsqu'il s'agit de résolveur DNS, est le fait que les requêtes ne sont pas envoyées de manière chiffrée dans une bonne partie des cas. « Ce protocole a 35 ans et il montre ses limites. Il n'a jamais été pensé en ayant la sécurité et le respect de la vie privée en tête » tance Cloudflare.
La société indique que son résolveur 1.1.1.1 utilise une validation DNSSEC lorsque cela est possible, mais supporte également DNS-over-TLS et DNS-over-HTTPS (expérimental). Deux standards qui permettent de pallier ce problème.
Au final, la solution apparait donc comme complète et plutôt bien pensée. Elle pose néanmoins l'éternelle question de la confiance en des acteurs tiers pour un élément aussi sensible que les requêtes DNS. On regrettera ainsi qu'il ne soit pas toujours très simple de disposer d'un petit résolveur local pour assurer un cache.
Cela montre bien l'importance de faire évoluer les standards et les solutions logicielles dans les années qui viennent, notamment concernant les DNS. Cloudflare semble mettre toutes les chances de son côté et avoir les moyens de ses ambitions. Mais c'est ici la question de la centralisation qui posera surtout problème.
Ainsi, si la naissance de 1.1.1.1 et ses avantages sont à saluer, il faut espérer que d'autres suivent ce même chemin et que l'utilisateur puisse avoir le choix afin d'assurer une véritable diversité, et éviter un drame en cas de problème. Une décentralisation qui est, après tout, l'une des valeurs fondamentales d'Internet tel qu'il a été pensé et tel qu'il est encore construit aujourd'hui... à quelques plateformes près.
