DNS

Le protocole DNS permet de connaître l'adresse réelle d'un serveur web. Plus précisément cela transforme le nom de domaine inclus dans une URL (adresse symbolique du genre https://ssi.ninja) en adresse technique (adresse IP).

Pour cela, de très nombreux serveurs se répartissent la tâche sur toute la planète web. Pour des raisons d'efficacité, nous nous retrouvons souvent connectés directement à un serveur géré par notre fournisseur d'accès internet. Rien de bien fameux, sauf que les fournisseurs d'accès gardent souvent des traces, pour leur usage propre ou parce qu'on leur demande[1].

Transparence et traçabilité

D'où un problème de 'vie privée' et de confidentialité : nous laissons des traces de notre activité dès qu'on sollicite ces serveurs DNS classiques. Même en navigation privée, le serveur DNS sait sur quels sites nous surfons. Il peut aussi interdire la navigation sur certains sites qui lui sont désignés par le pouvoir public.

Autre problème : il existe plusieurs types d'attaques sur la résolution de nom de domaine via DNS. D'où l'intérêt d'utiliser un service DNS à la fois respectueux de la vie privée mais également sécurisé. On peut par exemple savoir ce que vous faites, même si le serveur ne garde pas de traces d'activité, en écoutant les requêtes DNS circulant de façon non sécurisée, en clair.

Les différentes options

Le serveur FAI

L’avantage premier d'utiliser le serveur du FAI est de rester dans la légalité (et donc dans la censure dans certains pays), ainsi que la simplicité d'utilisation vu que c'est le paramétrage par défaut à l'installation de votre ligne d'accès internet.

Les services dédiés

Tout dépend ensuite de la confiance que vous accordez au fournisseur que vous allez sélectionner. Il s'agit parfois d'un moindre mal : on accepte les défauts et contraintes des fournisseurs pour pouvoir contourner des blocages de type censure.

Google

Google n'est pas forcément votre ami. Oui, il vous aide à trouver presque tout ce que vous voulez, mais quand il propose des services périphériques, il y a souvent anguille sous roche. Certes il est très rapide, il y a des gens qui ont essayé, et je suppose qu'ils ont eu de problèmes. Je suppose, soyons honnête, je n'ai pas entendu de cas suspect suite à l'utilisation de Google DNS, mais si techniquement il est extrêmement rapide (c'est vrai), il appartient à Google dont le principal revenu est la publicité, et donc son fond de commerce[2] est basé sur le ciblage des utilisateurs. Méfiance, donc.

Les IP du Google DNS sont :

  • 8.8.8.8
  • 8.8.4.4

Des IP simples, on n'en attendait pas moins d'un géant du web.

Quad9

Cette solution est un peu particulière, car il existe deux versions :

  • 9.9.9.9 ou 2620:fe::fe qui utilise DNSSEC et qui renvoie une liste filtrée et épurée des IP dangereuses ou malveillantes, comme celles utilisées par des botnets ;
  • 9.9.9.10 ou 2620:fe::10 qui ne filtre rien, mais qui ne fait pas de DNSSEC contrairement à 9.9.9.9.

Proposée au départ par IBM via X-Force[3], elle est gérée par une association à but non lucratif. Pas mal non plus pour le choix des adresses IP.

OpenDNS

Je ne connais pas bien OpenDNS, mais le service a connu des oppositions liées à l'usage publicitaire ayant été fait des données d'utilisation. Aujourd'hui cela appartient à Cisco, la publicité a été arrêtée[4], mais là encore la méfiance est de mise.

CloudFlare

CloudFlare est connu pour ses solutions industrielles, notamment anti-DDoS, ayant servi dans différents événements et attaques. Sans être philanthrope, on sait que cette société tient à garder une image propre et elle est plutôt encline à défendre la veuve, l'orphelin et l'internaute.

En avril 2018, CloudFlare a lancé un service de DNS gratuit et sécurisé sur l'adresse IP 1.1.1.1 (chapeau pour avoir mis la main sur cette adresse[5]).

SPOF

CloudFlare ou Quad9 sont bien placés pour emporter la mise et protéger notre vie privée. Attention toutefois au paramétrage de vos serveurs DNS : une bonne idée pourrait être de panacher les fournisseurs pour éviter le risque de déni de service, car on tombe dans le risque du SPOF si on ne choisit qu'un seul fournisseur. Par contre il faut avoir bien confiance en les deux que vous retiendrez.

Références

  1. (en) « EUR-Lex - 32006L0024 - EN - EUR-Lex » (consulté le 4 avril 2018)
  2. David Legrand, « Quad9 : un résolveur DNS ouvert qui veut vous protéger en respectant votre vie privée », (consulté le 4 avril 2018)
  3. Thibault Prévost, « IBM lance Quad9, un serveur DNS gratuit pour protéger votre vie privée », sur Motherboard, (consulté le 4 avril 2018)
  4. (en) « No more ads », sur OpenDNS Umbrella Blog, (consulté le 4 avril 2018)
  5. David Legrand, « 1.1.1.1 : Cloudflare annonce son résolveur DNS rapide, sécurisé et respectueux de la vie privée », (consulté le 4 avril 2018)