En avril 2018, Cloudflare a publié un nouvel outil de sécurité. Appelée 1.1.1.1, il s'agit d'une adresse DNS grand public que tout le monde peut utiliser gratuitement. Cela peut aider à augmenter la sécurité DNS, à améliorer la confidentialité des utilisateurs et peut même accélérer votre connexion réseau.
Mais comment ça fonctionne? Comment l'utilisez-vous? Et quels risques de confidentialité DNS peut-il contribuer à améliorer ? Regardons de plus près.
Le système de noms de domaine (DNS) est souvent appelé "l'annuaire téléphonique d'Internet". Il s'agit de la technologie responsable de la liaison des domaines que nous utilisons tous au quotidien (par exemple, makeuseof.com ) avec l'adresse IP du serveur Web de ce site.
Bien sûr, vous pouvez entrer l'adresse IP d'un site et vous vous retrouverez toujours sur sa page d'accueil, mais les URL textuelles sont beaucoup plus faciles à retenir, d'où la raison pour laquelle nous les utilisons.
Malheureusement, la technologie DNS s'accompagne de nombreux problèmes de confidentialité. Les problèmes peuvent compromettre votre sécurité en ligne, même si vous prenez toutes les précautions habituelles ailleurs sur votre système. Voici quelques-uns des pires problèmes de confidentialité associés au DNS.
En raison de la façon dont le DNS fonctionne, il agit comme un journal des sites Web que vous visitez. Peu importe que le site que vous visitez utilise HTTPS, votre FAI, votre opérateur de téléphonie mobile et vos fournisseurs de Wi-Fi publics sauront tous exactement quels domaines vous avez visités.
Fait inquiétant, depuis la mi-2017, les FAI aux États-Unis sont autorisés à vendre les données de navigation de leurs clients pour un gain financier. En effet, la pratique est courante dans le monde entier.
En fin de compte, votre historique de navigation aide de vastes entreprises à gagner de l'argent. C'est pourquoi vous devez toujours utiliser un fournisseur DNS tiers.
Comme les FAI, les autorités peuvent également utiliser votre journal DNS pour voir les sites que vous avez visités.
Si vous vivez dans un pays qui adopte une approche peu tolérante envers les opposants politiques, les militants LGBTQ, les religions alternatives, etc., visiter des sites de cette nature pourrait vous causer des ennuis.
Malheureusement, votre historique de recherche DNS pourrait révéler vos croyances privées à des entités qui risquent de vous réprimer en conséquence.
Vous êtes également exposé au manque de cryptage du "dernier kilomètre" du DNS. Expliquons-nous.
Il y a deux côtés au DNS :faisant autorité (du côté du contenu) et un résolveur récursif (du côté de votre FAI). En termes généraux, vous pouvez imaginer des résolveurs DNS posant les questions (par exemple, "où puis-je trouver ce site ?") et des serveurs de noms DNS faisant autorité fournissant les réponses.
Les données circulant entre le résolveur et le serveur faisant autorité sont (théoriquement) protégées par DNSSEC. Cependant, le "dernier kilomètre" --- la partie entre votre machine (appelée le résolveur de stub) et le résolveur récursif --- n'est pas sécurisé.
Malheureusement, le dernier kilomètre offre de nombreuses opportunités aux fouineurs et aux trafiquants.
Lorsque vous naviguez sur le Web, votre ordinateur utilise fréquemment des données DNS mises en cache quelque part sur le réseau. Cela peut aider à réduire les temps de chargement des pages.
Cependant, les caches eux-mêmes peuvent être victimes d'"empoisonnement du cache". C'est une forme d'attaque de l'homme du milieu.
En termes simples, les pirates peuvent profiter des vulnérabilités et des mauvaises configurations pour ajouter des données frauduleuses au cache. Ensuite, la prochaine fois que vous essaierez de visiter le site "empoisonné", vous serez envoyé vers un serveur contrôlé par le criminel.
Les parties responsables peuvent même répliquer votre site cible; vous pourriez ne jamais savoir que vous avez été redirigé et saisir accidentellement des noms d'utilisateur, des mots de passe et d'autres informations sensibles.
Ce processus correspond au nombre d'attaques de phishing.
Le nouveau service 1.1.1.1 de Cloudflare peut résoudre de nombreux problèmes de confidentialité liés à la technologie DNS.
L'entreprise a passé beaucoup de temps à discuter avec les développeurs de navigateurs avant que le service ne soit rendu public et a développé son outil conformément à leurs recommandations.
Oui, il n'y a pas de suivi et pas de stockage de données. Cloudflare s'est engagé à ne jamais suivre ses utilisateurs DNS ni à vendre de publicité en fonction de leurs habitudes de visionnage. Pour renforcer la confiance des consommateurs dans sa déclaration, la société s'est engagée à ne jamais enregistrer les requêtes d'adresse IP sur le disque et a promis de supprimer tous les journaux DNS dans les 24 heures.
En pratique, cela signifie que votre historique DNS restera hors de portée des FAI et des gouvernements. Il n'y aura même pas d'enregistrement avec Cloudflare auquel ils pourront demander l'accès.
Lorsque vous tapez une URL et appuyez sur Entrée, presque tous les résolveurs DNS enverront le nom de domaine complet (le « www », le « makeuseof » et le « com ») aux serveurs racine, aux serveurs .com et à tous les services intermédiaires. .
Toutes ces informations sont inutiles. Les serveurs racine n'ont qu'à diriger le résolveur vers .com. D'autres requêtes de recherche peuvent être lancées à ce stade.
Pour lutter contre ce problème, Cloudflare a implanté une large gamme de mécanismes de protection de la confidentialité DNS convenus et proposés pour connecter le résolveur de stub et le résolveur récursif. Le résultat est que 1.1.1.1 n'enverra que la quantité minimale d'informations nécessaires.
Si vous vous demandez si le DNS Cloudflare est sécurisé, la réponse est absolument. Le service 1.1.1.1 propose une fonctionnalité permettant de lutter contre l'espionnage sur le dernier kilomètre :DNS sur TLS.
DNS sur TLS chiffrera le dernier kilomètre. Cela fonctionne en laissant le résolveur de stub établir une connexion TCP avec Cloudflare sur le port 853. Le stub initie alors une poignée de main TCP et Cloudflare fournit son certificat TLS.
Dès que la connexion est établie, toutes les communications entre le résolveur stub et le résolveur récursif seront cryptées. Le résultat est que l'écoute clandestine et la falsification deviennent impossibles.
Selon les chiffres de Cloudflare, moins de 10 % des domaines utilisent DNSSEC pour sécuriser la connexion entre un résolveur récursif et un serveur faisant autorité.
DNS sur HTTPS est une technologie émergente qui vise à aider à sécuriser les domaines HTTPS qui n'utilisent pas DNSSEC.
Sans cryptage, les pirates peuvent écouter vos paquets de données et savoir quel site vous visitez. L'absence de cryptage vous rend également vulnérable aux attaques de type "man-in-the-middle" telles que celles que nous avons décrites précédemment.
L'utilisation du nouveau service 1.1.1.1 est simple. Nous expliquerons le processus pour les machines Windows et Mac.
Pour changer de fournisseur DNS sous Windows, suivez les étapes ci-dessous :
Vous devrez peut-être redémarrer votre machine.
Si vous avez un Mac, suivez plutôt ces instructions pour modifier votre DNS :
Pour utiliser Cloudflare sur Android et iOS, vous pouvez télécharger l'application gratuite depuis les magasins d'applications respectifs. L'application est un projet plus récent de Cloudflare; il n'a été mis en ligne qu'en novembre 2018.
Appelée 1.1.1.1, l'application fournit une bascule marche/arrêt facile à utiliser pour les serveurs DNS de l'entreprise. Bien sûr, vous pouvez augmenter le DNS en utilisant les outils natifs de votre téléphone, mais les paramètres ne sont pas toujours faciles à trouver et certains fabricants en bloquent même l'accès. L'application est beaucoup plus conviviale pour les novices.
Télécharger : 1.1.1.1 pour Android | iOS (Gratuit)
Plus important qu'un bon DNS, vous devez toujours utiliser un VPN puissant dans la bataille pour la confidentialité en ligne.
Tous les fournisseurs de VPN réputés fourniront également leurs propres adresses DNS. Cependant, vous devrez parfois mettre à jour manuellement votre DNS en utilisant les méthodes décrites ci-dessus. Ne pas le faire entraînera une fuite DNS.
Mais juste parce que votre fournisseur VPN fournit ses propres adresses DNS, vous pouvez toujours utiliser les adresses de Cloudflare à la place. En fait, c'est recommandé; il est très peu probable que le DNS de votre VPN soit aussi sophistiqué ou aussi robuste que le nouveau service 1.1.1.1.
Si vous recherchez un fournisseur VPN solide et réputé, nous vous recommandons ExpressVPN , Cyberfantôme , ou Accès Internet privé .
Et si vous souhaitez en savoir plus, assurez-vous de consulter nos guides sur ce qu'est un serveur DNS et sur le fonctionnement de l'empoisonnement du cache DNS.