En avril 2018, Cloudflare a publié un nouvel outil de sécurité. Appelé 1.1.1.1, c'est une adresse DNS grand public que n'importe qui peut utiliser gratuitement. Il peut contribuer à augmenter la sécurité du DNS, améliorer la confidentialité des utilisateurs et même potentiellement accélérer votre connexion réseau.
Mais comment ça fonctionne? Comment l'utilisez-vous? Et quels risques de confidentialité DNS peut-il aider à améliorer? Regardons de plus près.
Le problème avec le DNS et la confidentialité
Le DNS (Domain Name System) est souvent appelé «annuaire téléphonique d'Internet». Il s'agit de la technologie chargée de lier les domaines que nous utilisons tous les jours (par exemple makeuseof.com ) avec l'adresse IP du serveur Web de ce site.
Bien sûr, vous pouvez entrer l'adresse IP d'un site et vous pourrez toujours accéder à sa page d'accueil, mais les URL à base de texte sont beaucoup plus faciles à retenir, d'où la raison pour laquelle nous les utilisons.
Malheureusement, la technologie DNS comporte de nombreux problèmes de confidentialité. Les problèmes peuvent compromettre votre sécurité en ligne, même si vous prenez toutes les précautions habituelles ailleurs sur votre système. Voici les pires problèmes de confidentialité associés au DNS.
1. Votre FAI surveille
En raison de la façon dont DNS fonctionne, il agit comme un journal des sites Web que vous visitez. Peu importe que le site que vous visitez utilise HTTPS, votre fournisseur de services Internet, votre opérateur de téléphonie mobile et vos fournisseurs Wi-Fi publics savent exactement quels domaines vous avez visités.
Fait inquiétant, depuis la mi-2017, les FAI aux États-Unis sont autorisés à vendre les données de navigation de leurs clients pour un gain financier. En effet, la pratique est commune dans le monde entier.
En fin de compte, votre historique de navigation aide les grandes entreprises à gagner de l'argent. C'est pourquoi vous devriez toujours utiliser un fournisseur DNS tiers 4 raisons pour lesquelles l'utilisation de serveurs DNS tiers est plus sûre 4 raisons pour lesquelles l'utilisation de serveurs DNS tiers est plus sûre Pourquoi changer votre DNS est-il une bonne idée? Quels avantages de sécurité cela apporte-t-il? Peut-il vraiment rendre vos activités en ligne plus sécurisées? Lire la suite .
2. Le gouvernement surveille
Comme les FAI, les autorités peuvent également utiliser votre journal DNS pour voir les sites que vous avez visités.
Si vous vivez dans un pays qui adopte une approche moins tolérante envers les opposants politiques, les militants LGBTQ, les religions alternatives, etc., visiter des sites de cette nature pourrait vous poser des problèmes.
Malheureusement, votre historique de recherche DNS pourrait révéler vos croyances privées à des entités qui pourraient potentiellement vous réprimer en conséquence.
3. Snooping et falsification
Vous êtes également menacé par le manque de cryptage du «dernier kilomètre» de DNS. Expliquons.
DNS a deux côtés: Authoritative (du côté du contenu) et un résolveur récursif (du côté de votre FAI). En termes généraux, vous pouvez penser aux résolveurs DNS posant les questions (c'est-à-dire, "où puis-je trouver ce site?"), Et les serveurs de noms DNS faisant autorité fournissant les réponses.
Les données se déplaçant entre le résolveur et le serveur faisant autorité sont (théoriquement) protégées par DNSSEC. Cependant, le «dernier kilomètre» - la partie entre votre machine (appelée le résolveur de bout) et le résolveur récursif - n'est pas sécurisé.
Malheureusement, le dernier kilomètre offre de nombreuses opportunités pour les snoopers et les falsificateurs.
4. Les attaques de l'homme dans le milieu
Lorsque vous naviguez sur le Web, votre ordinateur utilise fréquemment les données DNS mises en cache quelque part sur le réseau. Cela peut aider à réduire les temps de chargement de la page.
Cependant, les caches elles-mêmes peuvent être victimes d'un "empoisonnement de cache". C'est une forme d'attaque de l'homme dans le milieu. Qu'est-ce qu'une attaque de l'homme dans le milieu? Le jargon de sécurité a expliqué ce qu'est un homme dans le milieu? Explication du jargon de la sécurité Si vous avez entendu parler d'attaques «d'homme à l'autre», mais que vous ne savez pas très bien ce que cela signifie, c'est l'article pour vous. Lire la suite .
En termes simples, les pirates peuvent tirer parti des vulnérabilités et des configurations médiocres pour ajouter des données frauduleuses dans le cache. Ensuite, la prochaine fois que vous essayez de visiter le site "empoisonné", vous serez envoyé à un serveur contrôlé par le criminel.
Les parties responsables peuvent même répliquer votre site cible; vous pourriez ne jamais savoir que vous avez été redirigé et saisir accidentellement des noms d'utilisateur, des mots de passe et d'autres informations sensibles.
Ce processus est le nombre d'attaques de phishing qui ont lieu.
Comment 1.1.1.1 aide-t-il?
Le nouveau service 1.1.1.1 de Cloudflare peut résoudre de nombreux problèmes de confidentialité liés à la technologie DNS.
L'entreprise a longtemps discuté avec les développeurs de navigateurs avant que le service ne soit rendu public et a développé son outil conformément à leurs recommandations.
1. Aucun suivi, aucun stockage de données
Tout d'abord, Cloudflare s'est engagé à ne jamais suivre ses utilisateurs DNS ou à vendre de la publicité en fonction de ses habitudes d'écoute. Pour renforcer la confiance des consommateurs dans sa déclaration, la société a promis de ne jamais enregistrer les requêtes d'adresses IP sur le disque et a promis de supprimer tous les journaux DNS dans les 24 heures.
En pratique, cela signifie que votre historique DNS restera hors de portée des fournisseurs de services Internet et des gouvernements. Il n'y aura même pas d'enregistrement avec Cloudflare pour qu'ils puissent demander l'accès.
2. Technologie de pointe
Lorsque vous tapez une URL et appuyez sur Entrée, presque tous les résolveurs DNS enverront le nom de domaine complet (le "www", le "makeuseof", et le "com") aux serveurs racine, les serveurs .com, et tous les services intermédiaires .
Toutes ces informations sont inutiles. Les serveurs racines doivent seulement diriger le résolveur vers .com. D'autres requêtes de recherche peuvent être initiées à ce stade.
Pour lutter contre ce problème, Cloudflare a implanté une vaste gamme de mécanismes de protection de la vie privée convenus et proposés pour la connexion du résolveur de bout et du résolveur récursif. Le résultat est que 1.1.1.1 enverra seulement la quantité d'information nécessaire.
3. Anti-Snooping
Je déteste quand le DNS est faux occupé à fouiner autour
- Unique en son genre ? (@BlameDaAriesNme) 26 septembre 2017
Le service 1.1.1.1 propose une fonctionnalité qui permet de lutter contre le snooping sur le dernier kilomètre: le DNS sur TLS.
DNS sur TLS cryptera le dernier kilomètre. Cela fonctionne en laissant le résolveur de stub établir une connexion TCP avec Cloudflare sur le port 853. Le talon initie alors une prise de contact TCP et Cloudflare fournit son certificat TLS.
Dès que la connexion est établie, toutes les communications entre le résolveur de bout et le résolveur récursif deviennent cryptées. Le résultat est que l'écoute et la falsification deviennent impossibles.
4. Combattre les attaques de l'homme dans le milieu
Selon les chiffres de Cloudflare, moins de 10% des domaines utilisent DNSSEC pour sécuriser la connexion entre un résolveur récursif et un serveur faisant autorité.
DNS over HTTPS est une technologie émergente qui vise à sécuriser les domaines HTTPS qui n'utilisent pas DNSSEC.
Sans cryptage, les pirates peuvent écouter vos paquets de données et savoir quel site vous visitez. L'absence de cryptage vous rend également vulnérable aux attaques de type man-in-the-middle telles que celles décrites plus haut.
Comment pouvez-vous commencer à utiliser 1.1.1.1?
L'utilisation du nouveau service 1.1.1.1 est facile. Nous allons expliquer le processus pour les machines Windows et Mac.
Comment changer DNS sur Windows
Pour changer votre fournisseur de DNS sur Windows, suivez les étapes ci-dessous:
- Ouvrez le panneau de contrôle
- Accédez au Centre Réseau et partage> Modifier les paramètres de la carte
- Cliquez avec le bouton droit sur votre connexion et sélectionnez Propriétés
- Faites défiler vers le bas, sélectionnez Internet Protocol Version 4 (TCP / IPv4), puis cliquez sur Propriétés
- Cliquez sur Utiliser les adresses de serveur DNS suivantes
- Entrez 1.1.1.1 dans la première ligne et 1.0.0.1 dans la deuxième rangée
- Hit OK
Comment changer DNS sur Mac
Si vous avez un Mac, suivez ces instructions pour changer votre DNS à la place:
- Accédez à Apple> Préférences système> Réseau
- Cliquez sur votre connexion dans le panneau sur le côté gauche de la fenêtre
- Cliquez sur Avancé
- Mettez en surbrillance DNS et appuyez sur +
- Entrer 1.1.1.1 et 1.0.0.1 dans l'espace prévu
- Cliquez OK
Et n'oubliez pas d'utiliser toujours un VPN
Plus important qu'un bon DNS, vous devriez toujours utiliser un VPN fort dans la bataille pour la confidentialité en ligne.
Tous les fournisseurs VPN réputés fourniront également leurs propres adresses DNS. Cependant, vous devrez parfois mettre à jour manuellement votre DNS en utilisant les méthodes décrites ci-dessus. Ne pas le faire entraînera une fuite DNS.
Mais juste parce que votre fournisseur de VPN fournit ses propres adresses DNS, vous pouvez toujours utiliser les adresses de Cloudflare à la place. En fait, c'est recommandé. Il est très improbable que le DNS de votre VPN soit aussi sophistiqué ou aussi robuste que le nouveau service 1.1.1.1.
Si vous recherchez un fournisseur VPN solide et fiable, nous vous recommandons ExpressVPN, CyberGhost ou Private Internet Access.