Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

1.1.1.1 ou 9.9.9.9 ou 8.8.8.8 ? Quel DNS choisir ?

Vous n'en avez peut-être pas conscience, mais à chaque fois que vous tapez une URL dans la barre d'adresse de votre navigateur, celle-ci transite en clair jusqu'au serveur DNS que vous utilisez. Celui-ci se charge alors de la résolution du nom de domaine, et vous indique à votre machine comment se mettre en relation avec le bon serveur qui vous distribuera la donnée attendue.

Seulement voilà, niveau confidentialité, c'est pas top, car dans la majorité des cas, les appels DNS se font en clair. Ainsi, une entité située entre vous et le site contacté est donc parfaitement capable de savoir sur quel site vous allez. Après évidemment, comme la plupart des sites sont maintenant en HTTPS, ce que vous faites précisément sur ces sites est chiffré. Mais "on" sait encore sur quels sites vous allez.

Et cette donnée a de la valeur, car c'est grâce à cela qu'on peut enrichir de la "big data", analyser vos habitudes, mieux vous cibler pour vous afficher de la publicité…etc.

Pourtant des solutions existent comme DNS-over-TLS et DNS-over-HTTPS qui permettent d'encapsuler les requêtes DNS dans des protocoles chiffrés. Malheureusement, elles sont encore peu implémentées.

Toutefois, cela risque de changer, car Cloudflare qui accélère une grosse partie des sites de la planète grâce à son CDN, propose maintenant son propre DNS. Et il est encore plus facile à retenir que le 8.8.8.8 de Google puisqu'il s'agit du :

1.1.1.1

Ou encore :

  • 1.0.0.1
  • 2606:4700:4700::1111
  • 2606:4700:4700::1001

Ma première pensée lors de cette annonce a été par rapport à la vie privée des internautes. Car comme toujours, cela est une solution à double tranchant. En effet, le fournisseur du DNS sait sur quels sites vous surfez.

Le DNS de Cloudflare est un bon DNS, car il est le plus rapide, mais aussi parce qu'ils ont pris les devants et s'engagent à ne pas revendre les données, et ne conservent pas les logs au-delà de 24h.

Le principal avantage bien sûr c'est que contrairement au DNS de Google qui permet de mieux vous profiler pour vous balancer de la pub, on sait que Cloudflare ne trempe pas là dedans. Cela reste une boite américaine donc c'est évidemment à prendre avec toutes les précautions d'usage.

Donc OK pour l'internaute c'est super.

Mais j'imagine que pour Cloudflare, connaitre les requêtes vers l'ensemble des sites web d'un grand nombre d'internautes, va leur apporter un avantage technique et commercial pour mieux gérer et vendre leur réseau CDN.

D'un côté, Cloudflare vous rend service, mais en échange, vous lui fournissez vos données de surf. (car Cloudflare continuera à le savoir alors que les intermédiaires comme votre FAI seront dans le noir). Ce n'est ni bien, ni mal, mais il faut en avoir conscience.

Si cela vous dérange, vous pouvez toujours vous retourner vers un DNS comme celui de FDN ou celui de Quad9 dont l'IP est 9.9.9.9 qui est géré par une organisation à but non lucratif, et qui propose le même niveau de sécurité que celui de Cloudflare, avec je crois un peu d'intelligence dans la détection des menaces pour vous empêcher de vous retrouver sur des sites contenant des malwares ou des pages de phishing.

Il est un peu moins rapide, mais je pense que ça reste un bon compromis.

En tout cas, que vous choisissiez 9.9.9.9 ou 1.1.1.1, c'est à vous de décider, mais c'est l'occasion de stopper la collecte de vos données personnelles en passant par le 8.8.8.8.

Clé HDMI avec Miracast et DLNA pour streaming TV MMS-1080 TVPeCee | Pearl.fr

Transformez votre téléviseur en lecteur streaming ! Il vous suffit de brancher la clé sur un port HDMI et le tour est joué. Appariez-la à votre appareil mobile pour transférer le contenu de ce dernier vers votre appareil de lecture. L’idéal pour profiter de vos photos, vidéos et mêmes applications en grand !


Réponses notables

  1. Hello !

    Et pourquoi ne pas utiliser dnscrypt-proxy ? :stuck_out_tongue_winking_eye:
    dnscrypt-proxy

    Ce petit logiciel multi plateformes, dont on a accès au code, et made in France il me semble, propose d’utiliser le plus rapide des serveurs DNS d’une liste maintenue par l’auteur (ou une perso).
    Ces serveurs proposent entre autres DNSCrypt v2 et DNS-over-HTTP/2, et/ou ne mentent pas, et ne logguent pas les requêtes… Là on est sûr que le FAI ne voit plus rien côté DNS…

    Le programme tourne aussi bien sur Android que sur Windows, Linux ou Mac.

    Oui c’est vrai, il faut mettre en place le service… mais tout est facilité à l’extrême… :wink:

    Il y a même une alternative qui ajoute une interface graphique pour les plus réticents :
    simplednscrypt

  2. Merci pour le partage…J’ai choisi 1.1.1.1 et il fonctionne très bien…!

  3. Personnellement, 127.0.0.1, avec Unbound. Quand Unbound trouve pas dans son cache, il fait comme n’importe quel serveur DNS : il contacte directement les serveurs racine. Je pense que c’est le DNS le plus rapide qui soit :stuck_out_tongue:

  4. Petite rectification Korben, ce n’est pas l’URL qui transite en clair jusqu’au serveur DNS mais seulement le FQDN.

    Merci ProFoX, connaissais pas dnscrypt-proxy !

  5. Exact ! merci pour la précision. Cela dit, si je commence à attaquer cash en parlant de FQDN, je vais perdre pas mal de gens. Je sais que c’est imprécis mais je me dois de vulgariser un peu.

  6. Question: et dans le cas de serveurs virtuels ou d’un hébergement partagé? Tous les noms de domaines servis depuis un même serveur physique ne renvoient-ils pas la même IP?

  7. Et si on passe par un vpn ? y a plus de problème ? (a par le vpn lui meme bien sur)

  8. greee says:

    quelques tests namebench me disent qu’il est peu recommandé d’utiliser ces serveurs, ils sont pour l’instant assez rapides…

  9. alors que les intermédiaires comme votre FAI seront dans le noir

    Comment le FAI peut il être dans le noir ? Il est situé entre nous et le serveur DNS non ? Du coup il intercepte les paquets en clairs ? Je pige pas un truc là :roll_eyes:

  10. J’ai décidé d’opter pour un VPN payant Private Internet Access, et pour le moment je ne regrette pas l’investissement, que ce soit sur pc ou sur android. Et je peux avoir 5 appareils connectés simultanément.

  11. Pour ma part j’ai choisi 1.1.1.1 depuis qu’il a été annoncé, je l’ai mis partout, iPhone iPad ordinateur et je ne m’en porte pas plus mal. Seul problème il est impossible de le définir sur la connexion 4G (Sur iPhone). Je me doute que c’est tout à fait possible sous Android.

  12. Oui, je me basais sur la version disponible sur ma Debian Stretch, qui ne l’a pas encore :

    $  apt search dnscrypt
    En train de trier… Fait
    Recherche en texte intégral… Fait
    dnscrypt-proxy/stable,now 1.9.4-1 amd64 [installé]
    Tool for securing communications between a client and a DNS resolver

    dnscrypt-proxy-plugins/stable,now 1.9.4-1 amd64 [installé]
    Plugins for dnscrypt-proxy

  13. Ne choisir qu’un DNS, c’est un peu comme rentrer dans un “hyper-marché” et ne choisir que de la cacahuète comme base d’alimentation … Le “spécialiste” qui te dis : “Fumes du 8.8.8.8 c’est du bon”, c’est un peu comme le pédophile qui échange à la sortie d’une primaire … Jusqu’à preuve du contraire, certains DNS fournis par nos FAI nationaux sont moins vérolés que ce qu’ont nous propose sur certains sites, qualifiés de spécialistes. Il est bon de savoir qu’une “box” internet qui se respecte, devrait pouvoir être paramétrée sur plusieurs DNS, au cas où … Du coup si la votre ne le permet pas, changez de FAI.

    (PS : Z’avez-vu l’exemple du pédophile, comme ça marche bien ? La prochaine fois je prend le terroriste à ceinture explosive pour comparer…)

Continuer la discussion sur Korben Communauté

13 commentaires supplémentaires dans les réponses

Participants