Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

1.1.1.1 ou 9.9.9.9 ou 8.8.8.8 ? Quel DNS choisir ?

Vous n'en avez peut-être pas conscience, mais à chaque fois que vous tapez une URL dans la barre d'adresse de votre navigateur, celle-ci transite en clair jusqu'au serveur DNS que vous utilisez. Celui-ci se charge alors de la résolution du nom de domaine, et vous indique à votre machine comment se mettre en relation avec le bon serveur qui vous distribuera la donnée attendue.

Seulement voilà, niveau confidentialité, c'est pas top, car dans la majorité des cas, les appels DNS se font en clair. Ainsi, une entité située entre vous et le site contacté est donc parfaitement capable de savoir sur quel site vous allez. Après évidemment, comme la plupart des sites sont maintenant en HTTPS, ce que vous faites précisément sur ces sites est chiffré. Mais "on" sait encore sur quels sites vous allez.

Et cette donnée a de la valeur, car c'est grâce à cela qu'on peut enrichir de la "big data", analyser vos habitudes, mieux vous cibler pour vous afficher de la publicité…etc.

Pourtant des solutions existent comme DNS-over-TLS et DNS-over-HTTPS qui permettent d'encapsuler les requêtes DNS dans des protocoles chiffrés. Malheureusement, elles sont encore peu implémentées.

Toutefois, cela risque de changer, car Cloudflare qui accélère une grosse partie des sites de la planète grâce à son CDN, propose maintenant son propre DNS. Et il est encore plus facile à retenir que le 8.8.8.8 de Google puisqu'il s'agit du :

1.1.1.1

Ou encore :

  • 1.0.0.1
  • 2606:4700:4700::1111
  • 2606:4700:4700::1001

Ma première pensée lors de cette annonce a été par rapport à la vie privée des internautes. Car comme toujours, cela est une solution à double tranchant. En effet, le fournisseur du DNS sait sur quels sites vous surfez.

Le DNS de Cloudflare est un bon DNS, car il est le plus rapide, mais aussi parce qu'ils ont pris les devants et s'engagent à ne pas revendre les données, et ne conservent pas les logs au-delà de 24h.

Le principal avantage bien sûr c'est que contrairement au DNS de Google qui permet de mieux vous profiler pour vous balancer de la pub, on sait que Cloudflare ne trempe pas là dedans. Cela reste une boite américaine donc c'est évidemment à prendre avec toutes les précautions d'usage.

Donc OK pour l'internaute c'est super.

Mais j'imagine que pour Cloudflare, connaitre les requêtes vers l'ensemble des sites web d'un grand nombre d'internautes, va leur apporter un avantage technique et commercial pour mieux gérer et vendre leur réseau CDN.

D'un côté, Cloudflare vous rend service, mais en échange, vous lui fournissez vos données de surf. (car Cloudflare continuera à le savoir alors que les intermédiaires comme votre FAI seront dans le noir). Ce n'est ni bien, ni mal, mais il faut en avoir conscience.

Si cela vous dérange, vous pouvez toujours vous retourner vers un DNS comme celui de FDN ou celui de Quad9 dont l'IP est 9.9.9.9 qui est géré par une organisation à but non lucratif, et qui propose le même niveau de sécurité que celui de Cloudflare, avec je crois un peu d'intelligence dans la détection des menaces pour vous empêcher de vous retrouver sur des sites contenant des malwares ou des pages de phishing.

Il est un peu moins rapide, mais je pense que ça reste un bon compromis.

En tout cas, que vous choisissiez 9.9.9.9 ou 1.1.1.1, c'est à vous de décider, mais c'est l'occasion de stopper la collecte de vos données personnelles en passant par le 8.8.8.8.


Brèche de données de Marriott Starwood : 5 conseils que les voyageurs devraient appliquer maintenant



contenu proposé par ESET sécurité

Voici quelques mesures défensives en cas de compromission de vos données personnelles à travers le cas des clients du Marriott Starwood

Si vous vous intéressez à la cybersécurité, à la protection des données ou à l’hébergement dans des hôtels, vous avez probablement entendu dire que Marriott International a annoncé la semaine dernière une énorme violation de données comprises dans la base de données de réservation Starwood. D’après un article du Washington Post sur la brèche « les informations personnelles de 500 millions d’invités auraient pu être volées ». L’une des raisons pour lesquelles le nombre est si élevé est que la marque Starwood englobe de nombreuses propriétés différentes, dont Sheraton, Westin, Le Méridien, Aloft, The Luxury Collection, et W Hotels. Une autre raison est que, selon les responsables de l’entreprise, une tierce partie non autorisée avait accédé à la base de données depuis 2014.

Le site Web officiel de Starwood fournissant des informations sur cette brèche est…


Lire la suite



Réponses notables

  1. Hello !

    Et pourquoi ne pas utiliser dnscrypt-proxy ? :stuck_out_tongue_winking_eye:
    dnscrypt-proxy

    Ce petit logiciel multi plateformes, dont on a accès au code, et made in France il me semble, propose d’utiliser le plus rapide des serveurs DNS d’une liste maintenue par l’auteur (ou une perso).
    Ces serveurs proposent entre autres DNSCrypt v2 et DNS-over-HTTP/2, et/ou ne mentent pas, et ne logguent pas les requêtes… Là on est sûr que le FAI ne voit plus rien côté DNS…

    Le programme tourne aussi bien sur Android que sur Windows, Linux ou Mac.

    Oui c’est vrai, il faut mettre en place le service… mais tout est facilité à l’extrême… :wink:

    Il y a même une alternative qui ajoute une interface graphique pour les plus réticents :
    simplednscrypt

  2. Merci pour le partage…J’ai choisi 1.1.1.1 et il fonctionne très bien…!

  3. Personnellement, 127.0.0.1, avec Unbound. Quand Unbound trouve pas dans son cache, il fait comme n’importe quel serveur DNS : il contacte directement les serveurs racine. Je pense que c’est le DNS le plus rapide qui soit :stuck_out_tongue:

  4. Petite rectification Korben, ce n’est pas l’URL qui transite en clair jusqu’au serveur DNS mais seulement le FQDN.

    Merci ProFoX, connaissais pas dnscrypt-proxy !

  5. Exact ! merci pour la précision. Cela dit, si je commence à attaquer cash en parlant de FQDN, je vais perdre pas mal de gens. Je sais que c’est imprécis mais je me dois de vulgariser un peu.

  6. Question: et dans le cas de serveurs virtuels ou d’un hébergement partagé? Tous les noms de domaines servis depuis un même serveur physique ne renvoient-ils pas la même IP?

  7. Et si on passe par un vpn ? y a plus de problème ? (a par le vpn lui meme bien sur)

  8. alors que les intermédiaires comme votre FAI seront dans le noir

    Comment le FAI peut il être dans le noir ? Il est situé entre nous et le serveur DNS non ? Du coup il intercepte les paquets en clairs ? Je pige pas un truc là :roll_eyes:

  9. J’ai décidé d’opter pour un VPN payant Private Internet Access, et pour le moment je ne regrette pas l’investissement, que ce soit sur pc ou sur android. Et je peux avoir 5 appareils connectés simultanément.

Continuer la discussion sur Korben Communauté

7 commentaires supplémentaires dans les réponses

Participants

Vérifiez la sécurité de votre compte Gmail

Je ne recommande à personne d’utiliser une boite mail Gmail pour tout un tas de raisons liées à l’exploitation des données personnelles, au patriot act, en passant par la lecture automatisée des emails…etc.

Toutefois si vous avez encore un compte Gmail, qui plus est, ancien mais encore en activité, il serait peut-être bien de vérifier la qualité de sa sécurité. …

Lire la suite



Comment bloquer Red Shell, le spyware des gamers

Si vous suivez un peu l’actualité du jeu vidéo, vous n’avez surement pas manqué la polémique Red Shell. Cet outil mis sur le marché en 2017 par la société Innervate est très utilisé par les éditeurs de jeux pour mesurer la quantité de nouvelles installations de leurs jeux générés par une pub Facebook, YouTube ou Twitter.

Lire la suite



Mettre en place un backup de Github

C’est cool de faire confiance à des sites pour conserver nos données, mais il peut arriver à un moment que celles-ci disparaissent. Soit parce que vous ne respectez plus les CGU du site, soit parce que le site a subi une panne vraiment importante et que leur processus de sauvegarde a été négligé, soit parce que vous avez vous-même supprimé vos données par erreur tel un gros boulet (ça arrive souvent aussi, même aux meilleurs).

Lire la suite