Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

1.1.1.1 ou 9.9.9.9 ou 8.8.8.8 ? Quel DNS choisir ?

Vous n'en avez peut-être pas conscience, mais à chaque fois que vous tapez une URL dans la barre d'adresse de votre navigateur, celle-ci transite en clair jusqu'au serveur DNS que vous utilisez. Celui-ci se charge alors de la résolution du nom de domaine, et vous indique à votre machine comment se mettre en relation avec le bon serveur qui vous distribuera la donnée attendue.

Seulement voilà, niveau confidentialité, c'est pas top, car dans la majorité des cas, les appels DNS se font en clair. Ainsi, une entité située entre vous et le site contacté est donc parfaitement capable de savoir sur quel site vous allez. Après évidemment, comme la plupart des sites sont maintenant en HTTPS, ce que vous faites précisément sur ces sites est chiffré. Mais "on" sait encore sur quels sites vous allez.

Et cette donnée a de la valeur, car c'est grâce à cela qu'on peut enrichir de la "big data", analyser vos habitudes, mieux vous cibler pour vous afficher de la publicité…etc.

Pourtant des solutions existent comme DNS-over-TLS et DNS-over-HTTPS qui permettent d'encapsuler les requêtes DNS dans des protocoles chiffrés. Malheureusement, elles sont encore peu implémentées.

Toutefois, cela risque de changer, car Cloudflare qui accélère une grosse partie des sites de la planète grâce à son CDN, propose maintenant son propre DNS. Et il est encore plus facile à retenir que le 8.8.8.8 de Google puisqu'il s'agit du :

1.1.1.1

Ou encore :

  • 1.0.0.1
  • 2606:4700:4700::1111
  • 2606:4700:4700::1001

Ma première pensée lors de cette annonce a été par rapport à la vie privée des internautes. Car comme toujours, cela est une solution à double tranchant. En effet, le fournisseur du DNS sait sur quels sites vous surfez.

Le DNS de Cloudflare est un bon DNS, car il est le plus rapide, mais aussi parce qu'ils ont pris les devants et s'engagent à ne pas revendre les données, et ne conservent pas les logs au-delà de 24h.

Le principal avantage bien sûr c'est que contrairement au DNS de Google qui permet de mieux vous profiler pour vous balancer de la pub, on sait que Cloudflare ne trempe pas là dedans. Cela reste une boite américaine donc c'est évidemment à prendre avec toutes les précautions d'usage.

Donc OK pour l'internaute c'est super.

Mais j'imagine que pour Cloudflare, connaitre les requêtes vers l'ensemble des sites web d'un grand nombre d'internautes, va leur apporter un avantage technique et commercial pour mieux gérer et vendre leur réseau CDN.

D'un côté, Cloudflare vous rend service, mais en échange, vous lui fournissez vos données de surf. (car Cloudflare continuera à le savoir alors que les intermédiaires comme votre FAI seront dans le noir). Ce n'est ni bien, ni mal, mais il faut en avoir conscience.

Si cela vous dérange, vous pouvez toujours vous retourner vers un DNS comme celui de FDN ou celui de Quad9 dont l'IP est 9.9.9.9 qui est géré par une organisation à but non lucratif, et qui propose le même niveau de sécurité que celui de Cloudflare, avec je crois un peu d'intelligence dans la détection des menaces pour vous empêcher de vous retrouver sur des sites contenant des malwares ou des pages de phishing.

Il est un peu moins rapide, mais je pense que ça reste un bon compromis.

En tout cas, que vous choisissiez 9.9.9.9 ou 1.1.1.1, c'est à vous de décider, mais c'est l'occasion de stopper la collecte de vos données personnelles en passant par le 8.8.8.8.


Réponses notables

  1. Hello !

    Et pourquoi ne pas utiliser dnscrypt-proxy ? :stuck_out_tongue_winking_eye:
    dnscrypt-proxy

    Ce petit logiciel multi plateformes, dont on a accès au code, et made in France il me semble, propose d’utiliser le plus rapide des serveurs DNS d’une liste maintenue par l’auteur (ou une perso).
    Ces serveurs proposent entre autres DNSCrypt v2 et DNS-over-HTTP/2, et/ou ne mentent pas, et ne logguent pas les requêtes… Là on est sûr que le FAI ne voit plus rien côté DNS…

    Le programme tourne aussi bien sur Android que sur Windows, Linux ou Mac.

    Oui c’est vrai, il faut mettre en place le service… mais tout est facilité à l’extrême… :wink:

    Il y a même une alternative qui ajoute une interface graphique pour les plus réticents :
    simplednscrypt

  2. Merci pour le partage…J’ai choisi 1.1.1.1 et il fonctionne très bien…!

  3. Personnellement, 127.0.0.1, avec Unbound. Quand Unbound trouve pas dans son cache, il fait comme n’importe quel serveur DNS : il contacte directement les serveurs racine. Je pense que c’est le DNS le plus rapide qui soit :stuck_out_tongue:

  4. Petite rectification Korben, ce n’est pas l’URL qui transite en clair jusqu’au serveur DNS mais seulement le FQDN.

    Merci ProFoX, connaissais pas dnscrypt-proxy !

  5. Exact ! merci pour la précision. Cela dit, si je commence à attaquer cash en parlant de FQDN, je vais perdre pas mal de gens. Je sais que c’est imprécis mais je me dois de vulgariser un peu.

  6. Question: et dans le cas de serveurs virtuels ou d’un hébergement partagé? Tous les noms de domaines servis depuis un même serveur physique ne renvoient-ils pas la même IP?

  7. Et si on passe par un vpn ? y a plus de problème ? (a par le vpn lui meme bien sur)

  8. alors que les intermédiaires comme votre FAI seront dans le noir

    Comment le FAI peut il être dans le noir ? Il est situé entre nous et le serveur DNS non ? Du coup il intercepte les paquets en clairs ? Je pige pas un truc là :roll_eyes:

  9. J’ai décidé d’opter pour un VPN payant Private Internet Access, et pour le moment je ne regrette pas l’investissement, que ce soit sur pc ou sur android. Et je peux avoir 5 appareils connectés simultanément.

Continuer la discussion sur Korben Communauté

5 commentaires supplémentaires dans les réponses

Participants

Les astuces complexes utilisées pour accroître l’efficacité de ces attaques peuvent être regroupées en deux catégories distinctes : premièrement, les stratégies d’ingénierie sociale qui cherchent à semer la confusion chez les utilisateurs; et deuxièmement les mécanismes techniques sophistiqués qui tentent d’entraver la détection et l’analyse des logiciels malveillants

Utiliser des comptes frauduleux dans la boutique Google Play, afin de distribuer des logiciels malveillants

Pour les cybercriminels, introduire leurs applications malveillantes dans la boutique Google Play et sur le marché des applications authentiques représente une énorme victoire.

Se camoufler au sein des applications système

Le moyen le plus facile pour un code malveillant de se cacher sur un appareil, de loin, est de se faire passer pour une application système et de passer aussi inaperçu que possible. Les mauvaises pratiques telles que la suppression de l’icône de l’application une fois l’installation terminée ou l’utilisation de noms, paquets et icônes d’applications système et autres applications populaires pour compromettre un appareil sont des stratégies qui émergent dans le code. On se rappellera par exemple du cheval de Troie bancaire qui s’est fait passer pour Adobe Flash Player pour voler des informations d’identification.

Lire la suite



Installer le shell Bash (Linux) sous Windows 10

L’année dernière, ça ne vous a pas échappé, Bash a fait son apparition sous Windows 10. C’est pour moi, la meilleure chose qui soit arrivée à Windows depuis un moment, car ça permet de lancer des outils Linux et de développer ses propres scripts Shell directement sous Windows. Le pied !

Mais même si c’est parfaitement fonctionnel, il faut quand même faire un..

Lire la suite



SanDisk Carte Mémoire microSDHC SanDisk Ultra 32GB + Adaptateur SD

– 30 % de réduction

Caractéristiques:

Capacité jusqu’à 256 Go *
Jusqu’à 100 Mo / s ** Vitesse de transfert
Chargez les applications plus rapidement avec une classe de performance A1
UHS Speed Class U1 et Speed Class 10 pour l’enregistrement / la lecture vidéo Full HD
Idéal pour les smartphones et les tablettes Android

Voir l’offre


2 outils pour enregistrer et automatiser des actions sous Windows

Le site Vtask propose 2 freewares (pour Windows) plutôt sympa pour qui cherche à enregistrer des actions faites au clavier et à la souris afin de les automatiser. Le premier s’appelle TinyTask. Il pèse 33 kb et propose une fonctionnalité d’enregistrement ainsi que la possibilité de rejouer sans fin ce que vous avez enregistré.

Ce qui est pratique avec cet outil, c’est qu’il intègre…

Lire la suite



Toshiba HDTB410EK3AA Disque Dur Externe Portable 2,5″ 1 to USB 3.0

#1 Meilleure vente Stockage

Disque due externe de 2,5 pouces
Finition mate
Port USB 3.0 grande vitesse
Alimentation USB

En Savoir +