Article en partenariat avec NextDNS
Cela fait plusieurs semaines que je teste le fournisseur de DNS NextDNS. Vous le connaissez sûrement puisque j’en ai parlé dans mon article sur les DNS over HTTPS et j’ai bien eu le temps de le tester. C’est donc le moment de vous faire un retour sur ce fournisseur de DNS.
Avant toute chose, vous devez savoir que ce service est français ! Cocorico ! Il a été fondé par Romain Cointepas et Olivier Poitrey. Pour la petite histoire, Olivier bosse chez Netflix actuellement et les 2 compères se sont rencontrés chez Dailymotion. Dailymotion qu’Olivier a fondé en 2005.
Avec NextDNS, ils se lancent dans une nouvelle aventure en proposant un service qui de prime abord ressemble à un service de DNS comme celui de Cloudflare ou de Google sauf que NextDNS a la particularité d’être entièrement configurable et surtout sans tracking. C’est un service de DNS qui n’utilise pas vos données, qui ne les revend pas et sur lequel vous avez la main, notamment en termes de sécurité.
Avant d’aller plus loin, vous devez déjà savoir que NextDNS est un service payant, mais disposant d’un tiers gratuit qui propose l’ensemble des fonctionnalités jusqu’à 300 000 requêtes par mois. Si vous dépassez ces 300 000 requêtes, ça reste bien sûr gratuit, le service bascule simplement jusqu’au mois prochain en résolveur DNS classique (il n’y aura tout simplement plus toutes les fonctionnalités que je vais vous présenter).
Il y a différents forfaits payants qui commencent à partir de 1,99 $ par mois pour le particulier. Alors vous allez me dire : « Pourquoi payer un service de DNS ?« .
Je vous propose qu’on rentre dans le dur pour bien comprendre l’intérêt de ce service.
La sécurité
Premièrement, NextDNS offre une grosse couche de sécurité qui vous permet de bloquer automatiquement la résolution de certains noms de domaine en fonction de listes fournies par différents acteurs.
Vous pouvez par exemple bloquer les sites remontés par Google comme les sites fournissant des malwares ou proposant des pages de phishing. Tout ce qui est cryptojacking, c’est-à-dire les sites utilisant votre navigateur pour miner de la cryptomonnaie à votre insu, peut être également bloqué.
Le typosquatting vous connaissez ? Il s’agit de prendre un nom de domaine qui ressemble vraiment à un nom de domaine officiel et tromper les gens qui feraient des fautes de frappe ou en utilisant des caractères ASCII graphiquement proche de véritables lettres de l’alphabet. Et bien ici, même chose, NextDNS vous protège.
Sur le web certains « pièges » sont également tendus aux internautes à l’aide de domaines fraîchement enregistrés et NextDNS est là pour bloquer ces noms de domaine trop jeunes pour être fiables (-30 jours). C’est une fonctionnalité de protection pratique et assez unique dans son genre, surtout qu’elle est (elle aussi) open source et que chaque utilisateur peut y contribuer (tout se passe ici).
En ce qui me concerne, je l’ai désactivée, car je teste souvent des choses qui viennent tout juste de sortir et j’ai donc régulièrement besoin d’accéder à des sites récents. Je précise ici que c’est mon utilisation perso, celle dont j’ai besoin pour travailler au quotidien. Ce n’est pas le plus optimal niveau sécu, mieux vaut opter pour le blocage par défaut et ajouter des sites autorisés au cas par cas.
Même punition pour les domaines en parking, pour les sites proposant du contenu pédo ou encore les domaines utilisés par certains attaquants pour prendre le contrôle de vos appareils locaux à l’aide d’une technique qui s’appelle le DNS Rebinding.
Toujours la partie sécurité, NextDNS tient à jour une liste de domaines constituant des menaces qui est mise à jour en temps réel pour empêcher ses utilisateurs de se retrouver dans un piège de type phishing.
Une fois encore, toutes ces options sont personnalisables selon vos besoins, donc pas d’inquiétude de vous retrouver bloqué à un moment ou un autre. L’idéal est, bien entendu, de commencer par un niveau de protection maximum que vous « allégez » si vous en avez besoin.
La vie privée
Sur l’aspect vie privée, NextDNS offre des protections contre les traqueurs et autres publicités un peu comme le font les Adblocks avec en supplément le blocage des pubs in-app (Apple, Amazon, Huawei, Xiaomi…etc.).
NextDNS propose de nombreuses listes plus ou moins connues de filtrage auxquelles il vous suffit de vous abonner. Vous y trouverez forcément votre bonheur ! Par contre, NextDNS ne permet pas de mettre en liste blanche vos sites préférés pour les soutenir en les laissant afficher la pub. Dommage pour les gentils créateurs de contenus comme moi, mais l’équipe m’a expliqué c’est en fait dû à une impossibilité technique (problème pour dissocier un même ad server présent sur plusieurs sites au niveau des DNS).
Le contrôle parental
Une fonctionnalité que je n’utilise pas encore, mais qui plaira aux parents soucieux, c’est la possibilité d’avoir un contrôle parental au niveau du DNS. Bon, on sait ce que ça vaut, car il suffit de changer de DNS pour contourner le truc, mais si vos enfants sont jeunes et pas encore des petits hackers en shorts, sachez que vous pouvez mettre en place des blocages d’applications, de sites web, de jeux, ou encore forcer la « Safe Search » de YouTube ou du moteur de recherche Google pour éviter de tomber sur du porno en cherchant un coloriage de la Pat’Patrouille.
Gérer les exceptions au filtrage
En fonctionnalités importantes, vous disposez également d’une liste de domaines autorisés ou de domaines interdits sur lesquelles vous avez la main. Pratique pour débrider le système et autoriser quand même un domaine que NextDNS bloquerait sans devoir désactiver certaines options globales importantes pour vous.
Et en bonus…
Un truc qui pourrait être gênant pour certains, ce sont les logs. Avec NextDNS, vous avez accès à la liste de toutes les résolutions DNS (bloquées ou non), donc potentiellement pouvoir « espionner » ce que font les gens qui utilisent votre routeur. Pour ma part, j’ai désactivé les logs comme ça pas de souci. Sachez simplement que dans ce cas aucun log n’est émis dès la source, à savoir le serveur DNS. Si vous les gardez, les logs peuvent être téléchargés au format CSV si besoin.
Un onglet Analytics propose également des statistiques sur l’utilisateur de votre DNS qui sont assez intéressantes comme les domaines les plus fréquemment résolus, la domination des GAFAM dans votre quotidien, les appareils qui font le plus de requêtes chez vous, les domaines les plus bloqués…etc. Attention, aucune stat ne sera visible si, comme moi, vous bloquez les logs DNS.
Encore une fois c’est à vous de personnaliser le service selon vos besoins et vos critères, certains auront envie de récolter un max d’infos sur l’utilisation qui est faite alors que pour d’autres ce ne sera pas important. Toutes les clés sont dans vos petites mains potelées.
Il est également possible de faire des règles de réécriture custom pour rediriger de manière transparente certains domaines vers l’IP, le domaine ou sous-domaine de votre choix.
En options « annexes » que j’ai kiffées, il y a des petites choses très intéressantes dans NextDNS. Il est par exemple possible de booster les performances de la résolution…
…ou de rejoindre l’initiative Handshake qui propose de la résolution DNS décentralisée indépendamment de l’ICANN. En gros, vous pouvez enregistrer votre domaine.CEQUEVOUSVOULEZ et les utilisateurs de NextDNS auront accès à votre site via ce domaine totalement personnalisé.
Un beau projet !
Vous l’aurez compris, NextDNS permet de vraiment customiser votre résolution DNS de manière très poussée et plus complète que ce que vous pourriez faire si vous installiez un logiciel de résolution DNS sur votre propre serveur. Avec l’avantage supplémentaire que la solution est accessible à tous et en quelques clics !
Maintenant pour implémenter NextDNS chez vous, vous avez de nombreuses possibilités. Vous pouvez passer par les applications Android, iOS, Windows, macOS, Linux ou les extensions navigateurs comme ça se fait beaucoup en ce moment.
Comme vous pouvez créer et gérer différents profils, vous obtiendrez alors des points d’accès DNS différents. Ainsi, vous pouvez faire un accès DNS pour vos enfants, un accès DNS pour vos invités et un accès DNS pour vous ou en fonction de vos appareils.
Mais vous allez me dire : « Oui, mais moi j’ai un routeur et il ne prend que des IPv4 comme DNS, alors que faire ? ».
Et bien no stress puis que chez NextDNS, ils y ont pensé. Ils fournissent 2 IPv4 traditionnelles et vous pouvez ensuite lier votre IP fixe ou un DDNS (nom de domaine dynamique) pour ceux qui n’ont pas d’IP fixe, avec le service de NextDNS. Il saura ainsi quelles règles appliquer aux requêtes DNS réceptionnées en fonction de votre IP.
Je suis assez bluffé par le service, car ils ont vraiment pensé à tout. Un truc aussi que je vous invite à activer, c’est la page de blocage. Par défaut, quand un domaine ne se résout pas, et bien vous avez une erreur navigateur classique, mais vous ne savez pas vraiment ce qui coince. Est-ce que c’est NextDNS qui bloque ou est ce que c’est le site que vous essayez de joindre qui est HS ? Mystère.
Mais en activant la page de blocage, vous verrez une jolie page bleue qui vous indiquera vraiment que NextDNS a bloqué le site. Ça permet à vos utilisateurs ou vous-même de savoir directement où ça coince. De mon côté, je l’ai activé pour indiquer à ma petite famille qu’il faut venir me voir s’il y a un blocage. C’est mieux.
Si ça vous intéresse, vous pouvez vous inscrire et tester gratuitement NextDNS en passant par ce lien (lien affilié comme il se doit). Et si ça vous plaît, vous pourrez ensuite passer en mode payant.