Sous ce nom barbare se cache le coeur du réseau internet, c’est sans conteste le moteur de la toile, ignoré par la plupart des internautes, le système de nom de domaine est pourtant pas si compliqué et mérite largement que l’on s’y intéresse un minimum.
Domaine Name System ( Système de nom de domaine )
Sous ce nom barbare se cache le coeur du réseau internet, c’est sans conteste le moteur de la toile, ignoré par la plupart des internautes, le système de nom de domaine est pourtant pas si compliqué et mérite largement que l’on s’y intéresse un minimum. Mieux comprendre Internet et son fonctionnement vous aidera a mieux utiliser ce formidable outil qu’est internet en détectant les pièges qui sont de plus en plus nombreux.
Le DNS est un service qui agit comme un annuaire répertoriant tous les noms de domaine. Quand vous naviguez sur le web, vous suivez des liens qui vous emmène sur le nom de domaine qui héberge l’article ou le fichier que vous souhaitez lire ou télécharger. Pour comprendre ce qu(il se passe pendant cette opération un petite explication sur les noms de domaine s’impose.
Nom de domaine
Internet est constitué d’ordinateurs serveurs qui détiennent les informations recherchées par les ordinateurs clients , les serveurs obtiennent un numéro publique auprès d’un organisme agréé . Ce numéro appelé adresse IP (Internet Protocol) est associé a un nom de domaine comme initiatux.com ce qui évite a l’utilisateur de mémoriser une adresse IP comme 215.256.245.23. Ainsi quand vous visitez Initiatux, il suffit de taper le nom de domaine « initiatux.com » dans la barre d’adresse pour vous retrouver sur la page d’accueil du site qui se trouve sur un serveur web. Mais comment savoir sur quel serveur web se trouve le site initiatux.com ? Vous imaginez bien que votre ordinateur ne peut pas interroger tous les serveurs web de la planète pour savoir ou se trouve initiatux.com, cela risquerai de durer un temps certain … C’est le rôle du système de nom de domaine (DNS) qui est un système hiérarchisé distribué par des serveurs DNS.
Les DNS a la rescousse !
Pour accélérer la recherche, des serveurs dédiés assurent le rôle d’annuaire, ainsi quand vous cliquez sur un lien web, un serveur de DNS est interrogé et vous redirige sur le serveur web ou est hébergé le nom de domaine que vous cherchez. Ce serveur DNS recherche dans son cache et si il ne trouve pas le domaine recherché il interroge des serveurs de niveau supérieur et ainsi de suite jusqu’au serveurs maître que l’on appelle serveurs racine « Serveurs Root ».
Au tout début d’internet les noms de domaines n’étaient pas aussi nombreux et étaient listés dans un fichier centralisé qui parle aux utilisateurs Linux c’est le fichier hosts qui est toujours utilisé actuellement pour lister les ordinateurs du réseau, ce qui permet de se passer d’un serveur DNS sur de petits réseaux locaux comme votre réseau privé. En 1982 le fichier hosts.txt qui était maintenu par le NIC contenait quand même 5000 noms de domaines , cela représentai une sacré liste a mettre a jour, il a donc fallu trouver une solution pour simplifier la gestion des noms de domaine
La naissance du DNS
C’est en 1983 que la solution crée par l’équipe dirigée par Elizabeth Feinler a été retenue pour assurer la gestion des noms de domaine. C’est un système hiérarchique avec des serveurs racines (root) représentés par un point (.)
Ce système hiérarchique représente des domaines et des sous domaine qui sont délégués ou pas. La délégation permet d‘ indiquer que les informations du sous domaine sont stockées sur un autre serveur. Ce sont en fait des zones (des ensembles de domaines et sous domaine). Les serveurs racine sont gérés par douze organisations différentes dans le monde, il y en a deux Européennes, une Japonaise et les neuf autres sont Américaines.
Top Level Domain ou TLD
Les domaines situés sous la racine donc en dessous du point (.) sont appelés « domaines racine » , ce sont les fameux .info, .com.org .net etc… il peuvent aussi correspondre a un code de pays comme le .fr le .be et .ca etc …
Actuellement il en existe beaucoup d’autres comme le .name, .pro, etc …
Un domaine se résout de droite a gauche , le domaine supérieur se trouvant toujours a l’extrême droite et sont séparés par des points par exemple intitiatux est un sous domaine du TLD com qui est lui même un sous domaine du domaine racine (.). Initiatux.com est délégué par des zones dns stockées sur le serveur web.
Serveur DNS récursif
Revenons au serveur DNS qui peuvent être de deux types il y a les DNS résolveurs (récursifs) ou les DNS faisant autorité . Un serveur récursif détient la liste des serveurs DNS racine, lors d’une requête sur un domaine comme initiatux.com le serveur récursif va vérifier en mémoire (cache) si il ne détient pas l’information issue d’une précédente recherche. Certains navigateurs internet utilisent aussi un cache DNS qui est interrogé lors d’une requête. Si l’information n’est pas en cache, il interroge un des serveurs racines pour savoir quels serveurs pourraient répondre pour la zone .com, en suite il va en choisir un dans la liste qui pourra répondre pour la zone initiatux.com. En cas d’indisponibilité d’un serveur de la liste , il interroge le suivant et ainsi de suite jusqu’à l’obtention d’une réponse a la requête. Les informations de recherche sont stockées en mémoire cache pendant un certain temps c’est le fameux » Time To Live » ou TTL.. C’est pour cela que les serveurs récursifs ne font pas autorité car les réponses ne sont pas forcément a jour a cause du cache.
DNS faisant autorité
Généralement les noms de domaine utilisent plusieurs serveurs DNS (au minimum un serveur primaire) , la plupart du temps c’est deux ou trois qui font autorité sur la zone DNS du domaine car il ne font pas appel a un autre serveur ou un cache pour résoudre la requête. Quand un domaine est hébergé il dispose des serveurs DNS de l’ hébergeur de domaine qui sont souvent au nombre de trois serveurs DNS (un primaire et deux secondaires) qui garantisse la disponibilité du domaine. Les serveurs sont dans des data center différents ce qui garanti la réponse d’au moins un serveur.
Résolution inversée
La résolution inversée est importante pour les adresses IP publique et pour les diagnostiques réseau. Comme je l’écris plus haut un nom de domaine se lis en partant de la droite vers la gauche. Le domaine est associé a une adresse IP publique qui se lis a l’inverse du domaine donc en partant de la gauche vers la droite. Pour associer l’adresse IP au domaine il faut créer une résolution inverse en créant un enregistrement inverse appelé PTR dans la zone DNS du domaine.
On inverse l’ordre des quatre chiffres de l’adresse IP et on la concatène au domaine in-addr.arpa. Par exemple, pour trouver le nom d’un domaine avec l’adresse IP 95.192.164.34, on enregistre la résolution inverse avec 34.174.162.95.in-addr.arpa.
Les fournisseurs internet disposent de serveurs DNS récursifs pour gérer les requêtes de leurs abonnés, cela fait partie des services d’un fournisseur d’accès internet, c’est grâce au serveurs fournit par le FAI que vous pouvez surfer sur internet. Les serveurs des FAI sont rapides, sécurisés et totalement gérés par le fournisseur qui a accès a toutes vos recherches internet. Votre FAI connaît mieux que personne vos habitudes et les sujets qui vous passionne ou sur lesquels vous faites des recherches dans Google. Un grand pouvoir implique de grandes responsabilités … on peut dire que les FAI ont de très grands pouvoirs sur vos recherches internet, ils peuvent bloquer l’accès a certains sites et utiliser des filtres par exemple pour filtrer les sites malveillants ou avec du contenu pour adultes.
Avec des états autoritaires ils servent a bloquer les sites ou les pays qui ne sont pas dans les petits papiers ou considérés comme nuisibles par le gouvernement.. Vous l’avez compris un FAI peut influencer vos recherches sur la toile et empêcher l’accès a des sites jugés dangereux pour les internautes. En France les FAI ne devraient pas subir de pression de l’état et ne vous empêchent pas d’accéder a du contenu qu’ils soit bon ou mauvais, vous êtes libre de consulter ce que vous voulez et de juger par vous même, ils filtrent bien sur toutes les recherches mais n’interviennent pas sur les réponses que vous recevez. La position des FAI sur les données depuis les débuts d’internet veut que les FAI ne communiquent et ne donnent pas les informations sur leurs clients sauf bien sur si c’est justifié et requis par la justice , cela a bien changé et ça ne les empêche pas de revendre les données. Il est mal grès tout important de vérifier que vous utilisez bien les DNS de votre FAI si ce n’est pas le cas et que vous n’utilisez pas de VPN ou n’avez pas vous même changé les DNS vous devriez en chercher la cause et remettre immédiatement les DNS de votre FAI.
Des DNS plus respectueux, plus rapides et plus sécurisés
Les esprits malveillants on bien compris l’intérêt d’avoir un accès ou de contrôler les DNS qui sont la cible de multiple attaques diverses et variées, en contrôlant les DNS on peut vous influencer et vous diriger sur des sites malveillants ou des copies de sites officiel dans le but de récolter un maximum de vos données personnelles. Pour des internautes non avertis l’opération peut être transparente et durer plusieurs jours voir plusieurs mois. Avant de changer de serveurs DNS vous devez vous assurer que les serveurs choisis sont légitimes et considérer ce qu’ils vont vous apporter de plus. Nous avons vu que les FAI fournissent des DNS reconnus et sécurisés mais il en existent d’autres plus rapides et plus ou moins discrets et sécurisés comme les serveurs de Google ou de Cloudflare et bien d’autres avec plus ou moins d’intérêts suivant ce que l’on recherche
Quel intérêt de changer de fournisseur DNS ?
Il y a plusieurs raisons légitimes a vouloir changer changer le fournisseur DNS que cela soit pour plus de confidentialité, de sécurité ou de rapidité ou pour toutes ses raisons le changement de serveurs DNS permet souvent un gain en confidentialité en cryptant les requêtes et en filtrant les virus mais aussi un gain en rapidité, les serveurs de Google ou Cloudflare sont plus rapides que les serveurs des FAI mais vaut-il mieux faire confiance a Google ou a son FAI ?
Chacun répondra a cette question suivant ses conviction et sa vision sur Google ou son FAI…. Pointer ses DNS sur Google c’est plus une vieille habitude qui vient d‘une époque ou il n’y avait pas d’autres alternatives.
Ce n’est plus le cas actuellement, je dirais qu’il existe de bien meilleures alternatives que le mythique 8.8.8.8 de Google qui conserve des logs de connexion et de navigation à des fins de dépannage et de diagnostic, si on cherche la rapidité et la stabilité il y a Cloudflare dont la réputation n’est plus a faire. Ils proposent un résolveur faisant autorité sécurisé très stable et ultra rapide avec atténuation DDoS et DNSSEC intégré.
Le bon compromis entre sécurité et vitesse
Pour ceux qui cherche un peu plus de confidentialité et de sécurité en acceptant une légère perte de rapidité il faut considérer les DNS de Quad9, un serveur récursif compatible DNSSEC qui vous protège des attaques DDoS mais aussi des sites dangereux, des virus, trojan, du phishing, des botnets et autres joyeusetés avec des performance tout a fait honorables même si ils sont légèrement moins rapide que Cloudflare. J’insiste sur légèrement car avec 183 cluster de résolveurs répartis dans 90 pays les performances de Quad9 sont plus qu’honorables. La fondation Quad9 domiciliée en Suisse inclut dans sa charte le respect de la vie privée et est conforme au GDPR, c’est une excellente alternative pour remplacer les DNS de votre FAI et gagner en confidentialité. Contrairement au DNS public de Google ou a votre FAI, Quad9 ne conserve pas les logs de connexion et de navigation.
Résolveurs DNS connus et reconnus
En matière de Résolveurs DNS il convient de ne pas faire n’importe quoi et donc de ne pas faire confiance a n’importe quel résolveurs que l’on pourrait vous proposer. La liste non exhaustive de résolveurs ci dessous s’appuie sur des serveurs ayant fait leur preuves qui ne présente pas de risque de sécurité. Ensuite viens la garantie de confidentialité qui peut être relative suivant l’entreprise ou l’organisation qui maintient les serveurs. (Des serveurs se trouvant en Europe ou au Etats Unis ne proposent qu’une confidentialité relative au vu de certains accords internationaux) surtout si ils conservent les logs de connexions. Mais même quand ils affirment le contraire, si ils se trouvent dans des pays qui obligent a les garder ….
Cela est valable pour les serveurs VPN, si je prends l’exemple de Surfshark le siège social est situé en Lituanie avec une politique tournée vers le logiciel libre, les personnes derrière Surfshark viennent du monde entier et tout est stocké en RAM, pas de disque dur leur politique est de ne rien conserver, la RAM étant un support volatile, en utilisant le VPN de Surfshark vous avez la garantie que vos données ne sont ni stockées ni exploitées, c’est certainement l’un des meilleurs VPN actuel.
Liste de résolveurs DNS de confiance
Les résolveurs qui sont dans cette liste sont « de confiance » vous pouvez les utiliser sans risques, mais la liste n’est pas exhaustive, il y en a d’autres a vous d’investiguer et de vous informer si vous accordez votre confiance, ce n’est pas parce qu’ ils ne sont pas dans cette liste qu ils sont dangereux a vous de vous renseigner dans ce cas.
AdGuard
IPV4
1.1.1.1
1.0.0.1
IPV6
2606:4700:4700::1111
2606:4700:4700::1001
Services
DNS-OverHTTPS
IPV4
185.228.168.168
185.228.169.168
IPV6
2a0d:2a00:1::
2a0d:2a00:2::
Services
DNS-Over-HTTPS
DNS-Over-TLS
IPV4
8.8.8.8
8.8.4.4
IPV6
2001:4860:4860::8888
2001:4860:4860::8844
Services
DNS-Over-HTTPS
Certains résolveurs proposent plus de services comme des antivirus, protection contre les sites malveillants, blocage de sites, etc … Il faut alors utiliser d’autres adresse IP qui sont fournies avec des explications sur le filtrage directement sur leur sites respectifs
Interdire l’accès au sites pornos et dangereux pour les enfants
Il existe des alternatives pour tout les profils, que vous souhaitiez supprimer la censure ou au contraire filtrer Internet pour protéger vos enfant de la pornographie tout en vous protégeant des virus, vous avez la possibilité de changer de fournisseur DNS pour rendre certains sites inaccessibles. Vous allez pouvoir relâcher la pression sur vous même et vos enfants qui pourront découvrir les joies d’internet sans risquer d’êtres exposé a des images ou des sites non appropriés.
Comment changer de fournisseur DNS ?
Pour changer de DNS vous pouvez agir a plusieurs niveaux qui seront plus ou moins efficace suivant le contexte, il suffit de remplacer le DNS principal et secondaire dans votre configuration.
Les trois niveaux sont dans l’ordre croissant d’efficacité :
1 Le navigateur
Vous avez la possibilité d’agir sur le navigateur internet mais la solution ne s’appliquera que pour les sessions de surf qui utilise ce navigateur, si vous utilisez d’autres navigateurs ils passerons par les DNS de votre FAI, toutes les autres connexions comme les drives cloud, les logiciels de chat etc passerons eux aussi par les DNS du FAI. Ce n’est pas la meilleure solution ni la plus efficace pour protéger votre vie privée, mais cela peut être utile pour accélérer et protéger vos sessions de surf si vous ne pouvez modifier la connexion réseau et n’avez pas accès au routeur. C’est le cas normalement en entreprise et logiquement en entreprise les DNS étant gérés par l’administrateur vous ne devriez pas pouvoir modifier les DNS sur le navigateur non plus … C’est malheureusement loin d’être le cas dans toutes les entreprises et c’est un problème en plus d’être un énorme trou de sécurité qui pourrai occasionner des fuites de données. Ce n’est pas un problème pour un réseau privé a condition d’utiliser des serveur DNS digne de confiance.
2 La configuration réseau de l’ordinateur
Vous pouvez agir directement sur la carte réseau en remplaçant les DNS de votre configuration par ceux de votre choix, toutes les connexions de l’ordinateur passeront par les nouveaux DNS, c’est donc une bonne solution si vous souhaitez modifier un seul poste de travail. Tous les navigateurs et logiciels que vous utiliserez sur ce poste passeront par les nouveaux DNS.
3 Le routeur Internet
La meilleure solution est de modifier la configuration des DNS directement sur le routeur du FAI, tout les appareils comme les ordinateurs, tablettes et smartphones connecté au routeur par Internet ou en Wifi passeront par les nouveau DNS. C’est de loin la meilleure solution, votre Fai verra toujours si vous êtes connecté ou pas et la quantité de données utilisées mais il ne verront plus les sites que vous visitez, cela sera le cas pour tous les appareils sans configuration supplémentaire sur chaque appareil.
Une bonne idée pour votre Raspberry Pi
Si vous ne savez pas quoi faire de votre Raspberry Pi qui traîne sur l’étagère, vous pouvez le transformer soit en serveur proxy et ou en serveur DNS personnel, cela a plusieurs avantage.
En passant par un serveur proxy pour vos sessions de surf Internet vos postes sont moins exposés au attaques ( (c’est le proxy qui sera visé) c’est l’ IP du proxy qui sera exposée, il convient donc de sécuriser le proxy et d’utiliser un VPN si vous ne voulez pas exposer l’adresse IP du proxy. En installant le VPN sur le proxy tous vos postes internet seront eux aussi protégés si ils passent par le proxy sans configuration supplémentaires sur chaque postes ou appareils de votre réseau. C’est un gain de temps et l’assurance de protéger tout vos appareils en une seule opération.
Au niveau des DNS cela vous évite de faire confiance a un tiers puisque le serveur DNS vous appartient, vous avez l’assurance que vos sessions de surfs sont totalement privées et ne seront pas exploitées. Vous avez aussi le contrôle total sur vos recherches internet et décidez vous même des filtres a appliquer. De grands pouvoirs impliquent de grandes responsabilités …. Niveau sécurité, un DNS mal configuré est pire qu’un DNS menteur ou restrictif, si vous vous lancez dans cette aventure vous devez être conscient des risques et savoir comment vous protéger. Configurer un DNS n’est pas particulièrement difficile, cependant il faut avoir les connaissance et la compréhension du fonctionnement nécessaires pour ne pas créer de fuites et exposer votre DNS.
Certaines distributions dédiées sur Linux et notamment sur Raspberry facilite grandement l’installation, mais cela ne dispense pas d ‘un minimum de configuration supplémentaire pour assurer la sécurité et la confidentialité. Si vous avez les connaissances et la possibilité vous auriez tort de vous en priver !