Accueil

Comment Cloudflare DNS aide-t-il à résoudre 4 grands risques liés à la confidentialité des DNS?

Added 2018-04-16


En avril 2018, Cloudflare a publié un nouvel outil de sécurité. Appelé 1.1.1.1, il s’agit d’une adresse DNS grand public que tout le monde peut utiliser gratuitement. Il peut contribuer à accroître la sécurité DNS, à améliorer la confidentialité des utilisateurs et potentiellement même à accélérer votre connexion réseau. .

Mais comment ça marche? Comment l'utilisez-vous? Et quels risques pour la vie privée du DNS peut-il s’améliorer? Regardons de plus près.

Le problème avec le DNS et la confidentialité

Le système de nom de domaine (DNS) est souvent appelé «répertoire téléphonique d’Internet». C’est la technologie responsable de la mise en relation des domaines que nous utilisons tous au quotidien (par exemple, .com ) avec l'adresse IP du serveur Web de ce site.

Bien sûr, vous pouvez entrer l’adresse IP d’un site et finir sur sa page d’accueil, mais les URL textuelles sont beaucoup plus faciles à mémoriser, ce qui explique leur utilisation.

Malheureusement, la technologie DNS pose de nombreux problèmes de confidentialité. Ces problèmes peuvent compromettre votre sécurité en ligne, même si vous prenez toutes les précautions habituelles ailleurs sur votre système. Voici quelques-uns des pires problèmes de confidentialité associés à DNS.

1. Votre FAI regarde

En raison de son fonctionnement, le DNS agit comme un journal des sites Web que vous visitez. Peu importe que le site que vous visitez utilise le protocole HTTPS: votre fournisseur de services Internet, votre opérateur de téléphonie mobile et votre fournisseur Wi-Fi public savent tous exactement quels domaines vous avez visités.

De manière inquiétante, depuis mi-2017, les FAI américains sont autorisés à vendre les données de navigation de leurs clients à des fins financières. En effet, la pratique est commune dans le monde entier.

2. Le gouvernement regarde

Comme les FAI, les autorités peuvent également utiliser votre journal DNS pour voir les sites que vous avez visités.

Si vous vivez dans un pays qui adopte une approche moins tolérante vis-à-vis des opposants politiques, des activistes LGBTQ, des religions alternatives, etc., la visite de sites de cette nature pourrait vous causer des ennuis.

Malheureusement, votre historique de recherche DNS pourrait révéler vos convictions personnelles à des entités susceptibles de vous bloquer en conséquence.

3. fouiller et altérer

Vous êtes également menacé par le manque de cryptage «dernier kilomètre» de DNS. Expliquons.

Le DNS a deux côtés: DNS faisant autorité (côté contenu) et un résolveur récursif (côté fournisseur d’accès à Internet). En termes généraux, vous pouvez penser aux résolveurs DNS posant les questions (c'est-à-dire «où puis-je trouver ce site?») Et aux serveurs de noms DNS faisant autorité qui fournissent les réponses.

Les données déplacées entre le résolveur et le serveur faisant autorité sont (théoriquement) protégées par DNSSEC. Cependant, le «dernier kilomètre» - la partie située entre votre machine (appelée résolveur de talon) et le résolveur récursif - n'est pas sécurisé.

Malheureusement, le dernier kilomètre offre de nombreuses opportunités pour les fouineurs et les trafiquants.

4. Les attaques de l'homme du milieu

Lorsque vous naviguez sur le Web, votre ordinateur utilisera fréquemment des données DNS mises en cache quelque part sur le réseau. Cela peut aider à réduire les temps de chargement des pages.

En termes simples, les pirates peuvent tirer parti des vulnérabilités et des configurations médiocres pour ajouter des données frauduleuses au cache. Ensuite, lors de votre prochaine visite sur le site «empoisonné», vous serez envoyé sur un serveur contrôlé par le criminel.

Les parties responsables peuvent même reproduire votre site cible. vous ne saurez peut-être jamais que vous avez été redirigé et saisissez accidentellement des noms d'utilisateur, mots de passe et autres informations sensibles.

Ce processus correspond au nombre d'attaques par hameçonnage.

Comment l'aide 1.1.1.1?

Le nouveau service 1.1.1.1 de Cloudflare permet de résoudre bon nombre des problèmes de confidentialité liés à la technologie DNS.

La société a passé beaucoup de temps à parler aux développeurs de navigateurs avant que le service ne devienne public et développe son outil conformément à leurs recommandations.

1. Pas de suivi, pas de stockage de données

Tout d'abord, Cloudflare s'est engagé à ne jamais suivre ses utilisateurs de DNS ni à vendre de la publicité en fonction de leurs habitudes de visionnage. Pour renforcer la confiance des consommateurs dans sa déclaration, la société s'est engagée à ne jamais enregistrer les requêtes d'adresse IP sur disque et à supprimer tous les journaux DNS dans les 24 heures.

En pratique, cela signifie que votre historique DNS ne sera pas entre les mains des FAI et des gouvernements. Il n’y aura même pas de disque avec Cloudflare auquel ils pourront demander l’accès.

2. Technologie de pointe

Lorsque vous tapez une URL et appuyez sur Entrée, presque tous les résolveurs DNS enverront le nom de domaine complet (le «www», le « , "Et le" com ") vers les serveurs racine, les serveurs .com et tous les services intermédiaires.

Toutes ces informations sont inutiles. Les serveurs racine doivent uniquement diriger le résolveur vers .com. Des requêtes de recherche supplémentaires peuvent être lancées à ce stade.

Pour lutter contre ce problème, Cloudflare a mis en place un large éventail de mécanismes de protection de la confidentialité du DNS, approuvés et proposés, permettant de connecter le résolveur de stub au résolveur récursif. Le résultat est que 1.1.1.1 n’enverra que la quantité nue d’informations nécessaires.

3. Anti-Snooping

Le service 1.1.1.1 offre une fonctionnalité qui aide à lutter contre l’espionnage sur le dernier kilomètre: DNS sur TLS.

DNS sur TLS chiffrera le dernier kilomètre. Cela fonctionne en laissant le résolveur de stub établir une connexion TCP avec Cloudflare sur le port 853. Le stub initie ensuite une prise de contact TCP et Cloudflare fournit son certificat TLS.

Dès que la connexion est établie, toutes les communications entre le résolveur de stub et le résolveur récursif sont cryptées. Le résultat est que l'espionnage et la falsification deviennent impossibles.

4. Combattre les attaques de l'homme du milieu

Selon les chiffres de Cloudflare, moins de 10% des domaines utilisent DNSSEC pour sécuriser la connexion entre un résolveur récursif et un serveur faisant autorité.

DNS sur HTTPS est une technologie émergente qui vise à sécuriser les domaines HTTPS qui n'utilisent pas DNSSEC.

Sans cryptage, les pirates peuvent écouter vos paquets de données et savoir quel site vous visitez. L'absence de cryptage vous rend également vulnérable aux attaques d'interception telles que celles que nous avons décrites précédemment.

Comment pouvez-vous commencer à utiliser 1.1.1.1?

Utiliser le nouveau service 1.1.1.1 est facile. Nous expliquerons le processus pour les ordinateurs Windows et Mac.

Comment changer de DNS sous Windows

Pour changer de fournisseur DNS sous Windows , suivez les étapes ci-dessous:

  1. Ouvrez le  Panneau de contrôle
  2. Aller Centre Réseau et partage>  Modifier les paramètres de l'adaptateur
  3. Faites un clic droit sur votre connexion et sélectionnez Propriétés
  4. Faites défiler vers le bas, mettez en surbrillance Protocole Internet version 4 (TCP / IPv4) et cliquez sur Propriétés
  5. Cliquer sur Utilisez les adresses de serveur DNS suivantes
  6. Entrer 1.1.1.1  dans la première rangée et  1.0.0.1  au deuxième rang
  7. Frappé D'accord

Comment changer de DNS sur Mac

Si vous avez un Mac, suivez ces instructions pour changer votre DNS  au lieu:

  1. Aller à Apple>  Préférences Système>  Réseau
  2. Cliquez sur votre connexion dans le panneau à gauche de la fenêtre.
  3. Cliquer sur Avancée
  4. Surligner DNS  et appuyez sur +
  5. Entrer 1.1.1.1  et 1.0.0.1  dans l'espace prévu
  6. Cliquez sur D'accord

Et n'oubliez pas de toujours utiliser un VPN

Plus important qu'un bon DNS, vous devriez toujours utiliser un VPN puissant  dans la bataille pour la vie privée en ligne.

Tous les VPN réputés fourniront également leurs propres adresses DNS. Cependant, vous devrez parfois mettre à jour manuellement votre DNS en utilisant les méthodes décrites ci-dessus. Si vous ne le faites pas, cela entraînera une fuite DNS.

Mais juste parce que votre fournisseur de VPN fournit ses propres adresses DNS, vous pouvez toujours utiliser les adresses de Cloudflare. En fait, c’est recommandé; Il est très peu probable que le DNS de votre VPN soit aussi sophistiqué ou aussi robuste que le nouveau service 1.1.1.1.

Si vous recherchez un fournisseur de VPN solide et réputé, nous vous recommandons ExpressVPN , CyberGhost , ou Accès Internet privé .





Thomas Becket

Je suis un écrivain indépendant qui couvre la programmation et les logiciels.
Je suis étudiant en informatique et je m'intéresse à la programmation, aux logiciels et à la technologie
Gadgets technologiques et critiques 2019