Les DNS sont indispensables à tout échange sur le Web mais peuvent aussi constituer un point faible dans la sécurisation de votre navigation web. Le blocage de sites web, la surveillance des populations ou les cybercriminels exploitent ce point faible. Dans la suite je vais vous explique à quoi correspond le système DNS et comment le sécuriser plus qu’il ne l’est.

C’est quoi les DNS ?

Alors pour résumer un DNS est un service de résolution de nom. Pour joindre un site votre PC a besoin de connaître son adresse IP pour pouvoir s’y connecter. C’est le DNS qui s’occupe de cette résolution. Un serveur DNS c’est en gros ce qui dit que votre PC peut joindre twitter.com via l’adresse XX.X.XX.X, sans ça: pas de domaines ! Pour les barbus du fond je rappelle: je sim-pli-fie !

Un schéma fait maison vous expliquera peut être mieux:

Schéma_DNS

Le problème

Le problème c’est que les serveurs DNS en question appartiennent à votre FAI et peuvent donc potentiellement faire l’objet de surveillance ou être la cible d’actions juridiques de la part de gouvernements. Pour sécuriser tout cela il nous faut donc passer sur des DNS un peu plus fiables. Nous de base on utilise la connexion de notre FAI et donc ses serveurs DNS mais il est tout a fait possible de contacter directement d’autres serveurs DNS. Par exemple au lieu d’aller taper directement sur les DNS de Dictature Télécom on peut aller taper directement sur les DNS d’un gentil pays étranger.

Exemple:

Schéma DNS

Deux solutions principales existent pour se protéger: utiliser des serveurs DNS alternatifs ou crypter ses communications type DNS.

Principaux fournisseurs de DNS alternatifs:

Google: 8.8.8.8 et 8.8.4.4 (pas recommandé du tout mais ça peut dépanner)

Open DNS: 208.67.222.222  et 208.67.220.220

German Privacy Foundation: adresses dispos ici

Une liste plus exhaustive peut être retrouvée sur le site de Wikileaks.

Pour configurer ces adresses il faut voir du coté de la configuration réseau de votre PC. Un exemple pour OpenDNS sous Ubuntu est dispo ici.

DNScrypt pour crypter les transactions DNS

Le principe de DNSCrypt est de sécuriser les échanges DNS entre vous et les serveurs afin de rentre plus ou moins indétectables vos requête. DNSCrypt étant un protocole particulier il ne permet d’utiliser que les résolveurs DNS compatibles. Pour installer et utiliser DNSCrypt (Sous Linux pour l’instant) je vous propose d’aller voir chez Webupd8. Je conseille particulièrement le combo OpenDNS/DNSCrypt.

Voilà quelques outils pour protéger un peu plus votre navigation. Attention cependant ceci ne vous rends pas anonyme pour autant !

Edit: J’aurais pu parler de DNSSEC mais l’article se concentre plus sur le côté client que serveur.

Edit2: Mise à jour de l’article qui montre l’utilité des DNS alternatifs à voir sur le Shaarli de SebSauvage.

(miniature)