Les requêtes DNS sont habituellement effectuées en clair ce qui pose de gros problèmes de confidentialité et de sécurité. Nos amis Chinois le savent bien, les gouvernements utilisent les DNS menteurs pour déployer leur censure.
Des FAI l’utilisent pour limiter l’accès en fonction de l’abonnement, ou plus simplement enregistrer l’ensemble de vos accès internet pour les services de police.
De la même manière, les pirates informatiques utilisent les routeurs infectés pour rediriger le trafic vers l’endroit qu’ils veulent, on parle alors d’attaque middle man. Une pratique courante avec les réseaux Wifi, dans les aéroports et chaines de fastfood.
Heureusement, une solution simple et efficace existe, DoH (DNS over HTTPS). Il existe deux méthodes pour l’utiliser.
Au niveau du navigateur, seules vos visites web seront alors protégées. Tous les navigateurs modernes supportent DoH, c’est une option à activer, facile et rapide à déployer.
Au niveau de votre machine. Depuis Windows 11, Apple iOS 14, MacOS 11, Ubuntu 16 … L’avantage est de protéger ainsi l’ensemble des services utilisés, messageries et autre … La mise en place est un peu plus technique, parfois fastidieuse, mais jamais compliquée. Il existe de nombreux guides en ligne pour vous aider.
Mais avec quels serveurs DNS ?
Le DoH se déploie en choisissant des serveurs DNS particuliers. Il en existe plusieurs, avec des degrés de confidentialité et de sécurité différents.
Un entrepreneur n’aura pas les mêmes attentes qu’un dissident politique ou une escort girl. Le choix se fera en fonction de l’usage attendu …
Les entreprises privilégieront un service dédié, leurs permettant de garantir la sécurité de l’ensemble du parc, ordinateurs, tablettes et smartphones des employés.
Quel fournisseur pour quel usage ?
– Le père de famille choisira probablement Cloudfare avec sa protection intégrée des Malwares, ou Malware + contenu pour adulte s’il s’agit de protéger les enfants.
– L’entrepreneur et l’escort iront probablement chez Quad9
– Le dissident utilisera surement uncensoreddns ou DNS.watch
Bonus, en plus d’améliorer la sécurité, DNS over HTTPS améliore les performances, le temps de latence pour accéder aux services. Des tests de résolution DNS des fournisseurs de services Internet ont montré que leurs temps de réponse sont plus longs.