Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

1.1.1.1 ou 9.9.9.9 ou 8.8.8.8 ? Quel DNS choisir ?


#1

Publié initialement à : https://korben.info/1-1-1-1-ou-9-9-9-9-ou-8-8-8-8-quel-dns-choisir.html

Vous n'en avez peut-être pas conscience, mais à chaque fois que vous tapez une URL dans la barre d'adresse de votre navigateur, celle-ci transite en clair jusqu'au serveur DNS que vous utilisez. Celui-ci se charge alors de la résolution du nom de domaine, et vous indique à votre machine comment se mettre en relation avec le bon serveur qui vous distribuera la donnée attendue.

Seulement voilà, niveau confidentialité, c'est pas top, car dans la majorité des cas, les appels DNS se font en clair. Ainsi, une entité située entre vous et le site contacté est donc parfaitement capable de savoir sur quel site vous allez. Après évidemment, comme la plupart des sites sont maintenant en HTTPS, ce que vous faites précisément sur ces sites est chiffré. Mais "on" sait encore sur quels sites vous allez.

Et cette donnée a de la valeur, car c'est grâce à cela qu'on peut faire de la big data, analyser vos habitudes, mieux vous cibler pour vous afficher de la publicité...etc.

Pourtant des solutions existent comme DNS-over-TLS et DNS-over-HTTPS qui permettent d'encapsuler les requêtes DNS dans des protocoles chiffrés. Malheureusement, elles sont encore peu implémentées.

Toutefois, cela risque de changer, car Cloudflare qui accélère une grosse partie des sites de la planète grâce à son CDN, propose maintenant son propre DNS. Et il est encore plus facile à retenir que le 8.8.8.8 de Google puisqu'il s'agit du :

1.1.1.1

Ou encore :

  • 1.0.0.1
  • 2606:4700:4700::1111
  • 2606:4700:4700::1001

Ma première pensée lors de cette annonce a été par rapport à la vie privée des internautes. Car comme toujours, cela est une solution à double tranchant. En effet, le fournisseur du DNS sait sur quels sites vous surfez.

Le DNS de Cloudflare est un bon DNS, car il est le plus rapide, mais aussi parce qu'ils ont pris les devants et s'engagent à ne pas revendre les données, et ne conservent pas les logs au-delà de 24h.

Le principal avantage bien sûr c'est que contrairement au DNS de Google qui permet de mieux vous profiler pour vous balancer de la pub, on sait que Cloudflare ne trempe pas là dedans. Cela reste une boite américaine donc c'est évidemment à prendre avec toutes les précautions d'usage.

Donc OK pour l'internaute c'est super.

Mais j'imagine que pour Cloudflare, connaitre les requêtes vers l'ensemble des sites web d'un grand nombre d'internautes, va leur apporter un avantage technique et commercial pour mieux gérer et vendre leur réseau CDN.

D'un côté, Cloudflare vous rend service, mais en échange, vous lui fournissez vos données de surf. (car Cloudflare continuera à le savoir alors que les intermédiaires comme votre FAI seront dans le noir). Ce n'est ni bien, ni mal, mais il faut en avoir conscience.

Si cela vous dérange, vous pouvez toujours vous retourner vers un DNS comme Quad9 dont l'IP est 9.9.9.9 qui est géré par une organisation à but non lucratif, et qui propose le même niveau de sécurité que celui de Cloudflare, avec je crois un peu d'intelligence dans la détection des menaces pour vous empêcher de vous retrouver sur des sites contenant des malwares ou des pages de phishing.

Il est un peu moins rapide, mais je pense que ça reste un bon compromis.

En tout cas, que vous choisissiez 9.9.9.9 ou 1.1.1.1, c'est à vous de décider, mais c'est l'occasion de stopper la collecte de vos données personnelles en passant par le 8.8.8.8.


#2

Hello !

Et pourquoi ne pas utiliser dnscrypt-proxy ? :stuck_out_tongue_winking_eye:
dnscrypt-proxy

Ce petit logiciel multi plateformes, dont on a accès au code, et made in France il me semble, propose d’utiliser le plus rapide des serveurs DNS d’une liste maintenue par l’auteur (ou une perso).
Ces serveurs proposent entre autres DNSCrypt v2 et DNS-over-HTTP/2, et/ou ne mentent pas, et ne logguent pas les requêtes… Là on est sûr que le FAI ne voit plus rien côté DNS…

Le programme tourne aussi bien sur Android que sur Windows, Linux ou Mac.

Oui c’est vrai, il faut mettre en place le service… mais tout est facilité à l’extrême… :wink:

Il y a même une alternative qui ajoute une interface graphique pour les plus réticents :
simplednscrypt


#3

Merci pour le partage…J’ai choisi 1.1.1.1 et il fonctionne très bien…!


#4

Personnellement, 127.0.0.1, avec Unbound. Quand Unbound trouve pas dans son cache, il fait comme n’importe quel serveur DNS : il contacte directement les serveurs racine. Je pense que c’est le DNS le plus rapide qui soit :stuck_out_tongue:


#5

Petite rectification Korben, ce n’est pas l’URL qui transite en clair jusqu’au serveur DNS mais seulement le FQDN.

Merci ProFoX, connaissais pas dnscrypt-proxy !


#6

Bonjour,
Merci pour l’info, je vais passer sur Quad9 pour voir.
Une petite question au passage, le DNS se choisit-il uniquement pour le protocole TCP/IPv4 ou pour le TCP/IPv6 également ?
Merci d’avance


#7

Exact ! merci pour la précision. Cela dit, si je commence à attaquer cash en parlant de FQDN, je vais perdre pas mal de gens. Je sais que c’est imprécis mais je me dois de vulgariser un peu.


#8

Bonjour. et merci pour ton travail Korben, et les contributions de chacun.
moi depuis pas mal de temps, j’utiise les DNS d’OpenNIC,
https://www.opennic.org/
depuis que j’ai décidé d’abandonner OpenDNs, quand ils ont été racheté par Cisco. après, , j’avais moins confiance dans leur neutralité et respect de confidentialité…
Je pense tester ceux des FDN également.
Merci pour toutes les autres solutions proposées !


#9

C’est faux, le FAI ne sera pas dans le noir, il continue à avoir l’adresse IP de destination de chaque paquet qui transite par lui. Donc il peut savoir très facilement quelle machine on contacte sur le réseau et donc sur quel site on surfe :slight_smile:

Les requêtes DNS donnent beaucoup moins d’infos que le trafic Internet en lui-même.


#10

Question: et dans le cas de serveurs virtuels ou d’un hébergement partagé? Tous les noms de domaines servis depuis un même serveur physique ne renvoient-ils pas la même IP?


#11

Et si on passe par un vpn ? y a plus de problème ? (a par le vpn lui meme bien sur)


#12

quelques tests namebench me disent qu’il est peu recommandé d’utiliser ces serveurs, ils sont pour l’instant assez rapides…


#13

alors que les intermédiaires comme votre FAI seront dans le noir

Comment le FAI peut il être dans le noir ? Il est situé entre nous et le serveur DNS non ? Du coup il intercepte les paquets en clairs ? Je pige pas un truc là :roll_eyes:


#14

Je suis bien d’accord.
Reste à opter pour un bon VPN comme Mullvad.

Par contre, l’installation de ces VPNs, c’est autre chose. Sur Android, si vous avez Magisk, un module a été créé : https://forum.xda-developers.com/apps/magisk/module-cloudfaredns4magisk-t3772375


#15

oui. Mais il faut surtout veiller à eviter les dns leak
https://korben.info/comment-verifier-que-votre-connexion-vpn-est-bien-etanche.html


#16

J’ai décidé d’opter pour un VPN payant Private Internet Access, et pour le moment je ne regrette pas l’investissement, que ce soit sur pc ou sur android. Et je peux avoir 5 appareils connectés simultanément.


#17

Perso j’utilise DNSCrypt client pour mes dns , mais j’avoue ne pas trop savoir ce que ça vaut réellement… j’associe ça avec un service VPN …ça me donne l’impression d’être en sécurité mais je me demandes si des fois c’est pas pire que de se noyé dans le troupeau.
Si certains ont des conseils valable sur la question je suis preneur .Korben si tu nous lis …


#19

Et quel est ton avis sur Opennic et Freedns (freedns.zone) ?


#20

Petit retour d’exérience, je viens de bannir les DNS de quad9 de mon utilisation.

Je n’arrivais pas à joindre les sites hébergés sur le domaine 000webhostapp.com qui permet d’obtenir des hébergement gratuits pour des petits sites. Ma femme ayant besoin de ce genre de service pour une formation, c’est génant.

En allant sur leur page, il y a un un testeur d’url pour savoir si celle-ci est bloquée ou non… du coup il s’agit d’un DNS non neutre qui fait du filtrage… adios, je suis passé sur les DNS de FDN du coup