Comment Cloudflare DNS aide-t-il à résoudre 4 grands risques liés à la confidentialité des DNS?

Comment Cloudflare DNS aide-t-il à résoudre 4 grands risques liés à la confidentialité des DNS? / Sécurité

En avril 2018, Cloudflare a publié un nouvel outil de sécurité. Appelé 1.1.1.1, il s’agit d’une adresse DNS grand public que tout le monde peut utiliser gratuitement. Il peut aider à renforcer la sécurité DNS, à améliorer la confidentialité des utilisateurs et potentiellement même à accélérer votre connexion réseau..

Mais comment ça marche? Comment l'utilisez-vous? Et quels risques de confidentialité DNS peut-il contribuer à améliorer? Regardons de plus près.

Le problème avec le DNS et la confidentialité

Le système de nom de domaine (DNS) est souvent appelé “le répertoire de l'internet.” C’est la technologie chargée de relier les domaines que nous utilisons tous au quotidien (par exemple,. makeuseof.com) avec l'adresse IP du serveur Web de ce site.

Bien sûr, vous pouvez entrer l'adresse IP d'un site et vous retrouvez toujours sur sa page d'accueil, mais les URL textuelles sont beaucoup plus faciles à mémoriser, d'où leur utilisation..

Malheureusement, la technologie DNS pose de nombreux problèmes de confidentialité. Ces problèmes peuvent compromettre votre sécurité en ligne, même si vous prenez toutes les précautions habituelles ailleurs sur votre système. Voici quelques-uns des pires problèmes de confidentialité associés au DNS.

1. Votre FAI regarde

En raison de son fonctionnement, le DNS agit comme un journal des sites Web que vous visitez. Peu importe que le site que vous visitez utilise le protocole HTTPS. Votre FAI, votre opérateur de téléphonie mobile et vos fournisseurs Wi-Fi publics savent tous exactement quels domaines vous avez visités..

De manière inquiétante, depuis le milieu de 2017, les FAI aux États-Unis sont autorisés à vendre les données de navigation de leurs clients à des fins financières. En effet, la pratique est commune dans le monde entier.

En fin de compte, votre historique de navigation aide de grandes entreprises à gagner de l'argent. C'est pourquoi vous devriez toujours utiliser un fournisseur DNS tiers. 4 raisons pour lesquelles l'utilisation de serveurs DNS tiers est plus sécurisée 4 raisons pour lesquelles l'utilisation de serveurs DNS tiers est plus sécurisée Pourquoi la modification de votre DNS est-elle une bonne idée? Quels avantages en termes de sécurité apporte-t-il? Peut-il vraiment rendre vos activités en ligne plus sécurisées? Lire la suite .

2. Le gouvernement regarde

Comme les FAI, les autorités peuvent également utiliser votre journal DNS pour voir les sites que vous avez visités..

Si vous vivez dans un pays qui adopte une approche moins tolérante vis-à-vis des opposants politiques, des activistes LGBTQ, des religions alternatives, etc., la visite de sites de cette nature pourrait vous attirer des ennuis..

Malheureusement, votre historique de recherche DNS pourrait révéler vos convictions personnelles à des entités susceptibles de vous bloquer par la suite..

3. Fouiller et falsifier

Vous êtes également à risque du manque de DNS “dernier kilomètre” cryptage. Expliquons.

Le DNS a deux côtés: DNS faisant autorité (côté contenu) et un résolveur récursif (côté fournisseur de services Internet). En termes généraux, vous pouvez penser aux résolveurs DNS posant les questions (c'est-à-dire., “Où puis-je trouver ce site?”), et des serveurs de noms DNS faisant autorité fournissant les réponses.

Les données échangées entre le résolveur et le serveur faisant autorité sont (théoriquement) protégées par DNSSEC. Cependant, le “dernier kilomètre” -la partie entre votre machine (appelée résolveur de talon) et le résolveur récursif n'est pas sécurisée.

Malheureusement, le dernier kilomètre offre de nombreuses possibilités pour les fouineurs et les trafiquants.

4. Les attaques de l'homme du milieu

Lorsque vous naviguez sur le Web, votre ordinateur utilisera fréquemment des données DNS mises en cache quelque part sur le réseau. Cela peut aider à réduire les temps de chargement des pages.

Cependant, les caches elles-mêmes peuvent être victimes de “empoisonnement de cache.” C'est une forme d'attaque de l'homme du milieu Qu'est-ce qu'une attaque de l'homme du milieu? Le jargon de la sécurité a expliqué Qu'est-ce qu'une attaque de type homme au milieu? Le jargon de la sécurité expliqué Si vous avez entendu parler d'attaques de type "homme au milieu" mais que vous n'êtes pas certain de ce que cela signifie, cet article est pour vous. Lire la suite .

En termes simples, les pirates peuvent tirer parti des vulnérabilités et des configurations médiocres pour ajouter des données frauduleuses au cache. Ensuite, la prochaine fois que vous essayez de visiter le “empoisonné” site, vous serez envoyé à un serveur contrôlé par le criminel.

Les parties responsables peuvent même reproduire votre site cible. vous ne saurez peut-être jamais que vous avez été redirigé et saisissez accidentellement des noms d'utilisateur, mots de passe et autres informations sensibles.

Ce processus correspond au nombre d'attaques de phishing.

Comment fonctionne l'aide 1.1.1.1?

Le nouveau service 1.1.1.1 de Cloudflare peut résoudre de nombreux problèmes de confidentialité liés à la technologie DNS..

La société a longuement parlé aux développeurs de navigateurs avant que le service ne devienne public et développe son outil conformément à leurs recommandations..

1. Pas de suivi, pas de stockage de données

Tout d'abord, Cloudflare s'est engagé à ne jamais suivre ses utilisateurs de DNS ni à vendre de la publicité en fonction de leurs habitudes de visionnage. Pour renforcer la confiance des consommateurs dans sa déclaration, la société s'est engagée à ne jamais enregistrer les requêtes d'adresse IP sur disque et à supprimer tous les journaux DNS dans les 24 heures..

En pratique, cela signifie que votre historique DNS ne sera pas entre les mains des FAI et des gouvernements. Il n’y aura même pas de disque avec Cloudflare pour qu’ils puissent demander l’accès à.

2. Technologie de pointe

Lorsque vous tapez une URL et appuyez sur Entrée, presque tous les résolveurs DNS enverront le nom de domaine complet (le “www,” la “se servir de,” et le “com”) aux serveurs racine, aux serveurs .com et à tous les services intermédiaires.

Toutes ces informations sont inutiles. Les serveurs racine doivent uniquement diriger le résolveur vers .com. Des requêtes de recherche supplémentaires peuvent être lancées à ce stade..

Pour lutter contre ce problème, Cloudflare a mis en place un large éventail de mécanismes de protection de la confidentialité du DNS, approuvés et proposés, permettant de connecter le résolveur de stub au résolveur récursif. Le résultat est que 1.1.1.1 n’enverra que la quantité nue d’informations nécessaires.

3. Anti-Snooping

Je déteste quand le DNS est faux occupé alias fouiner

- Unique en son genre ? (@BlameDaAriesNme) 26 septembre 2017

Le service 1.1.1.1 offre une fonctionnalité qui aide à lutter contre le snooping sur le dernier kilomètre: DNS sur TLS.

DNS sur TLS chiffrera le dernier kilomètre. Il fonctionne en laissant le résolveur de stub établir une connexion TCP avec Cloudflare sur le port 853. Le stub initie ensuite une négociation TCP et Cloudflare fournit son certificat TLS..

Dès que la connexion est établie, toutes les communications entre le résolveur de stub et le résolveur récursif sont cryptées. Le résultat est que l'espionnage et la falsification deviennent impossibles.

4. Combattre les attaques de l'homme du milieu

Selon les chiffres de Cloudflare, moins de 10% des domaines utilisent DNSSEC pour sécuriser la connexion entre un résolveur récursif et un serveur faisant autorité..

DNS sur HTTPS est une technologie émergente qui vise à sécuriser les domaines HTTPS qui n'utilisent pas DNSSEC..

Sans cryptage, les pirates peuvent écouter vos paquets de données et savoir quel site vous visitez. L'absence de cryptage vous rend également vulnérable aux attaques d'interception telles que celles que nous avons décrites précédemment..

Comment pouvez-vous commencer à utiliser 1.1.1.1?

Utiliser le nouveau service 1.1.1.1 est facile. Nous expliquerons le processus pour les machines Windows et Mac.

Comment changer de DNS sous Windows

Pour changer de fournisseur DNS sous Windows, suivez les étapes ci-dessous:

  1. Ouvrez le Panneau de contrôle
  2. Aller à Centre Réseau et partage> Modifier les paramètres de l'adaptateur
  3. Faites un clic droit sur votre connexion et sélectionnez Propriétés
  4. Faites défiler, mettez en surbrillance Protocole Internet version 4 (TCP / IPv4), et cliquez sur Propriétés
  5. Cliquer sur Utilisez les adresses de serveur DNS suivantes
  6. Entrer 1.1.1.1 dans la première rangée et 1.0.0.1 au deuxième rang
  7. Frappé D'accord

Comment changer de DNS sur Mac

Si vous avez un Mac, suivez ces instructions pour changer votre DNS à la place:

  1. Aller à Apple> Préférences Système> Réseau
  2. Cliquez sur votre connexion dans le panneau à gauche de la fenêtre.
  3. Cliquer sur Avancée
  4. Surligner DNS et appuyez sur +
  5. Entrer 1.1.1.1 et 1.0.0.1 dans l'espace prévu
  6. Cliquez sur D'accord

Et n'oubliez pas de toujours utiliser un VPN

Plus important qu'un bon DNS, vous devez toujours utiliser un VPN puissant dans la bataille pour la confidentialité en ligne..

Tous les fournisseurs de VPN réputés fourniront également leurs propres adresses DNS. Cependant, vous devrez parfois mettre à jour manuellement votre DNS en utilisant les méthodes décrites ci-dessus. Sinon, cela entraînera une fuite de DNS.

Mais juste parce que votre fournisseur VPN fournit ses propres adresses DNS, vous pouvez toujours utiliser les adresses de Cloudflare. En fait, c'est recommandé. il est très peu probable que le DNS de votre VPN soit aussi sophistiqué ou aussi robuste que le nouveau service 1.1.1.1.

Si vous recherchez un fournisseur de VPN solide et réputé, nous recommandons ExpressVPN, CyberGhost ou un accès Internet privé..

En savoir plus sur: DNS, confidentialité en ligne, sécurité en ligne, surveillance.