L'importance des résolveurs DNS est méconnue, pourtant il s'agit d'une brique essentielle de l'accès à Internet. Outre ceux proposés par les FAI, il en existe chez Google ou encore FDN. Un petit nouveau vient de faire son apparition, Quad9, qui veut bloquer certaines attaques tout en respectant votre vie privée.

Lorsque vous cherchez à accéder à un site web, vous tapez son adresse (URL) dans la barre principale de votre navigateur. Mais voilà, pour établir la connexion, il faut que votre machine sache à quel serveur s'adresser à travers son adresse IP. Pour cela, il existe les résolveurs DNS.

Pour faire simple, il s'agit de gros annuaires qui visent à faire correspondre le nom de domaine d'un site à l'adresse IP d'un serveur qui sera chargé de vous envoyer le contenu de la page demandée. Cela passe par une requête DNS.

Les résolveurs DNS : des éléments peu connus, mais d'importance

Il s'agit donc d'un élément essentiel du fonctionnement d'Internet tel qu'on le connaît, et peut être à l'origine de nombreux problèmes. Il est notamment utilisé pour mettre en place le blocage de certains sites (on parle alors de DNS menteur), mais peut aussi altérer votre navigation lorsqu'un problème survient, comme nous l'avions vu l'année dernière.

Car par défaut, ce sont les serveurs DNS de votre fournisseur d'accès qui sont utilisés par votre smartphone ou la box qui vous est fournie, et donc par les appareils qui y sont connectés. Ils prennent la forme de deux adresse IP pour le serveur DNS primaire et le secondaire.

Parfois, certains s'arrogent le droit d'utiliser les leurs, c'est notamment le cas de Google Wifi qui passe par défaut par les serveurs DNS publics de Google, les fameux 8.8.8.8 / 8.8.4.4. Même si Google se défend de toute utilisation abusive, conformément à ses engagements en termes de vie privée, il n'apparait pas comme la meilleure idée de livrer de telles informations à un tiers qui en sait déjà probablement beaucoup sur vous et vit essentiellement de la publicité. 

Il s'agit là d'un point d'importance, car celui qui voit passer toutes vos requêtes DNS peut en apprendre énormément sur vous. Il connait en effet tous les noms de domaine des sites que vous visitez, à quelle fréquence, à quelle heure, etc. De plus, toutes les requêtes DNS passent bien souvent en clair, sans chiffrement.

Quel résolveur DNS choisir ? Méfiez-vous des réponses

Dès qu'un problème d'ampleur concernant les DNS survient, on voit fleurir de nombreux guides sur le thème « quels serveurs DNS utiliser ? ». Dans le pire des cas, on voit comme conseil celui d'utiliser ceux de Google, parfois des alternatives comme OpenDNS sont évoquées, la société ayant cessé son activité publicitaire en 2014, elle appartient à Cisco depuis 2015. Vous pouvez également utiliser votre propre résolveur DNS.

Si vous optez pour un résolveur public, il y a une alternative qui est sans doute la plus intéressante à utiliser : FDN. Il s'agit d'un fournisseur d'accès à internet associatif, militant pour les libertés publiques à travers le groupement FFDN, les exégètes amateurs ou même RSF. Il fournit gratuitement des résolveurs DNS publics en IPv4 ou IPv6 que chacun peut utiliser et se finance uniquement à travers ses abonnements, adhésions et  d'autres services payants. 

Mais comme l'a rappelé en début d'année Stéphane Bortzmeyer, spécialiste du sujet, « le lien entre vous et le résolveur public est long et non sécurisé. Même si vous avez une confiance aveugle dans le résolveur public et ceux qui le gèrent, sur le trajet, des tas de choses peuvent aller mal. D'abord, le trafic peut être écouté trivialement [...], le trafic DNS est très bavard (trop), circule en clair, passe par des réseaux supplémentaires (en plus du trafic « normal »), et peut donc poser des problèmes de vie privée. Avec un résolveur DNS habituel, le problème est limité car le résolveur est proche de vous, limitant le nombre de gens qui peuvent écouter. Avec un résolveur public, le nombre d'écoutants potentiels augmente ».

Quad9 : une solution qui veut mieux protéger l'internaute

Récemment, un nouveau service a été lancé après une phase de bêta : Quad9. Il s'agit d'un résolveur DNS ouvert qui affiche quelques spécificités, géré par une organisation à but non lucratif qui propose un DNS menteur, mais dans « le bon sens du terme ». En effet, celui-ci bloque directement certains domaines qui sont liés à des botnets, des attaques par phishing et autres pratiques malicieuses.

19 sources sont utilisées pour identifier les domaines, dont X-Force d'IBM, partenaire du projet auprès de la Global Cyber Alliance, une organisation à but non lucratif qui travaille sur les questions de sécurité en ligne et notamment sur la mise en place simplifiée de DMARC pour l'authentification des emails. 

On retrouve aussi Packet Clearing House qui est un autre organisme à but non lucratif qui est très impliqué dans la gestion de l'infrastructure DNS, notamment anycast. La liste des domaines bloqués n'est pas donnée, mais il est possible d'effectuer une recherche depuis le site du projet.

La promesse est donc celle d'une sécurité accrue, mais aussi d'un respect de la vie privée. Quad9 précise ainsi qu'elle ne stocke pas l'adresse IP sur un disque, uniquement dans des logs temporaires le temps de l'anonymiser pour que cela soit ensuite utilisé à des fins purement statistiques ou techniques (limiter les attaques notamment). 

Les logs permanents ne contiendraient aucune information personnelle, mais seulement des données géographiques larges (ville/métro) là aussi à des fins de debug, d'analyse d'abus éventuels et de télémétrie notamment. Des statistiques publiques pourront d'ailleurs être diffusées sur base de ces informations. 

Aucune de ces informations n'est croisée, partagée ou même revendue à des tiers, promet le projet.

Rapidité et sécurité au programme

Quad9 se veut aussi rapide, avec 70 zones géographiques déjà couvertes, principalement dans des IXP (points d'échange Internet). Un objectif de 160 est affiché pour 2018.

Le service se veut rassurant sur la question du blocage de domaines légitime et précise dans sa FAQ qu'il « utilise un algorithme permettant de s'assurer qu'un domaine légitime n'est pas bloqué par accident. Dans les rares cas où cela arrive, Quad9 travaille avec les utilisateurs pour rapidement le débloquer ».

On retrouve aussi des mentions du support de DNSSEC et de l'IPv6. Pour ceux qui voudraient un service « non-menteur » et sans le blocage des domaines, une alternative est proposée mais elle retire d'autres éléments de sécurité, dommage :

• 9.9.9.9 ou 2620:fe::fe - Blocklist, DNSSEC, No EDNS Client-Subnet
• 9.9.9.10 ou 2620:fe::10 - No blocklist, no DNSSEC, send EDNS Client-Subnet

Dans un billet de blog assez détaillé, Stéphane Bortzmeyer note un autre point qui n'est pas évoqué par Quad9 : le support de DNS sur TLS (RFC 7858), qui permet un chiffrement du transport des requêtes. Une fonctionnalité que l'on retrouve encore trop rarement, alors qu'elle est pourtant d'importance.

Comment utiliser Quad9 (ou un autre résolveur DNS) ?

Pour ceux qui veulent utiliser les DNS de Quad9 ou même d'autres que ceux de leur FAI, deux guides ont été mis en ligne par le service : l'un pour macOS, l'autre pour Windows. Vous pouvez également les modifier dans votre routeur.

Pour les autres systèmes, vous retrouverez en général les éléments nécessaires dans les paramètres de votre connexion Wi-Fi. DNS Override vous permet de faire la même chose avec votre connexion mobile sous iOS. Sur Android, plusieurs applications sont proposées, mais toutes ne sont pas maintenues et certaines sont payantes.