Yann Solliard
Yann Solliard
ContactBio
DNS Sovereignty
DNS Sovereignty

DNS Sovereignty

Tags
Github
Linux
Network
DNS
Author
Yann Solliard
Published
June 16, 2024
La récente décision de la justice française d'imposer un blocage DNS à des géants comme Google, Cloudflare et Cisco a ravivé le débat sur la neutralité du net et la gestion des DNS. Bien qu'il soit compréhensible que des mesures soient prises pour protéger les droits d'auteur et lutter contre le piratage, cela soulève des questions profondes sur l'éthique et la neutralité d'internet.

La Neutralité du Net

notion image
La neutralité du net est le principe selon lequel tous les contenus et services sur internet doivent être traités de manière égale, sans discrimination ou favoritisme. 🌍 Ce concept est fondamental pour garantir un internet libre et ouvert, où les utilisateurs peuvent accéder aux informations et services de leur choix sans ingérence.
Cependant, les mesures de blocage DNS imposées par l'État, comme dans le cas récent en France, remettent en question ce principe. En imposant des restrictions sur les résolveurs DNS publics, le gouvernement influence directement l'accès des utilisateurs à certaines informations et services, en l'occurrence des sites de streaming sportif piratés.

Qu'est-ce qu'un DNS? 🧩

notion image
Le Domain Name System (DNS) est une technologie essentielle qui permet de traduire les noms de domaine en adresses IP, rendant ainsi possible l'accès aux sites web et services en ligne. Lorsque vous tapez une adresse web dans votre navigateur, une requête DNS est envoyée à un résolveur DNS pour obtenir l'adresse IP correspondante.

Fonctionnement d'un Résolveur DNS Récursif

Un résolveur DNS récursif agit comme un intermédiaire entre votre ordinateur et les serveurs DNS faisant autorité. Voici comment il fonctionne :
  1. Requête Initiale : Lorsque vous saisissez un nom de domaine (par exemple, www.example.com) dans votre navigateur, une requête DNS est envoyée au résolveur récursif local.
  1. Recherche en Cache : Le résolveur vérifie d'abord son cache pour voir s'il a déjà une réponse pour cette requête.
  1. Consultation des Serveurs Racine : Si la réponse n'est pas trouvée dans le cache, le résolveur interroge un serveur DNS racine, qui lui indique quel serveur TLD (Top-Level Domain) gérer (par exemple, .com).
  1. Interrogation des Serveurs TLD : Le résolveur interroge alors le serveur TLD approprié, qui renvoie l'adresse des serveurs faisant autorité pour ce domaine spécifique.
  1. Interrogation des Serveurs Faisant Autorité : Le résolveur récursif interroge enfin les serveurs faisant autorité du domaine ciblé pour obtenir l'adresse IP finale.
  1. Retour de la Réponse : L'adresse IP est renvoyée au client (votre navigateur), permettant la connexion au site web demandé.
  1. Cache de la Réponse : La réponse est également stockée dans le cache du résolveur pour accélérer les futures requêtes similaires.
Ce processus peut sembler complexe, mais il est crucial pour garantir une navigation fluide et efficace sur internet. 🖥️

Les Différents Protocoles DNS

Le DNS (Domain Name System) a évolué pour inclure plusieurs protocoles qui varient en termes de sécurité, performances et complexité. Voici une explication détaillée de ces protocoles, avec leurs avantages et inconvénients :

DNS over UDP

DNS over UDP (User Datagram Protocol) est le mode de transport DNS le plus courant. Les requêtes DNS sont envoyées dans un paquet UDP, qui est léger et rapide.

Avantages :

  • Simplicité : Facile à implémenter et à comprendre.
  • Rapidité : Moins de surcharge de transport par rapport à TCP.
  • Efficacité : Idéal pour les requêtes courtes et les réponses rapides.

Inconvénients :

  • Pas de Fiabilité : Les paquets UDP peuvent être perdus sans notification.
  • Limitation de Taille : Taille maximale de 512 octets (peut être augmentée avec EDNS0).
  • Absence de Sécurité : Manque de chiffrement et vulnérable aux attaques de spoofing.

DNS over TCP

DNS over TCP (Transmission Control Protocol) est utilisé lorsque les réponses dépassent la taille limite d'UDP ou pour la transmission robuste des données.

Avantages :

  • Fiabilité : Garantie de livraison des paquets grâce aux mécanismes de confirmation.
  • Taille Illimitée : Gère des réponses plus grandes sans fragmentation.
  • Sécurité Potentielle : Plus facile d'ajouter des couches de sécurité supplémentaires.

Inconvénients :

  • Lenteur Relative : Négociation de connexion initiale requise, ce qui ajoute une latence.
  • Complexité : Plus complexe à gérer par rapport à UDP.

DNS over TLS (DoT)

DNS over TLS (Transport Layer Security) est un protocole qui permet de chiffrer les requêtes DNS pour empêcher leur interception par des tiers.

Avantages :

  • Confidentialité : Les requêtes et réponses DNS sont chiffrées par TLS.
  • Authentification : Peut vérifier l'intégrité et l’authenticité des serveurs DNS.

Inconvénients :

  • Complexité : Mise en place et gestion du chiffrement TLS nécessitent une expertise technique.
  • Latence : L'établissement du chiffrement ajoute une petite latence supplémentaire.

DNS over HTTPS (DoH)

DNS over HTTPS (Hypertext Transfer Protocol Secure) envoie des requêtes DNS sur le même protocole HTTPS utilisé pour le trafic web régulier.

Avantages :

  • Confidentialité : Chiffrement des requêtes utilisant HTTPS.
  • Évitement des Censures : Plus difficile à bloquer pour les administrateurs réseau comparé à DoT.

Inconvénients :

  • Complexité : Configurer et gérer peut être plus difficile.
  • Latence Accrue : HTTPS nécessite plusieurs allers-retours pour établir une connexion sécurisée.
  • Surplus de Charge : Ajoute une surcharge considérable au serveur et au client.

DNS over QUIC (DoQ)

DNS over QUIC (Quick UDP Internet Connections) combine les avantages de DoT et DoH en utilisant le protocole QUIC, conçu par Google, qui offre le chiffrement et la rapidité.

Avantages :

  • Confidentialité et Sécurité : Chiffrement intégré similaire à DoH et DoT.
  • Performance Supérieure : Réduction significative du temps de connexion initial par rapport à TCP/TLS.

Inconvénients :

  • Disponibilité Limitée : Protocole encore relativement nouveau et support limité.
  • Complexité Technique : Implémentation plus complexe due à l’ajout de QUIC.

DNSCrypt

DNSCrypt est un protocole qui chiffre les requêtes DNS entre l'utilisateur et le résolveur DNS.

Avantages :

  • Confidentialité Enhancée : Chiffre les requêtes DNS pour protéger contre l'espionnage.
  • Intégration Flexible : Facile à intégrer avec d'autres solutions de sécurité comme Unbound et dnsmasq.

Inconvénients :

  • Complexité d'Implémentation : Requiert une certaine expertise pour la mise en place.
  • Adoption Limite: Moins largement adopté par rapport à DoT ou DoH.

Résumé des Protocoles DNS

Protocole
Avantages
Inconvénients
UDP
Simplicité, Rapidité, Efficacité
Pas fiable, Limité en taille, Non sécurisé
TCP
Fiabilité, Taille Illimitée, Sécurisable
Latence accrue, Complexité
DoT
Confidentialité, Authentification
Complexité, Latence supplémentaire
DoH
Confidentialité, Évitement des Censures
Complexité, Latence accrue, Surcharge réseau
DoQ
Confidentialité, Performance Supérieure
Disponibilité limitée, Complexité technique
DNSCrypt
Confidentialité Enhancée, Intégration Flexible
Complexité d'implémentation, Adoption limite
En comprenant ces différents protocoles DNS et les avantages/inconvénients associés, nous pouvons faire des choix éclairés pour protéger notre vie privée, améliorer notre sécurité en ligne et maintenir une expérience utilisateur fluide et efficace.

Illustration des Protocoles DNS

notion image

Le Lien entre Cybersécurité, Vie Privée et DNS 🔒

Les résolveurs DNS jouent un rôle crucial dans la cybersécurité et la protection de la vie privée. En utilisant des méthodes de chiffrement comme DoT et DoH, les utilisateurs peuvent protéger leurs requêtes DNS contre l'espionnage et le détournement.

Impact des Politiques Gouvernementales

Toutefois, ces protections sont mises à l'épreuve par des mesures gouvernementales qui imposent des blocages ou redirections DNS. Par exemple, le « DNS poisoning », où des attaquants falsifient les réponses DNS pour rediriger les utilisateurs vers des sites malveillants, est une menace courante contre laquelle il faut se protéger.
Les gouvernements peuvent aussi imposer des restrictions pour essayer de contrôler l’accès à certaines ressources sur internet. C'est ce qui s'est produit récemment avec la demande d'un tribunal français que les grands fournisseurs de DNS publics mettent en place des mesures de filtrage.

Types de DNS 📚

Pour mieux comprendre la portée de ces mesures et comment elles peuvent affecter votre expérience en ligne, il est utile de connaître les différents types de résolveurs DNS disponibles :

Résolveurs DNS de FAI

Fournis par les fournisseurs d'accès à internet (FAI), ces résolveurs sont souvent utilisés par défaut par les utilisateurs. Ils sont pratiques mais peuvent être vulnérables aux blocages gouvernementaux et aux atteintes à la vie privée.

Avantages :

  • Facilité d'utilisation
  • Intégration transparente avec les services du FAI

Inconvénients :

  • Vulnérables aux blocages et surveillance
  • Potentiel pour un filtrage ou une redirection non désirée

DNS Publics

Offerts par des entreprises comme Google (8.8.8.8), Cloudflare (1.1.1.1), et Quad9, ces résolveurs offrent souvent des performances améliorées et des fonctionnalités de sécurité supplémentaires. Cependant, ils sont aussi soumis aux législations locales qui peuvent forcer des blocages ou redirections.

Avantages :

  • Performances souvent améliorées
  • Fonctions de sécurité additionnelles comme le filtrage de sites malveillants

Inconvénients :

  • Peut être sujets à la réglementation locale
  • Potentiel pour passer outre certaines mesures de confidentialité si imposées par des gouvernements

Résolveurs DNS Locaux

Configurés par des utilisateurs ou des organisations, ces résolveurs permettent un contrôle total sur les requêtes DNS. Ils offrent une flexibilité maximale pour appliquer des politiques de sécurité personnalisées.

Avantages :

  • Contrôle total sur les requêtes
  • Personnalisation des politiques de sécurité
  • Protection accrue de la vie privée

Inconvénients :

  • Nécessitent des connaissances techniques pour configurer et maintenir
  • Responsabilité personnelle en matière de sécurité et de gestion

Cybersécurité et DNS 🎯

Menaces Sécuritaires 🌩️

Le rôle central que jouent les résolveurs DNS dans la navigation internet les rend vulnérables à plusieurs menaces sécuritaires :
  • DNS Poisoning : Où des attaquants falsifient les réponses DNS pour rediriger les utilisateurs vers des sites malveillants.
  • Attaques DDoS : Utilisation du renvoi DNS pour amplifier les attaques par déni de service distribué (DDoS).
  • Interception Man-In-The-Middle : Des attaquants interceptent et modifient les requêtes DNS en transit.

Solutions de Sécurité 🔐

Diverses solutions existent pour renforcer la sécurité des requêtes DNS :
  • DNSSEC : Implémentation de signatures cryptographiques pour garantir l'authenticité des réponses DNS.
  • Chiffrement (DoT & DoH) : Utilisation du chiffrement pour protéger les requêtes DNS en transit.
  • Filtres de Sécurité : Installation de filtres pour bloquer automatiquement les réponses de domaines malveillants connus.

L'Importance de Contrôler son Propre DNS 🛠️

Contrôler son propre DNS présente de nombreux avantages :
  • Confidentialité 🛡️: Vos requêtes DNS ne transitent pas par des serveurs tiers, ce qui protège votre vie privée.
  • Sécurité 🔒: Vous pouvez configurer des mesures de sécurité spécifiques, comme DNSSEC et le blocage de contenus malveillants.
  • Personnalisation 🎨: Vous choisissez quelles requêtes sont résolues et comment, ce qui est particulièrement utile pour éviter les blocages non sollicités.

Mon Experience avec Unbound et AdGuard Home 🔄

Pour ma part, je gère mes propres résolveurs DNS en utilisant Unbound et AdGuard Home sur deux VPS fournis par Infomaniak. Ces serveurs me permettent de contrôler entièrement mes requêtes DNS, de bloquer les publicités et de garantir une couche supplémentaire de sécurité et de confidentialité grâce au DNS over HTTPS.
À la maison, j'utilise également Technitium DNS, qui fait office de DHCP et utilise mes serveurs AdGuard comme upstream via DNS over TCP. Cela me permet de maintenir un contrôle total sur mes requêtes DNS, en évitant tout blocage non sollicité et en ajoutant une anonymisation générale de mes requêtes. 🚀
notion image

Configuration Technique 🛠️

  1. VPS avec Unbound:
      • Unbound agit comme un résolveur récursif principal sécurisant toutes mes requêtes par validation DNSSEC.
      • Configuration TLS via Let's Encrypt pour chiffrer les communications.
  1. AdGuard Home:
      • Utilisé pour filtrer et bloquer automatiquement les publicités ainsi que les domaines nuisibles.
      • Alimenté par Unbound en amont pour offrir une résolution rapide et sécurisée.
  1. Technitium DNS à Domicile:
      • Utilisé comme serveur DHCP offrant distribution dynamique des adresses IP dans mon réseau domestique.
      • Dirige toutes les requêtes vers mes serveurs AdGuard configurés avec DoT.

Illustration Technique 🌐

notion image

Solutions Tierces comme Quad9 et Unbound 🛡️

En plus des résolveurs DNS locaux, des solutions tierces comme Quad9 et Unbound offrent d'excellentes alternatives :

Quad9

Quad9 offre une protection contre les sites malveillants et les menaces de phishing en bloquant les adresses connues pour être nuisibles. De plus, il utilise le chiffrage DoH pour protéger vos requêtes en transit.

Avantages :

  • Filtrage avancé contre les menaces
  • Chiffrement natif (DoH)

Inconvénients :

  • Risques liés à l'adoption centralisée d'une solution tierce
  • Soumis aux réglementations locales
notion image

Unbound

Unbound est un résolveur DNS open-source performant qui offre des fonctionnalités avancées comme le préchargement des réponses populaires et la validation DNSSEC. Il est distribué par NLnet Labs sous licence BSD, offrant une grande flexibilité pour ceux souhaitant un contrôle complet sur leur infrastructure.

Avantages :

  • Open-source avec support communautaire intense
  • Flexibilité incroyablement haute
  • Validation robuste via DNSSEC

Inconvénients :

  • Requiert une expertise technique pour configuration avancée
  • Nécessité d'infrastructure personnelle fiable
notion image
Configurer Unbound permet non seulement d'avoir plus d'autonomie mais également d'avoir un système robuste capable d'offrir un service ininterrompu dans diverses conditions réseau sécurisées.
notion image

Conclusion 🌟

Le débat autour de la neutralité du net et des mesures de blocage DNS est complexe et soulève des questions éthiques importantes. En contrôlant notre propre DNS, nous pouvons non seulement protéger notre vie privée et notre sécurité, mais aussi affirmer notre droit à un internet libre et ouvert.
Il est crucial de rester informé et conscient des outils disponibles pour garantir que nos requêtes DNS demeurent sécurisées et privées, tout en évitant les blocages non sollicités. En fin de compte, la gestion du DNS n'est pas seulement une question technique, mais constitue également un enjeu fondamental pour la liberté et la neutralité d'internet.
Je vous encourage tous à explorer ces solutions pour comprendre comment elles peuvent améliorer votre expérience en ligne tout en protégeant votre vie privée et votre sécurité. Pour ceux intéressés par une implémentation plus technique, n'hésitez pas à me contacter ou à suivre mes tutoriels détaillés. Ensemble, nous pouvons contribuer à un internet plus ouvert et sécurisé.
 
 

Sources

DNS Sovereignty Data
DNS Sovereignty Data