Depuis cette année (2019), les élèves de Seconde ont un nouvel enseignement : les Sciences Numériques et Technologies (SNT).
Entre autres, on y apprend ce qu'est un DNS : cliquer ici.
Le mardi 22 octobre 2019, il semble que les abonnées Free aient été touchés par une panne :
D'après les témoignages, rien ne se passe au moment de charger une page, ou alors c’est très lent.
Un nombre important de clients de l’opérateur se plaignaient sur les réseaux sociaux.

Il semblerait que le souci vienne des DNS de Free.


Ceux qui savent changer les DNS (voir la vidéo mentionnée en classe ; ou sinon ce joli lien) sont invités à le faire dès maintenant pour retrouver une connexion Internet fonctionnelle.

Sur le web, on trouve des serveurs DNS alternatifs. Les plus courants : Cloudflare (1.1.1.1), FDN (80.67.169.12), Quad9 (9.9.9.9), Google (8.8.8.8) ou encore OpenDNS (208.67.222.222).

Dans cette vidéo de 16 min (que mes élèves ont déjà vue), il était conseillé d'utiliser les serveurs d'OpenDNS en cas de problème.
Je crois même l'avoir conseillé en classe... Or, après vérification, OpenDNS a été racheté par l'entreprise Cisco Systems en juillet 2015, pour un montant de 635 millions de dollars...
Le mode de fonctionnement financier était jusqu'à présent basé sur l'adjonction de publicités en cas de fautes de frappes de l'utilisateur dans sa requête, grâce à une manipulation de l'espace des noms de domaine (DNS menteurs). Depuis, ils semblent avoir arrêté ce modèle mais mentent toujours pour "des raisons de sécurité". L'usage de leurs résolveurs DNS étant gratuit, quel est donc leur modèle économique ? D’après le site de Cisco, aucune revente de données parmi les informations collectées par les DNS est effectuée... Si c'est gratuit, c'est bien que le rachat d'OpenDNS leur apporte quelque chose... A vous d'y réfléchir.
De plus, Cisco Systems est situé aux USA, donc toutes les données personnelles filent dans un pays qui n'a aucune protection (même pas théorique) des données personnelles.
Enfin, Cisco est un partenaire de la NSA (Agence nationale de la sécurité américaine)... Sans commentaires.
Je vous déconseille donc fortement d'utiliser les serveurs OpenDNS.

Il faut bien rappeler que le serveur DNS que vous utilisez sait quasiment tout de vos requêtes / recherches. Mieux vaut donc réfléchir un peu à qui nous donnons nos informations.

Voici des critiques des serveurs publics cités au début de ce mail :

- Cloudflare : rapide ; s'engage à ne pas revendre les données, et ne conserve pas les logs au-delà de 24h. Mais Cloudflare reste une énorme entreprise américaine...

- FDN : association à but non lucratif. Depuis janvier 2015, FDN a entamé une série de recours et de contentieux devant les juridictions et les autorités administratives françaises et européennes pour attaquer les lois et règlements permettant la surveillance généralisée des utilisateurs d'Internet et d'autres services de communications ou permettant la censure administrative secrète de sites Web. Cette association se bat pour la Neutralité du Net, dont nous reparlerons en classe.  FDN se finance uniquement à travers ses abonnements, adhésions et d'autres services payants.

Petit défaut : visiblement parfois "lent" (tout est relatif, perdre quelques millisecondes ne va pas changer ma vie) et parfois saturé.

- Quad9 : proposé par l’organisme sans but lucratif bien connu PCH (Packet Clearing House : localisé aux USA). Promet de protéger la vie privée : s’engage à ne pas stocker votre adresse IP sur un disque, uniquement dans des logs temporaires le temps de l'anonymiser pour que cela soit ensuite utilisé à des fins purement statistiques ou techniques (limiter les attaques notamment).  Les logs permanents ne contiendraient aucune information personnelle, mais seulement des données géographiques larges (ville/métro) là aussi à des fins de debug, d'analyse d'abus éventuels et de télémétrie notamment. Des statistiques publiques pourront d'ailleurs être diffusées sur base de ces informations.

Aucune de ces informations n'est croisée, partagée ou même revendue à des tiers, promet le projet.
Leur résolveur 9.9.9.9 est un résolveur menteur : il ne répond pas (délibérément) pour les noms de domaines considérant comme lié à des activités néfastes comme la distribution de logiciel malveillant.
Quad9 nous propose d'avoir un résolveur non-menteur en utilisant d'autres adresses comme 9.9.9.10 mais on perd DNSSEC (notion vue en classe, voir à 4min45s de cette vidéo) et surtout Quad9 se met à utiliser alors l'indication de l'IP du client (EDNS Client-Subnet : explications détaillées ici), une mauvaise pratique pour la vie privée. Espérons qu'on aura bientôt une adresse pour les réponses non-menteuses, avec DNSSEC et sans l'indication de l'IP du client.
Enfin, l'originalité est d'être accessible de manière sécurisée, avec le protocole TLS (cadenas vert dans un navigateur... Notons juste que DNSSEC a pour but d'authentifier les réponses alors que TLS a celui de protéger contre l'espionnage).
On notera qu'il n'était pas évident de trouver une adresse IPv4 facilement mémorisable comme 9.9.9.9. Cette adresse a beaucoup servi avant d'arriver chez Quad9, et pour des activités que certains peuvent trouver contestables. Cette adresse, sérieusement marquée, est donc black-listée à plusieurs endroits, certains antivirus peuvent la détecter encore comme malveillante... Si cela ne marche pas de chez vous, essayez l'adresse en IPv6 (2620:fe:0:0:0:0:0:11 pour la version avec EDNS Client-Subnet ; 2620:fe:0:0:0:0:0:fe pour la version sans EDNS Client-Subnet).

- Google DNS : fonctionne très bien, pas de DNS menteur, mais déconseillé car Google a déjà suffisamment de pouvoirs, il collecte déjà des quantités monstrueuses sur notre vie privée (comptes Google, e-mails Gmail, Google Drive, navigateur Google Chrome, etc.).


Tous ces serveurs sont dits "publics". Comme l'a rappelé en début d'année Stéphane Bortzmeyer, spécialiste du sujet, « le lien entre vous et le résolveur public est long et non sécurisé. Même si vous avez une confiance aveugle dans le résolveur public et ceux qui le gèrent, sur le trajet, des tas de choses peuvent aller mal. D'abord, le trafic peut être écouté trivialement [...], le trafic DNS est très bavard (trop), circule en clair, passe par des réseaux supplémentaires (en plus du trafic « normal »), et peut donc poser des problèmes de vie privée. Avec un résolveur DNS habituel, le problème est limité car le résolveur est proche de vous, limitant le nombre de gens qui peuvent écouter. Avec un résolveur public, le nombre d'écoutants potentiels augmente ».

Il n'y a pas de solution DNS idéale, mais deux solutions sortent du lot : les deux serveurs gérés par des associations à but non lucratif, Quad9 et FDN.
Quad9 a le défaut d'être américain et d'enregistrer temporairement des données privées, l'avantage d'avoir 130 serveurs dans le monde et de sécuriser les requêtes avec le protocole TLS.
FDN a pour défaut de ne pas sécuriser les requêtes (c'est en projet...) - donc d'être possiblement espionné* - et d'avoir seulement 2 serveurs dans le monde, l'avantage d'être français mais non soumis à la liste de filtrage française faite par l'Etat.
Pour info, FDN a pour projet de travailler sur des DNS sécurisés avec TLS, comme le fait actuellement Quad9.

*  Sans chiffrement (comme TLS), même si vous utilisez un serveur DNS alternatif à celui de votre FAI, il est toujours possible pour votre fournisseur d'accès d'espionner votre trafic DNS et/ou de détourner les requêtes DNS (et donc répondre à la place du serveur DNS que vous avez choisi). C'est ce que semblent faire certains fournisseurs (comme Bouygues Telecom) ou certains pays comme la Turquie.
Personnellement, j'ai choisi de mettre le serveur de FDN en principal (
80.67.169.12), et celui de Quad9 en secondaire (9.9.9.9)...