Un nombre important de clients de l’opérateur se plaignaient sur les réseaux sociaux.
Il semblerait que le souci vienne des DNS de Free.
Ceux qui savent changer les DNS (voir lien) sont invités à le faire dès maintenant pour retrouver une connexion Internet fonctionnelle.
Sur le web, on trouve des serveurs DNS alternatifs. Les plus courants : Cloudflare (1.1.1.1), FDN (80.67.169.12), Quad9 (9.9.9.9), Google (8.8.8.8) ou encore OpenDNS (208.67.222.222).
Après vérification, OpenDNS a été racheté par l'entreprise Cisco Systems en juillet 2015, pour un montant de 635 millions de dollars...
Le mode de fonctionnement financier était jusqu'à présent basé sur l'adjonction de publicités en cas de fautes de frappes de l'utilisateur dans sa requête, grâce à une manipulation de l'espace des noms de domaine (DNS menteurs). Depuis, ils semblent avoir arrêté ce modèle mais mentent toujours pour "des raisons de sécurité". L'usage de leurs résolveurs DNS étant gratuit, quel est donc leur modèle économique ? D’après le site de Cisco, aucune revente de données parmi les informations collectées par les DNS est effectuée... Si c'est gratuit, c'est bien que le rachat d'OpenDNS leur apporte quelque chose... A vous d'y réfléchir.
De plus, Cisco Systems est situé aux USA, donc toutes les données personnelles filent dans un pays qui n'a aucune protection (même pas théorique) des données personnelles.
Enfin, Cisco est un partenaire de la NSA (Agence nationale de la sécurité américaine)... Sans commentaires.
Je vous déconseille donc fortement d'utiliser les serveurs OpenDNS.
Il faut bien rappeler que le serveur DNS que vous utilisez sait quasiment tout de vos requêtes / recherches. Mieux vaut donc réfléchir un peu à qui nous donnons nos informations.
Voici des critiques des serveurs publics cités au début de ce mail :
- Cloudflare : rapide ; s'engage à ne pas revendre les données, et ne conserve pas les logs au-delà de 24h. Mais Cloudflare reste une énorme entreprise américaine...
- FDN (French Data Network) : association française à but non lucratif, depuis 1992. Depuis janvier 2015, FDN a entamé une série de recours et de contentieux devant les juridictions et les autorités administratives françaises et européennes pour attaquer les lois et règlements permettant la surveillance généralisée des utilisateurs d'Internet et d'autres services de communications ou permettant la censure administrative secrète de sites Web. Cette association se bat pour la Neutralité du Net, dont nous reparlerons en classe. FDN se finance uniquement à travers ses abonnements, adhésions et d'autres services payants.
Petit défaut : visiblement parfois "lent" (tout est relatif, perdre quelques millisecondes ne va pas changer ma vie) et parfois saturé.
- Quad9 : proposé par l’organisme sans but lucratif bien connu PCH (Packet Clearing House : localisé aux USA). Promet de protéger la vie privée : s’engage à ne pas stocker votre adresse IP sur un disque, uniquement dans des logs temporaires le temps de l'anonymiser pour que cela soit ensuite utilisé à des fins purement statistiques ou techniques (limiter les attaques notamment). Les logs permanents ne contiendraient aucune information personnelle, mais seulement des données géographiques larges (ville/métro) là aussi à des fins de debug, d'analyse d'abus éventuels et de télémétrie notamment. Des statistiques publiques pourront d'ailleurs être diffusées sur base de ces informations.
Aucune de ces informations n'est croisée, partagée ou même revendue à des tiers, promet le projet.
Leur résolveur 9.9.9.9 est un résolveur menteur : il ne répond pas (délibérément) pour les noms de domaines considérant comme lié à des activités néfastes comme la distribution de logiciel malveillant.
Quad9 nous propose d'avoir un résolveur non-menteur en utilisant d'autres adresses comme 9.9.9.10 mais on perd DNSSEC (DNS Security Extensions : pour faire simple, c'est une sécurité qui vérifie que les réponses DNS proviennent bien de la source légitime et n'ont pas été modifiées) et surtout Quad9 se met à utiliser alors l'indication de l'IP du client (EDNS Client-Subnet : explications détaillées ici), une mauvaise pratique pour la vie privée. Espérons qu'on aura bientôt une adresse pour les réponses non-menteuses, avec DNSSEC et sans l'indication de l'IP du client.
Enfin, l'originalité est d'être accessible de manière sécurisée, avec le protocole TLS (cadenas vert dans un navigateur... Notons juste que DNSSEC a pour but d'authentifier les réponses alors que TLS a celui de protéger contre l'espionnage).
On notera qu'il n'était pas évident de trouver une adresse IPv4 facilement mémorisable comme 9.9.9.9. Cette adresse a beaucoup servi avant d'arriver chez Quad9, et pour des activités que certains peuvent trouver contestables. Cette adresse, sérieusement marquée, est donc black-listée à plusieurs endroits, certains antivirus peuvent la détecter encore comme malveillante... Si cela ne marche pas de chez vous, essayez l'adresse en IPv6 (2620:fe:0:0:0:0:0:11 pour la version avec EDNS Client-Subnet ; 2620:fe:0:0:0:0:0:fe pour la version sans EDNS Client-Subnet).
- Google DNS : fonctionne très bien, pas de DNS menteur, mais déconseillé car Google a déjà suffisamment de pouvoirs, il collecte déjà des quantités monstrueuses sur notre vie privée (comptes Google, e-mails Gmail, Google Drive, navigateur Google Chrome, etc.).
Tous ces serveurs sont dits "publics". Comme l'a rappelé en début d'année Stéphane Bortzmeyer, spécialiste du sujet, « le lien entre vous et le résolveur public est long et non sécurisé. Même si vous avez une confiance aveugle dans le résolveur public et ceux qui le gèrent, sur le trajet, des tas de choses peuvent aller mal. D'abord, le trafic peut être écouté trivialement [...], le trafic DNS est très bavard (trop), circule en clair, passe par des réseaux supplémentaires (en plus du trafic « normal »), et peut donc poser des problèmes de vie privée. Avec un résolveur DNS habituel, le problème est limité car le résolveur est proche de vous, limitant le nombre de gens qui peuvent écouter. Avec un résolveur public, le nombre d'écoutants potentiels augmente ».
Il n'y a pas de solution DNS idéale, mais deux solutions sortent du lot : les deux serveurs gérés par des associations à but non lucratif, Quad9 et FDN.
Quad9 a le défaut d'être américain et d'enregistrer temporairement des données privées, l'avantage d'avoir 130 serveurs dans le monde et de sécuriser les requêtes avec le protocole TLS.
FDN a pour défaut de ne pas sécuriser les requêtes - donc d'être possiblement espionné* - et d'avoir seulement 2 serveurs dans le monde, l'avantage d'être français mais non soumis à la liste de filtrage française faite par l'Etat.
Pour info, FDN a pour projet de travailler sur des DNS sécurisés avec TLS, comme le fait actuellement Quad9.
Mise à jour (déc. 2024) : depuis avril 2023, FDN propose des DNS sécurisés avec TLS (DoT) !
* Sans chiffrement (comme TLS), même si vous utilisez un serveur DNS alternatif à celui de votre FAI, il est toujours possible pour votre fournisseur d'accès d'espionner votre trafic DNS et/ou de détourner les requêtes DNS (et donc répondre à la place du serveur DNS que vous avez choisi). C'est ce que semblent faire certains fournisseurs (comme Bouygues Telecom) ou certains pays comme la Turquie. Pour vérifier que vous utilisez bien le DNS alternatif que vous avez configuré, vous pouvez le faire sur dnsleaktest.com.
Personnellement, j'ai choisi de mettre le serveur de FDN en principal (80.67.169.12), et celui de Google en secondaire (8.8.8.8)... mais ce choix n'est pas définitif. Restons vigilants.