La configuration d’une connexion Internet se fait automatiquement sur un ordinateur ou un smartphone et vous n’avez pas besoin de faire des recherches pour l’effectuer manuellement. Il convient toutefois de souligner un petit détail : le choix du DNS et son mode. Si vous y consacrez un peu de temps, vous pourrez vous protéger contre les attaques informatiques, l’espionnage de votre fournisseur d’accès à Internet, les contenus indésirables pour les enfants et même les publicités. Par exemple, qu’est-ce que le DNS privé des paramètres réseau de votre téléphone Android et comment vous en servir ?
Le DNS et ses inconvénients
DNS signifie Domain Name Service (ou système de nom de domaine). Il traduit les adresses Web lisibles par l’être humain (noms de domaine, comme kaspersky.ru) en adresses IP numériques utilisées par les ordinateurs sur Internet (185.85.15.34). Presque toutes les demandes Internet commencent par un ordinateur qui contacte un serveur DNS afin de traduire le nom du site saisi en une adresse IP. Et, presque toujours, cette tâche est effectuée par le serveur DNS de votre fournisseur d’accès à Internet, alors que la demande n’est pas chiffrée ni signée. Cette insécurité a plusieurs effets secondaires.
- Votre fournisseur sait continuellement quels sites vous consultez et peut s’en servir pour afficher des publicités ciblées.
- Le fournisseur peut facilement imiter l’adresse IP dans la réponse et vous montrer un site qui n’a aucun lien avec celui que vous vouliez voir. Vous avez certainement déjà été dans cette situation lorsque vous vous êtes connecté au réseau Wi-Fi gratuit d’un hôtel, d’un café ou d’un aéroport et que la première chose que vous avez vu était une page vous demandant une autorisation, ou vous montrant des publicités, au lieu du site que vous recherchiez.
- Les cybercriminels peuvent utiliser cette même méthode pour contrôler le réseau Wi-Fi auquel vous êtes connecté. Ils peuvent ajouter des faux sites qui distribuent un programme malveillant ou volent les informations bancaires.
Pourtant, la substitution de l’adresse dans les réponses du DNS peut aussi avoir une utilisation pratique utile, notamment pour les services de contrôle parental et le chargement d’une autre page si l’enfant essaie de consulter un site « indésirable ». Cette technologie manque tout de même de précision et bloque complètement certains sites au lieu de quelques pages « dangereuses » spécifiques, comme c’est le cas avec youtube.com. C’est pourquoi Kaspersky Safe Kids ne s’en sert pas.
Vous n’êtes pas obligé d’utiliser le serveur DNS de votre FAI. Certains serveurs DNS publics ont une très bonne réputation, comme ceux de Cloudflare (1.1.1.1) ou Google (8.8.8.8) que vous pouvez indiquer dans les paramètres réseau pour vous débarrasser des problèmes mentionnés ci-dessus.
Il y aussi des serveurs DNS avec d’autres fonctions, comme le blocage des serveurs publicitaires. Ces serveurs suppriment les publicités dans le navigateur et dans d’autres applications. Pour ce faire, il vous suffit d’indiquer l’adresse du serveur DNS de « filtrage » correspondant dans les paramètres Wi-Fi de votre ordinateur ou smartphone.
Malheureusement, les problèmes de confidentialité ne peuvent pas simplement être résolus en modifiant l’adresse DNS et en choisissant 1.1.1.1 ou 8.8.8.8. Un FAI ou un intrus ayant le contrôle du réseau peut espionner les requêtes du DNS, les manipuler ou bloquer l’accès à un DNS tiers.
Le DNS privé et le DNS sécurisé
Les grandes entreprises et les passionnés peuvent exécuter leur propre serveur DNS et choisir toutes les règles de requête qu’ils souhaitent appliquer. Au sens strict, le DNS privé n’est pas un serveur de confidentialité de haut niveau. Il s’agit simplement d’un serveur privé, non public. En pratique, le DNS privé est souvent exécuté sur les protocoles DNS sûrs. Pour les versions Android 9 et ultérieures, par exemple, le paramètre de DNS privé devrait s’appeler DNS sécurisé afin de transmettre réellement son essence.
Le DNS sécurisé comprend plusieurs protocoles en concurrence et se différencie du DNS ordinaire avec le chiffrement. Il s’agit du DNS sur HTTPS (DoH), du DNS sur TLS (DoT) et de DNSCrypt. La différence se trouve dans les protocoles de communication et les ports utilisés pour envoyer les requêtes du DNS. Les débats continuent afin de déterminer quel serveur est le meilleur ou le pire. Pourtant, certains FAI bloquent l’accès au DNS tiers et, dans ce cas, le protocole DoH est le plus recommandé puisqu’il est plus difficile à filtrer. Il n’est toutefois pas nécessaire de rentrer dans les subtilités du DNS sécurisé. Il faut simplement retenir que votre smartphone, ordinateur ou navigateur doit être compatible avec au moins un de ces protocoles et doit avoir un serveur DNS qui peut être utilisé avec celui-ci.
Les serveurs sécurisés gratuits ne manquent pas : les principaux FAI (Cloudflare, Google, etc.) sont compatibles avec le DNS public (1.1.1.1 et 8.8.8.8) et vous pouvez vous y connecter à partir d’un DNS non sécurisé ou DoH/DoT. Votre travail consiste à autoriser cet accès sécurisé.
Avez-vous un VPN ?
Le DNS sécurisé et le VPN sont des technologies complémentaires. Même si vous avez activé un VPN, les requêtes du nom de domaine peuvent passer par un canal DNS non chiffré et vous exposer aux risques mentionnés ci-dessus. Certains services VPN commerciaux incluent un DNS chiffré dans le profil de connexion par défaut, ou propose d’activer le VPN et le DNS sécurisé tiers en même temps via une application. Cette pratique n’est pas courante, donc il faut mieux prendre le temps de relire les informations fournies par votre fournisseur de VPN ou de demander à l’assistance technique. Si le DNS sécurisé n’est pas disponible, il peut être activé en plus du VPN (vous trouverez les instructions ci-dessous).
Activer le DNS sécurisé
Voici la méthode la plus simple pour activer le DNS sécurisé sur un dispositif Android (version 9 ou ultérieure). Ouvrez Paramètres, sélectionnez l’option Connexions puis Plus de paramètres de connexion ou Avancés, et cherchez DNS privé. Il ne vous reste plus qu’à indiquer le serveur souhaité pour finaliser la configuration. Le plus mystérieux est qu’Android n’accepte pas les adresses numériques. Il vous faut donc vérifier le nom de domaine du serveur DNS que vous souhaitez utiliser avec le fournisseur (par exemple, 1dot1dot1dot1.cloudflare-dns.com).
Les dispositifs Apple disposent de DoH/DoT depuis les versions iOS 14 et macOS 11. Pourtant, il n’y a aucun paramètre intégré qui permet d’activer ces protocoles. Il vous faut donc télécharger un des nombreux outils tiers disponibles dans l’App Store afin d’activer votre serveur sécurisé préféré. Il vous suffit de rechercher « DNS sécurisé » pour les trouver. Les utilisateurs qui ont de l’expérience peuvent installer les profils de configuration requis manuellement ou les créer eux-mêmes.
Windows prend en charge DoH depuis la version 19628 (de 2020) et vous pouvez l’activer en suivant les instructions publiées sur le site de Microsoft.
Les navigateurs Chrome et Firefox peuvent effectuer les requêtes du DNS à travers un canal chiffré, indépendamment de la prise en charge au niveau du système d’exploitation.
Cette option est activée par défaut dans certains pays, mais il vaut mieux vérifier dans les paramètres du navigateur.
Un point important pour les utilisateurs de Kaspersky : pour vous assurer que votre protection est bien configurée, vous devez d’abord activer le DNS protégé sur votre routeur, dans le système d’exploitation ou dans les paramètres du navigateur. Ensuite, vous devez vérifier que vous avez activé le bon paramètre de Kaspersky : icône de la roue crantée en bas à gauche → Configuration → Paramètres du réseau → Traitement du trafic.
Dans cette section, vous pouvez également indiquer quels serveurs DoH vous envisagez d’utiliser.