Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  01.06.2024      r-  10.07.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les serveurs DNS sont, eux aussi, des machines avec des adresses IP, de la forme xxx.xxx.xxx.xxx (en IPV4), dans le réseau Internet.

Généralement, c'est votre FAI (Fournisseurs d'Accès Internet) qui fournit automatiquement aux particuliers l'adresse IP d'un serveur de résolution de noms de domaine, appelé "Serveur DNS", (ainsi qu'une seconde adresse IP pour un serveur DNS de secours si le serveur préférentiel n'est pas accessible (panne ou surcharge)).

L'utilisateur n'a rien à faire et son ordinateur (le système d'exploitation) détecte automatiquement les adresses IPs des serveurs DNS à utiliser.

Alors..., pourquoi changer de serveurs DNS ?

Parce qu'il en existent de très nombreux, qui sont plus ou moins performants, et qui appartiennent à diverses entités (dont les FAI (Fournisseurs d'Accès Internet)), qui ne les gèrent pas tous de la même manière.

On peut vouloir changer de serveurs DNS pour quatre raisons :

  • Vitesse
    Certains serveurs DNS sont tout simplement plus rapides que d'autres, moins chargés etc. ... La proximité géographique est l'un des critères de vitesse.

    Vous pouvez vouloir changer de serveurs DNS pour cette question de vitesse, encore que cela soit totalement marginal, insignifiant, indétectable, dans la vitesse de navigation.

    La vitesse sera gagnée exclusivement sur le temps que va mettre le serveur DNS à vous répondre (à " résoudre " le " Nom de domaine " et vous donner l'adresse IP de la machine sur laquelle est hébergé le domaine (le site) que vous cherchez à joindre), au moment de votre première requête vers ce domaine (ce site). Plus aucune autre requête DNS n'est faite pour ce nom de domaine.

    Vous ne gagnerez que quelques millisecondes, une seule fois par requête vers un nouveau domaine. Les requêtes vers un domaine déjà visité (résolues) se serviront de la résolution déjà effectuée et conservée dans le " cache DNS " de votre ordinateur durant 24 heures (il y a même un cache DNS encore plus rapide dans le navigateur Web lui-même, qui conserve les résolutions de noms de domaines durant quelques minutes).

    Pour voir sa vitesse (son temps de réponse), faire un DIG sur un serveur DNS
    DIG ?

  • Vitesse de mise à jour de la base de données mondiale des domaines
    Le critère de vitesse de mise à jour de la base de données peut être un peu plus significatif. Ceci n'intervient que lors de la création d'un nouveau domaine, ou de sa suppression ou de son déplacement d'un serveur à un autre. Les mises à jour se font au niveau de la délégation locale, ou sa sous-délégation, qui gère une partie des DNS sur une zone donnée (par exemple, Gandi en France) ou au niveau de l'hébergeur. Une fois une modification faite, elle doit se propager à travers tous les mirroirs DNS de la planète, ce qui peut prendre de 24 à 48 heures. Cette propagation se fait de manière automatique et il est difficile de déterminer si un serveur DNS est plus rapidement mis à jour que d'autres - cela peut totalement varier selon les pays, les délégations, etc. ...
  • Filtration ou Exhaustivité
    Parce que certains serveurs DNS sont filtrants (Filtration de type Contrôle parental, filtration des sites connus pour être malveillants, filtration des sites connus pour être des sites de phishing, filtration des sites pour adultes, etc. ...)

  • Sincérité / censure (neutralité du Web sur l'Internet)

    Chaque fournisseur d'un service de résolution de noms de domaine (par exemple, en France métropolitaine, Orange, Free, SFR, Bouygues Telecom et une nébuleuse comme DartyBox, NordNet, OVH, Prixtel, Budget Telecom, Vivéole, Numericable, Auchan Telecom, FDN, Nerim, Magic OnLine...) peut ne pas disposer de l'image complète des paires "Noms de domaine <> adresses IPs" du monde. Les raisons sont diverses, dont la censure de l'Internet. Un FAI (Fournisseurs d'Accès Internet) peut bloquer des noms de domaine pour des raisons qui le regarde (sauvegarde de la bande passante, morale, politique...) ou par obligations que certains lui imposent, comme les gouvernements.

    Certains opérateurs de serveurs DNS pratiquent une censure (par choix personnel ou sur décision d'un gouvernement) alors que d'autres non et sont plus exhaustifs...

    • Censure technique : on a vu, début 2004, certains FAI bloquer les accès, au niveau de leurs serveurs DNS, aux machines de ZoneLabs, l'éditeur du firewall ZoneAlarm, car ce logiciel avait, un temps, un comportement générant des quantités invraisemblables de requêtes aux serveurs DNS
    • Censure abusive : blocage de domaines contraires aux convictions ou aux intérêts du propriétaire des serveurs DNS etc. ... On peut imaginer des DNS d'un FAI, sous influence du gang maffieux de la Scientologie, pratiquer le blocage des sites dénonçant la scientologie et ses crimes. Ce fournisseur d'accès, pour une raison ou pour une autre, peut prendre l'initiative de ne pas assurer l'accès à certains sites. Au lieu de diriger un domaine vers sa machine il la dirige vers un trou noir (principe de hosts bloquant des domaines en les renvoyant vers "moi-même" - adresse 127.0.0.1 - ceci est discuté avec le principe des listes hosts pour se protéger des sites hostiles ou faire du contrôle parental). Il pratique une censure !
    • Usurpation pure et simple : Les domaines que vous cherchez à joindre sont redirigés vers des domaines similaires mais servant les intérêts du propriétaire des DNS. Vous pouvez découvrir que le domaine Tartempion.com, qui se trouve normalement sur la machine 111.222.333.444, est dirigé vers un site se trouvant sur le serveur 555.666.777.888. Ce sont les "DNS menteurs".
    • Certains gangs maffieux dans le e-commerce et dans le spam sont tellement puissants qu'ils sont leurs propres "registrar" (autorités déléguées d'attribution d'adresses et de domaine auprès desquelles on peut acheter un "nom de domaine" - Ce sont des entités officielles de la hiérarchie qui gouverne le Net). Certains registrar sont maffieux. Ils ont leurs propres serveurs DNS. Vos adresses de DNS, paramétrées dans votre ordinateur, peuvent avoir été manipulées par une malveillance qui vous dirige, désormais, vers des DNS maffieux qui interceptent tous les noms de domaine vers lesquels vous vous dirigez pour en substituer certains à d'autres, des sites marchands évidemment, et avec lesquels ils ont des liens d'affiliation lorsque ce ne sont pas leurs propres commerces. Ils gèrent des millions de machines et de sites "bidons" totalement inféodés. Les gros spammeurs font partie de ces gangs. Vous devez donc rétablir vos connexions vers des DNS sains.

Généralement, les serveurs DNS d'un FAI (Fournisseur d'Accès Internet) sont privés et réservés à ses clients, toutefois, certains laissent libre accès à leurs DNS (probablement pour des raisons de tracking, ce levier sur les revenus publicitaires du Web).

Vous pouvez choisir les serveurs DNS que vous souhaitez utiliser et les désigner vous-mêmes dans les paramètres de votre connexion.

Un exemple de manipulation pour regarder quels sont vos DNS actuels et, éventuellement, en changer, est donné dans cet exemple : Comment changer de DNS pour utiliser les DNS de Google ? Ce sera la même manipulation avec n'importe quelle adresses de DNS de votre choix.




L'usage de serveurs DNS est un passage obligé. En l'absence de déclaration écrite, officielle, claire et explicite, absolument tous les opérateurs (FAI et autres opérateurs - rien qu'en France métropolitaine, les FAI Orange, Free, SFR, Bouygues, FDN, ainsi que la nébuleuse DartyBox, NordNet, OVH, Prixtel, Budget Telecom, Vivéole, Numericable, Auchan Telecom, Nerim, Magic OnLine...) de serveurs DNS (serveurs de noms de domaine) utilisent ces serveurs DNS pour espionner (tracking / profiling / clickstream) vos moindres faits et gestes sur l'Internet et ses cas d'usages (Web, P2P, blogs et forums, moteurs de recherche, communications institutionnelles, communications commerciales, communications sociales, réseaux sociaux (privés ou professionnels), annuaires, courriel, téléphonie, jeux massivement multijoueurs, transactions bancaires, etc.). Cet espionnage consiste en l'enregistrement et la rétention d'informations portant sur vos moindres actions et habitudes à travers l'espace, le cyberespace et le temps.

Ces données sont non seulement exploitées, mais commercialisées (exemples : Avast, AVG, Piriform, Jumpshot, Tuto4PC, autres scandales de ventes de données privées, etc.). D'ailleurs, demandez-vous pourquoi ces opérateurs mettent en place des serveurs DNS gratuits.

Le gratuit, ça n'a pas de prix, mais ça a un coût :

     Si le produit est gratuit, c'est que vous êtes le produit.
     Si le service est gratuit, c'est que vous êtes le service.


Actuellement (janvier 2021), seuls FDN (French Data Network) et Cloudflare sont officiellement « propres », aucun des dizaines de milliers d'autres ne le sont (ou qu'ils viennent l'affirmer, preuves à l'appui, dont dans toutes leurs règles et clauses, sur notre forum). Si vous tenez à votre vie privée, il est donc vivement conseillé d'utiliser les serveurs DNS de l'un de ces deux opérateurs, et d'aucun autre opérateur (surtout pas ceux de votre FAI), Cloudflare ayant les serveurs DNS les plus rapides du monde et FDN étant français et historiquement hautement de confiance (dirigée par Benjamin Bayart, militant pour la neutralité du net, Président de la Fédération FDN, Président du Fond de Défense de la Neutralité du Net (FDN), co-fondateur et membre du comité d'orientation stratégique de La Quadrature du Net, conférencier [ses vidéos sur YouTube]). Voir notre article : FDN.

La modification doit se faire au niveau du système d'exploitation (ou au niveau de la carte réseau sous Windows 10...), mais aussi au niveau de la BOX de votre FAI afin que tous les appareils de votre réseau local soient protégés.