Assiste.com
Hosts et DNS - Schéma de la résolution des noms de domaine
Hosts et DNS - schéma de principe de la résolution des noms de domaine : quelles sont les étapes et conditions à travers lesquelles passe une demande d’accès.
cr 01.04.2012 r+ 21.08.2020 r- 20.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Hosts et DNS - schéma de principe de la résolution des noms de domaine :
| Aidez Assiste – autorisez quelques publicités et cliquez-les |
Bien entendu, l'objectif d'Assiste.com étant la sécurité informatique et la protection de la vie privée, c'est l'aspect "blocage d'accès" qui retient notre attention mais il n'y a aucune différence de manipulation entre l'accélération et le blocage. Les deux, accélération et blocage, peuvent cohabiter dans la même liste.
Une fois un site (un domaine) inscrit dans une liste hosts pour blocage, votre machine ne pourra plus du tout y accéder. Le domaine bloqué ne sera plus en mesure d'utiliser des cookies, des controles ActiveX, des applets Java, des scripts, installer automatiquement des applications, des barres d'outils, afficher des pop-ups etc. ... pour vous piéger et mettre en péril ou compromettre votre vie privée, votre sécurité et votre ordinateur. Son contenu ne poura plus être vu (protection parentale, filtrage de sites etc. ...)
Donc, avec une liste Hosts, nous bloquerons des serveurs de publicités, des sites adultes, des sites d'escroqueries financières, des sites recueillant nos traces de navigation (sites de statistiques, sites de tracking par Web-Bug etc. ...), des sites vers lesquels sont remontées les informations collectées par les logiciels espions (spywares, keylogger etc. ...), des sites aux contenus subversifs ou que des parents exerçant leur rôle en effectuant un contrôle parental souhaitent bloquer, des sites piégés prenant l'initiative de modifier nos réglages (hijack etc. ...), des sites cherchant à nous vendre des logiciels criminels ou suspects, des sites crapuleux etc. ...
Notons tout de même que des modules additionnels aux navigateurs, comme Adblock Plus, Ghostery et BetterPrivacy, qui sont des travaux communautaires ou imposés légalement, prennent en charge le blocage des publicités, des cookies de tracking et des sites de tracking et sont de loin supérieurs à l'utilisation de Hosts (dont la liste devrait être maintenue à jour pour des dizaines de milliers de domaines, ce qui est un travail harassant à faire seul dans son coin).
- Host ou Hosts
Un "host" (des "hosts") est un ordinateur sur lequel est hébergé une ressource (un site Internet par exemple) et met cette ressource à notre disposition lorsqu'on la lui demande - il nous "sert" - c'est un "serveur". Chaque ordinateur est donc un host mais ce sont tous les ordinateurs distants du notre et auxquels on se connecte qui nous intéressent. - Hosts - la convivialité des humains contre la froideur des ordinateurs
Les humains préfèrent appeler les sites et ordinateurs par des noms - cela est convivial. Les ordinateurs appellent tout par des numéros (des adresses). C'est ainsi qu'est né le "carnet d'adresses", un mécanisme de conversion (on dit "résolution") des noms en adresses- initialement sous le vocable de "liste hosts" implantée localement sur chaque ordinateur
- un peu plus tard (voir "Hosts et DNS - Un peu d'histoire"), sous le vocable de "DNS" (Domain Name Server) - des ordinateurs spécialisés du réseau des réseaux, Internet.
- Hosts - la bonne résolution
Lorsque vous demandez l'accès à un site Internet, la première chose qui se passe réellement est la recherche de l'adresse Internet de ce site (l'adresse IP). Internet ne connaît pas, par exemple, https://www.google.fr mais connaît l'adresse 64.233.179.104. Cette recherche d'adresse est faite en consultant, d'abord, un fichier hosts, sur votre ordinateur, puis, si rien n'est trouvé, en interrogeant des serveurs particuliers, tout autour du réseau Internet, les DNS. - Hosts - un mécanisme de DNS est déjà implanté dans votre ordinateur
Le mécanisme DNS est implanté, de base, dans tous les ordinateurs, mais est généralement ignoré et inemployé. Il est hérité des début des réseaux d'ordinateurs (voir "Hosts et DNS - Un peu d'histoire"). L'utiliser est très simple et très avantageux, la fonction étant disponible d'origine dans tous les ordinateurs sous tous les systèmes d'exploitation. - Hosts - comment cela se présente, physiquement ?
Hosts est un simple fichier texte contenant une liste de noms de domaines (de noms de sites Internet, pour faire simple) avec leurs adresses. Force est de reconnaître qu'il est plus aisé d'aller sur www.google.fr que sur 66.249.93.99. Lorsque vous avez quelques dizaines ou quelques centaines de noms de sites à retenir, il est encore plus risqué de prétendre se souvenir de toutes leurs adresses réelles. Alors ? Peut-on concilier convivialité humaine et rapidité numérique ? Oui, en créant un carnet d'adresses sur son ordinateur. Ce carnet s'appelle Hosts.- Cliquez sur https://www.google.fr. Vous êtes arrivés sur Google France ? En réalité, un serveur d'un type particulier, appelé "DNS" (Domain Name Server), a été consulté pour savoir où se trouve le domaine www.google.fr et ce n'est que dans un second temps que vous êtes arrivés sur google.fr. Maintenant, cliquez sur https://66.249.93.99/. Vous êtes encore arrivés sur Google France. C'est la même chose mais, cette fois-ci, directement, donc plus rapidement.
- Recommençons avec https://www.google.com et https://66.249.93.147/.
- Recommençons avec https://www.microsoft.com/france/ et https://207.46.225.60/.
Il suffit de mettre ces informations en liste et d'implanter cette liste en un endroit particulier de votre ordinateur (voir Où se trouve le fichier Hosts ?). Voici une liste hosts (la première ligne est obligatoire et a une signification particulière expliquée plus loin dans ce dosier):
127.0.0.1 localhost
66.249.93.99 www.google.fr
66.249.93.147 www.google.com
207.46.225.60 microsoft.fr
Désormais, pour ces 3 domaines, l'accès sera immédiat sans passer par un serveur DNS. Vous naviguez plus vitte.
- Cliquez sur https://www.google.fr. Vous êtes arrivés sur Google France ? En réalité, un serveur d'un type particulier, appelé "DNS" (Domain Name Server), a été consulté pour savoir où se trouve le domaine www.google.fr et ce n'est que dans un second temps que vous êtes arrivés sur google.fr. Maintenant, cliquez sur https://66.249.93.99/. Vous êtes encore arrivés sur Google France. C'est la même chose mais, cette fois-ci, directement, donc plus rapidement.
- Hosts - comment bloquer des sites avec hosts ?
En quoi Hosts intervient en matière de sécurisation de la navigation sur Internet ? Nous venons de voir qu'au contraire, il permet d'accéder l'accès à certains sites. Et bien, il existe une convention universelle (un standard) qui fait que l'adresse 127.0.0.1 signifie "Moi-même" (mon ordinateur - localhost - boucle locale), ceci sous Windows comme sous tous les autres systèmes d'exploitation (Unix, Linux, Mac OS etc. ...). Cette adresse a été réservée, dès le début des réseaux, pour permettre de faire des tests localement, sans avoir à se connecter à un réseau.
Si je met, dans une liste hosts, des domaines, en leur donnant comme adresse "moi-même", ils ne seront tout simplement jamais trouvés (car ils ne sont pas hébergés sur mon ordinateur). Par exemple, ajoutons, pour les bloquer, les domaines horrible.com et violence.net dans la même liste que ci-dessus : elle devient
127.0.0.1 localhost
64.233.179.104 www.google.fr
64.233.167.99 www.google.com
193.238.151.9 microsoft.fr
127.0.0.1 horrible.com
127.0.0.1 violence.net
C'est ainsi que l'on bloque des dizaines de milliers de sites connus de publicités, d'espionnage, de sexe, de violence, illégaux, de suicide, de drogues etc. ...
| Aidez Assiste – autorisez quelques publicités et cliquez-les |
L'usage de serveurs DNS est un passage obligé. En l'absence de déclaration écrite, officielle, claire et explicite, absolument tous les opérateurs (FAI et autres opérateurs - rien qu'en France métropolitaine, les FAI Orange, Free, SFR, Bouygues, FDN, ainsi que la nébuleuse DartyBox, NordNet, OVH, Prixtel, Budget Telecom, Vivéole, Numericable, Auchan Telecom, Nerim, Magic OnLine...) de serveurs DNS (serveurs de noms de domaine) utilisent ces serveurs pour espionner (tracking / profiling / clickstream) vos moindres faits et gestes sur l'Internet et ses cas d'usages (Web, P2P, blogs et forums, moteurs de recherche, communications institutionnelles, communications commerciales, communications sociales, réseaux sociaux (privés ou professionnels), annuaires, courriel, téléphonie, jeux massivement multijoueurs, transactions bancaires, etc.). Cet espionnage consiste en l'enregistrement et la rétention d'informations portant sur vos moindres actions et habitudes à travers l'espace, le cyberespace et le temps.
Ces données sont non seulement exploitées, mais commercialisées (exemples : Avast, AVG, Piriform, Jumpshot, Tuto4PC, autres scandales de ventes de données privées, etc.). D'ailleurs, demandez-vous pourquoi ces opérateurs mettent en place des serveurs DNS gratuits.
Le gratuit, ça n'a pas de prix, mais ça a un coût : |
Actuellement (janvier 2021), seuls FDN (French Data Network) et Cloudflare sont officiellement « propres », aucun des dizaines de milliers d'autres ne le sont (ou qu'ils viennent l'affirmer, preuves à l'appui, dont dans toutes leurs règles et clauses, sur notre forum). Si vous tenez à votre vie privée, il est donc vivement conseillé d'utiliser les serveurs DNS de l'un de ces deux opérateurs, et d'aucun autre opérateur (surtout pas ceux de votre FAI), Cloudflare ayant les serveurs DNS les plus rapides du monde et FDN étant français et historiquement hautement de confiance (dirigée par Benjamin Bayart, militant pour la neutralité du net, Président de la Fédération FDN, Président du Fond de Défense de la Neutralité du Net (FDN), co-fondateur et membre du comité d'orientation stratégique de La Quadrature du Net, conférencier [ses vidéos sur YouTube]). Voir notre article : FDN.
La modification doit se faire au niveau du système d'exploitation (ou au niveau de la carte réseau sous Windows 10...), mais aussi au niveau de la BOX de votre FAI afin que tous les appareils de votre réseau local soient protégés.
| Aidez Assiste – autorisez quelques publicités et cliquez-les |
