Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.01.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les serveurs DNS peuvent être comparés, au niveau de l'Internet et du Web, aux annuaires téléphoniques au niveau du téléphone. Exemple :

Tous les « appareils » connectés à un réseau ont une adresse dans ce réseau. Par « appareil » on entend :

  • La BOX du particulier.

  • Le centre de calcul d'une administration ou d'un groupe.

  • Les serveurs Web hébergeant les sites Web ou services Web que l'on consulte ou utilise.

  • Tous les objets connectés.

  • Etc.

On ne peut, techniquement, s'adresser à un appareil que par cette adresse qui est de la forme IPv4 (Internet Protocol version 4) xxx.xxx.xxx.xxx où xxx est un nombre de 0 à 255 (ou, avec l'explosion du nombre d'appareils, de la forme IPv6 (Internet Protocol version 6) xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx).

Votre adresse IP personnelle est une donnée privée qui n'a pas à être collectée. Plusieurs textes de loi la définisse ainsi (lire le paragraphe 2 de l'article adresse IP).

Ces adresses numériques sont une chose naturelle dans le monde numérique, mais rébarbatives pour les humains qui y sont farouchement hostiles. Or tous les sites Web et services Web que nous visitons/utilisons se trouvent sur des appareils (des serveurs dans notre monde client/serveur - le monde P2P est un autre usage de l'Internet où chaque appareil [avec son adresse IP] est à la fois client et serveur) et on se fiche complètement de savoir quelle est l'adresse IPv4 ou IPv6 de ces serveurs ! Il est préférable de donner des noms aux sites et services Web, et de laisser un mécanisme traduire automatiquement ces noms en une adresse. Il sera ainsi plus aisé de consulter le site assiste.com que le site 213.186.33.24 (en IPv4) ou 2001:41d0:1:1b00:213:186:33:24 (en IPv6) ! En plus, certains sites ou services se partagent à plusieurs milliers le même serveur, pour des raisons économiques (serveurs mutualisés).

Ce mécanisme de traduction automatiquement des noms en adresses fut inventé par Paul Mockapetris en 1983 (on est bien avant la naissance du Web qui n'interviendra que le 06 août 1991). Ce mécanisme est pris en charge par des serveurs particuliers maintenant une copie intégrale de la liste, unique et mondiale, des paires « Noms de domaine adresses IPs » (il y en a plusieurs milliards). L'application qui y est installée est particulière et ces serveurs sont appelés « Serveurs de Noms de Domaines » (dits, simplement, « serveurs DNS (Domain Name Server) ».

Chaque fois que vous demandez un accès à un domaine ou service, cette demande est traduite par un « serveur DNS » auquel accède votre appareil. (Les serveurs DNS sont, eux aussi, des appareils avec une adresse IP.)

C'est votre FAI (Fournisseurs d'Accès Internet) qui vous fournit automatiquement votre adresse IP(qui peut être permanente ou changeante par bail de 24 heures) et l'adresse IP d'un serveur DNS (ainsi qu'une seconde adresse IP pour un serveur DNS de secours si le serveur DNS préférentiel n'est pas accessible, en panne ou en surcharge). L'utilisateur n'a rien à faire et son appareil détecte automatiquement les adresses IP des serveurs DNS à utiliser. Ces adresses IP sont codées dans les paramètres de la box (modem/serveur) que vous loue votre FAI. Mais vous pouvez, avec intérêts, en changer.

D'autres serveurs DNS existent qui peuvent suppléer ou remplacer ceux par défaut. Les raisons de les utiliser :

  1. Le critère de vitesse de résolution
    Certains serveurs DNS sont plus rapides que d'autres, mais si l'on ne fait pas des dizaines de milliers de requêtes par jour vers des dizaines de milliers de domaines différents, on est au niveau de gain de quelques nanosecondes, ce qui ne se fera pas sentir. En plus, les systèmes d'exploitation comme les navigateurs Web maintiennent, presque tous, des mémoires cache de résolution DNS. Il existe un service gratuit en ligne (DNSPerf) qui compare les vitesses des serveurs DNS. Exemples (mesures le 28 décembre 2020).

    Comparaison de la vitesse des serveurs DNS dans le monde
    Comparaison de la vitesse des serveurs DNS dans le monde

    Comparaison de la vitesse des serveurs DNS en Europe
    Comparaison de la vitesse des serveurs DNS en Europe
  2. Le critère de vitesse de mise à jour de la base de données
    Le critère de vitesse de mise à jour de la base de données mondiale des paires « Noms de domaine adresses IPs » peut être un peu plus significatif. Il y a « 13 serveurs DNS racine » dans le monde, qui contiennent la base de données complète des paires « Noms de domaine adresses IPs » et des réplications partielles un peu partout, dont chez les FAI. Ceci n'intervient que lors de la création d'un nouveau domaine, ou de sa suppression ou de son déplacement d'un serveur à un autre. Les mises à jour se font par la délégation locale qui gère une partie des DNS sur une zone donnée (par exemple, Gandi en France) ou au niveau de l'hébergeur. Une fois une modification faite, elle doit se propager à travers les « 13 serveurs DNS racine » puis les centaines de milliers de réplications (miroirs DNS partiels) de la planète, ce qui peut prendre de 24 à 48 heures.

  3. La non-censure du Web
    La véritable raison pour changer de DNS est l'accès à l'intégralité du Web, sur l'Internet. Chaque fournisseur d'un service de résolution de noms de domaine (par exemple, en France métropolitaine, Orange, Free, SFR, Bouygues Telecom et une nébuleuse comme DartyBox, NordNet, OVH, Prixtel, Budget Telecom, Vivéole, Numericable, Auchan Telecom, Nerim, Magic OnLine...) peut ne pas disposer de l'image complète des paires « Noms de domaine adresses IPs » du monde. Les raisons sont diverses, dont la censure du Web. Un fournisseur d'accès DNS peut bloquer des noms de domaine :

    1. Pour des raisons qui le regardent (sauvegarde de sa bande passante, morale, politique [Chine, Corée du Nord, etc.]). On perd la neutralité d'Internet.

    2. DNS menteurs. Certains prétendus fournisseurs de serveurs DNS remplacent les paires naturelles « Noms de domaine adresses IPs » par des paires menteuses dirigeant les visiteurs vers des sites avec lesquels ils ont des intérêts économiques, voire leurs propres sites.

    3. Par obligations que certains lui imposent, comme un gouvernement ou une décision de justice nationale (ordre de bloquer un site de piratage, etc.).

Les serveurs DNS peuvent donc :

  • Comporter des censures (pas de résolution d'un nom dont l'adresse ne sera pas trouvée).

  • Être utilisés pour suivre votre navigation Web (forme d'espionnage de votre vie privée pudiquement appelée Tracking/Profiling et clickstream).

Il est possible de changer de serveurs DNS.

Pour comprendre ce que sont les DNS et où ils interviennent dans la résolution des noms de domaines, lire :

Pour changer de serveurs DNS, voici 4 choix significatifs :




Pour accéder au Web, vous passez obligatoirement par un serveur DNS.

La censure du Web met à mal la neutralité du Web, mais peut-être pour, parfois, de bonnes raisons. Cette censure peut être mise en place par des opérateurs qui filtrent le Web, au niveau des DNS, afin de protéger certaines classes d'internautes comme les enfants ou de protéger les populations contre le terrorisme, le racisme, l'antisémitisme, les fake news, le Web profond (Web caché ou deep Web), etc.

On peut voir, dans notre liste de DNS, des signalements de DNS filtrants.

Il existe 13 jeux de serveurs DNS contenant, chaqu'un, l'intégralité des noms de domaines du monde et leurs résolutions en adresses IP. On les appele les serveurs DNS racine. Ils ont subi de violentes attaques cherchant à faire tomber Internet au niveau mondial et ont toujours résisté.

Personne n'a un accès direct aux serveurs DNS racine. Seuls des intermédiaires, les FAI et quelques opérateurs d'importance, y ont accès et en font une copie qui est accessible aux utilisateurs finaux. En l'absence de toute manipulation de votre part, ce sont les serveurs DNS de votre FAI qui sont paramétrés chez vous lors de votre inscription à l'Internet. Avec cette offre vous obtenez les résolutions en adresses IP des sites visités. Votre FAI fait également d'autres usages de vos utilisations de ses serveurs DNS.




Lorsque le cas se présente de souhaiter passer par un serveurs DNS non censuré, et en plus respectant votre vie privée, il est vivement conseillé de passer par les serveurs DNS de Cloudflare :



Serveurs de noms parmi les plus rapides (le 1.1.1.1 serait le plus rapide serveur de noms du monde).

Vie privée protégée : Selon leurs clauses « ...nous ne voulons pas savoir ce que vous faites sur Internet - cela ne nous regarde pas - et nous avons pris les mesures techniques nécessaires pour nous assurer que nous ne le pouvons pas. »


Voir Comment changer de DNS pour utiliser ceux de Cloudflare.




Le moyen mis en œuvre pour censurer un domaine, sur le Web, est simple et radical : retrait, dans les DNS, de la résolution du nom du domaine.

Par défaut, tous les internautes utilisent, probablement sans le savoir, les serveurs DNS de leur FAI (Fournisseur d'Accès Internet).

Un blocage d'accès à un site Web peut provenir de :

  • Une ordonnance de justice. Comme celle-ci émane de la justice d'un pays, elle ne peut s'adresser qu'aux détenteurs de serveurs DNS de ce pays, pas des autres. Donc :

    • L'accès au site Web incriminé peut toujours être résolu avec tous les autres serveurs DNS du monde - il suffit de changer de DNS et d'en prendre un autre dans cette liste de DNS.

    • Certains fournisseurs d'accès du pays émetteur de l'ordonnance restrictive ne sont pas concernés. Ainsi, en France, seuls les 4 plus grands FAI du paysage français de l'Internet (en 2018 : Free, Bouygues, SFR et Orange) sont généralement désignés pour obtempérer à l'ordonnance, mais les plus petits ne le sont pas. Voir la liste des DNS des FAI.

    • Certains fournisseurs d'accès sont totalement réfractaires à la censure du Web et défendent bec et ongles la neutralité de l'Internet et du Web. Ainsi en est-il, en France, de la FDN. Voir la liste des DNS des FAI.

  • Une décision unilatérale du fournisseur d'un service DNS. Certains fournisseurs d'un service DNS peuvent appliquer leurs propres censures pour des raisons qui leur appartiennent (religieuses, philosophiques, morales, politiques, idéologiques, sécuritaires ... ou de concurrence, etc.).




Lire : Hosts et DNS : Schéma de principe de la résolution des noms de domaine

Hosts et DNS - Schéma de principe de la Résolution des noms de domaine
Hosts et DNS - Schéma de principe de la Résolution des noms de domaine

  1. Sur ce schéma, on voit très nettement que la résolution faite au niveau du DNS local (votre fichier hosts, dans votre ordinateur), est prioritaire et permet de s'affranchir de toute forme de censure du Web et d'Internet. Paramétrez localement vos paires de résolution : « Nom de domaine Contournement de la censure du Web - fichier hosts Adresse IP du serveur ». Mais...


    Violation des standards de résolution des noms de domaines par Microsoft

    Il est apparu, lors des premières analyses du comportement de Windows 10, à sa sortie (29 juillet 2015), avec ses foisonnements de sondes de télémétrie (espionnage), que Microsoft a développé une couche additionnelle de résolution de certains noms de domaines, qui s'applique avant hosts. Ceci est en total violation de l'architecture hosts et DNS, empêchant ainsi le blocage, par le fichier hosts, de son espionnage (impossibilité de bloquer certains des serveurs Microsoft dont la résolution (adresse IP) est désormais codée en dur dans la DLL %WINDIR%\system32\dnsapi.dll).

    Il appert que cela a été déployé/implémenté ensuite, à l'occation des mises à jour périodiques du Système d'Exploitation (SE) Windows (par Windows Update) sur toute la gamme des Windows, y compris Windows XP (qui n'est plus censé être maintenu).

    Les sites Microsoft suivants ne peuvent plus être bloqués :

    • www.msdn.com

    • msdn.com

    • www.msn.com

    • msn.com

    • go.microsoft.com

    • msdn.microsoft.com

    • office.microsoft.com

    • microsoftupdate.microsoft.com

    • wustats.microsoft.com

    • support.microsoft.com

    • www.microsoft.com

    • microsoft.com

    • update.microsoft.com

    • download.microsoft.com

    • microsoftupdate.com

    • windowsupdate.com

    • windowsupdate.microsoft.com

    Les navigateurs Web, sauf Firefox qui est réellement open-source, sont tous soupçonnés d'implanter le même genre de bypass.

    Une solution de « contournement du contournement » est de paramétrer le blocage dans votre modem/routeur (votre « box »).

    Ressource : Windows 10 Ignoring the Hosts File for Specific Name Resolution


  2. Les DNS de votre FAI ne sont pas les seuls DNS que vous pouvez utiliser. Il suffit d'utiliser d'autres DNS. Aucun DNS du monde n'est touché par une décision de justice franco-française de censure du Web qui ne concerne que quatre FAI français. En France, de nombreux petits fournisseurs d'accès ne sont pas concernés par les ordonnances d'un TGI (Tribunal de Grande Instance) et certains sont militants et défenseurs d'un Web libre et ouvert (neutre). Dans notre liste des serveurs DNS des FAI, on trouve les serveurs DNS d'entités militantes, françaises ou autres, comme FDN, LDN, ARN, GreenTeamDNS, DNSWatch, DNS Advantage, Cloudflare, Comodo (mouais... enfin... je suspecte Comodo de DNS de tracking), OpenNIC).

    Comment changer de DNS.




Très simple ! Deux solutions :

  1. Une solution consiste, une bonne fois pour toutes, à mettre dans votre DNS local (votre fichier hosts) les paires « Nom de domaineCOntournement de la censure du Web - fichier hostsAdresse IP du serveur » des domaines censurés. Vous accèderez à vos sites Web préférés même en cas de censure, car votre DNS local est prioritaire sur tous les autres.

    • Chercher le serveur du domaine en utilisant un service de « Whois ».
      Nota : Le serveur hébergeant un domaine peut changer de temps en temps pour diverses raisons (l'hébergeur déplace le site d'un serveur à un autre serveur, le propriétaire du site déplace le site d'un hébergeur à un autre hébergeur, etc.).

    • Ajouter les deux lignes suivantes dans le fichier hosts :

      1. adresse IP Nom du domaine

      2. adresse IP www.nom du domaine

  2. Changer de DNS. Choisir une paire de DNS dans la liste de serveurs DNS utilisables librement.
    Comment changer de DNS




l'usage de serveurs DNS est un passage obligé. En l'absence de déclaration écrite, officielle, claire et explicite, absolument tous les opérateurs (FAI et la nébuleuse d'autres opérateurs - rien qu'en France métropolitaine, les FAI Orange, Free, SFR, Bouygues, ainsi que la nébuleuse DartyBox, NordNet, OVH, Prixtel, Budget Telecom, Vivéole, Numericable, Auchan Telecom, Nerim, Magic OnLine...) de serveurs DNS (serveurs de noms de domaine) utilisent ces serveurs pour espionner (tracking/profiling/clickstream) vos moindres faits et gestes sur l'Internet (Web, P2P, etc.). Cet espionnage consiste en l'enregistrement et la rétention d'informations portant sur vos moindres actions et habitudes à travers l'espace, le cyberespace et le temps.

Ces données sont non seulement exploitées, mais commercialisées. D'ailleurs, demandez-vous pourquoi ces opérateurs mettent en place des serveurs DNS gratuits.

Actuellement (janvier 2021), seuls FDN (French Data Network) et Cloudflare sont officiellement « propres », aucun des dizaines de milliers d'autres. Si vous tenez à votre vie privée, il est donc vivement conseillé d'utiliser les serveurs DNS de l'un de ces deux opérateurs, et d'aucun autre opérateur (surtout pas ceux de votre FAI), Cloudflare ayant les serveurs DNS les plus rapides du monde et FDN étant français et historiquement hautement de confiance.

La modification doit se faire au niveau du système d'exploitation (ou au niveau de la carte réseau sous Windows 10), mais aussi au niveau de la BOX de votre FAI afin que tous les appareils de votre réseau local soient protégés.