DNSCrypt : pour renforcer la sécurité des DNS

Christophe Laporte |
OpenDNS propose au téléchargement DNSCrypt [0.7 - 1.3 Mo - US], un outil permettant de chiffrer le trafic entre votre ordinateur et son service OpenDNS.

Pour ceux qui l'ignorent, le DNS est l'un des fondements du web. De la même manière que pour joindre une personne avec le réseau téléphonique, vous devez connaître son numéro de téléphone, il vous faut en théorie connaître l'adresse IP de la machine hébergeant le site Web que vous souhaitez consulter — ce qui n'est pas forcément simple à mémoriser. Heureusement, les noms de domaine existent. Ainsi, lorsque vous saisissez une URL, le serveur de DNS vous renvoie l’adresse IP à contacter.



Les fournisseurs d’accès ont leur propre serveur de DNS, mais dans certains cas, ils ne sont pas forcément très performants et/ou pas toujours bien à jour. C’est pour cela que des sociétés ont décidé depuis un certain temps déjà de lancer leurs serveurs de DNS lesquels sont ouverts à tous.

Avec DNSCrypt, OpenDNS va encore plus loin et améliore la sécurité de son service, en chiffrant les données échangées. Encore en développement, ce logiciel développé en open-source, prend la forme d’un panneau dans les préférences système. Autre avantage de cet utilitaire, il rend plus aisé le paramétrage des serveurs DNS sur votre machine. Plus besoin d’ajouter soi-même les IP d’OpenDNS dans les préférences réseau. Cette application sera également prochainement disponible sur Windows et Linux.

Les DNS sont de plus en plus utilisés par les hackers. En les compromettant, il est plus facile d’attirer l’internaute vers certaines pages afin d’exploiter une faille, dérober certaines informations ou encore d’organiser des attaques.

Si DNSCrypt ne se présente pas comme une solution globale aux différents problèmes relatifs aux DNS, il rend quasi illisibles à un pirate les données échangées entre OpenDNS et votre Mac.

Sur le même sujet :
- Astuce : les serveurs DNS les plus rapides avec Namebench

Tags
avatar Orus | 

Les services de sécurités américains redoutent qu'a cause des stupidités liberticides comme Hadopi les connections et les transactions internet soit de plus en plus cryptés.
Ceci le confirme, c'est que le début.

avatar macinside | 

au cas ou il y a aussi les DNS de google 8.8.8.8 / 8.8.4.4

avatar lmouillart | 

@Eftwyrd tu es obligé d'avoir un dns menteur dans leur solution car elle permet de mettre en oeuvre un filtrage/control parental au niveau dns. Donc tes enfants on une PS3, un ipod touch, une nintendo, tu met un fitre sur ton routeur et tu es tranquille, que des solutions de controles parentales existent sur les peripheriques ou non.
Cela déctecte aussi si des malwares ou bot net sont en activité

avatar jawa001 | 

OK pour les DNS de Google mais comme ils prennent de plus en plus en compte des décisions de justice (dé-référencement et retrait du moteur de recherche de certains sites), ne vont-ils pas être amenés à faire un tri/une censure aussi dans leurs DNS ...?

avatar Lateralus | 

OpenDNS, surtout pas ! Enfin, il y a ce qu'OpenDNS ne dit pas : puisque l'usage de leurs résolveurs est gratuit, quel est leur modèle d'affaires ? Simplement vendre l'information qu'ils ont récolté sur vous h t t p : / / w w w . bortzmeyer.org/opendns-non-merci.html

avatar Ritchie_007 | 

Sinon, l'application de prend pas en compte leurs serveurs en IPv6 !

avatar SimR69 | 

"il s’agit d’un des fondements du web"
Ouch ! Erreur critique.
Les DNS n'ont rien à voir avec le Web. C'est [i]Internet[/i] que vous auriez dû écrire.

avatar cecemf | 

ca protege de l'adopi ?

avatar tomahawkcochise | 

Bien vu

avatar chrysalis | 

Pas seulement pour Mac. Il fonctionne à peu près partout sauf sous Windows: https://github.com/opendns/dnscrypt-proxy - quelques packages pour d'autres OS sont aussi disponibles ici : http://testing.dnscrypt.org/private/packages/dnscrypt-proxy/packages/

Quant à OpenDNS: les logs ne sont conservés que quelques heures, le temps d'effectuer des traitements destinés à détecter de nouveaux malwares, botnets et ddos. Ils peuvent être conservés plus longtemps, afin que les utilisateurs puissent les consulter dans leur tableau de bord. C'est désactivable et d'ailleurs désactivé par défaut.

OpenDNS gagne de l'argent en vendant un service de protection contre les malwares et autres cochonneries. La version "enterprise" a davantage de filtres que la version gratuite. OpenDNS sert aussi énormément à filtrer la pornographie, les armes et autres dans les écoles et collèges. La moitié des écoles aux US utilise OpenDNS. Le service est aussi pas mal vendu à des points d'accès gratuits à internet, comme des boutiques, qui ne souhaitent pas que des petits rigolos s'amusent à afficher Youporn sur tous les ordinateurs en démonstration.

avatar apenspel | 

Alors, il suffit de ça pour empêcher les internautes chinois, ou syriens de s'informer et de bloguer, ou est-ce que ça leur permet de le faire en toute liberté ?

avatar chrysalis | 

En l'occurrence, OpenDNS leur permet au contraire de contourner ces filtres.

avatar apenspel | 

Dans ce cas, c'est une alternative à Tor ? Ou un complément ?

Toujours est-il que dernièrement j'ai eu un problème à me connecter à certain forum, j'ai ajouté OpenDNS (sans cryptage) parmi les serveurs DNS de ma configuration et après un redémarrage j'y avais à nouveau accès.
Auparavant, j'avais eu le même problème pour me connecter à Pirate Bay (juste en guise de test car je n'aime pas les torrents), alors j'avais testé les serveurs DNS de Google, et ils étaient toujours en place pour me connecter au forum ci-dessus.
Donc, où Google participe au filtrage de certains noms de domaine, ou le serveur que je voulais consulter était en panne, seulement il n'en a jamais fait mention.

avatar Faabb | 

dns menteur... quelle erreur de penser ça, et d'ailleurs ça induit les personnes peu informées en erreur!

les url qui doivent etre en http://www.qqch.domaine et qui sont ecrites qqch.domaine sans les 3w devant renvoient dans certains cas (ambiguité) vers des sites de pubs.

La belle affaire : )
il faut taper les 3w pour que l'url soit exacte. Les serveur dns fonctionnent dans tous les cas par vraisemblance max dans ces cas ambigus...

avatar sield | 

@Faabb :
...renvoient TOUJOURS vers des sites de pub ! C'est pour cette raison que j'ai repris les DNS de mon FAI Free

avatar PowerGif88 | 

Le dns des free est parfait

avatar PowerGif88 | 

De*...

avatar Philactere | 

@Faabb, @sield
Si j'ai bien compris, les serveurs DNS d'OpenDNS renvoient vers un _autre_ domaine si on omet le www quant celui-ci fait partie de l'adresse plutôt que de retenter le coup en prenant l'initiative (je sais, complêtement fole) de placer un éventuel www en tête ?
Bin bravo, ça c'est du service efficace qui ne se fout pas de la gueule des gens !
Comme quoi le gratuit...

avatar djgregb | 

je l'ai installé et des j'active le cryptage hop je n'ai plus internet

avatar GrandUbu | 

Même comportement chez moi: le cryptage activé je ne peux plus charger une seule page dans Safari

avatar GrandUbu | 

Mais après passage au cryptage via TCP/443 tout marche, même semble-t-il si on renonce au 443

avatar GrandUbu | 

En fait le comportement est erratique et irreproductible et il vaut mieux attendre une version stable pour se faire une opinion

avatar Hellish | 

Si DNS est un fondement de l'Internet, il est de facto aussi un fondement du Web, où il est particulièrement visible… aaah le savoir, moins on en a, plus on l'étale.

avatar chrysalis | 

Pour ne pas avoir de redirection vers la page de recherche quand un domaine inexistant est tapé il suffit de désactiver cette fonction ! OpenDNS se comporte alors comme n'importe quel autre cache DNS.

Dans votre compte, dans "advanced settings", décochez la case "Enable typo correction (and NX Domain redirection".

avatar chrysalis | 

Sinon, la dernière version se trouve sur Github, pas sur le lien donné sur la page d'OpenDNS.

CONNEXION UTILISATEUR