CloudFlare lance un DNS plus rapide que celui de Google

Nicolas Furno |

CloudFlare a choisi le premier avril pour lancer son nouveau service, et ce n’est pas une blague. Cette entreprise américaine qui propose un ensemble de services destinés aux sites web, à la fois pour distribuer du contenu (CDN) et protéger contre les attaques de type DDoS, a lancé un service DNS. Pourquoi le premier avril ? Parce que son adresse IP est 1.1.1.1, quatre fois un, comme le 01/04.

Petit rappel très rapide si vous ne savez pas ce qu’est un serveur DNS. Sur internet, chaque site ou service est hébergé sur un serveur, un ordinateur physique associé à une adresse IP unique. Vous pourriez accéder au site en saisissant cette adresse, mais il faudrait retenir une série de quatre nombres pour chaque site visité, ce qui serait vite incroyablement complexe. Pour simplifier les choses, on utilise des noms de domaine, comme « apple.com » ou « macg.co », ce qui est beaucoup plus simple à retenir. Mais si les humains préfèrent utiliser des mots simples, le réseau internet a été construit autour des adresses IP et ce sont elles qui comptent sous le capot.

Le DNS est un « système de noms de domaine » (Domain Name System en VO), une immense base de données qui contient tous les noms de domaine enregistrés dans le monde, et l’adresse IP associée à chaque nom. Quand vous tapez l’adresse d’un site dans un navigateur, votre appareil se connecte d’abord à un serveur DNS pour connaître l’IP correspondante, puis accède au serveur associé à cette IP pour récupérer le contenu. Votre fournisseur d’accès dispose en général de ses propres serveurs de DNS, mais ils sont fréquemment assez lents.

C’est pour cela que l’on utilise parfois un service DNS tiers. Le plus connu est celui de Google, également identifié par son IP facile à retenir, 8.8.8.8. CloudFlare vient de lancer le sien, identifié par une adresse encore plus simple à retenir et qui ambitionne d’être encore plus rapide — et même le plus rapide à l’heure actuelle —, tout en offrant une meilleure protection pour l’utilisateur.

La commande traceroute à utiliser dans un terminal permet de suivre la connexion à un site internet, depuis votre routeur (premier résultat) jusqu’au serveur qui l’héberge (dernière ligne).

Du côté de la rapidité, la promesse est bien tenue. En moyenne, le DNS fourni par CloudFlare est plus rapide que celui de Google, qui était auparavant l’option gratuite la plus rapide sur le marché. C’est ce qu’a mesuré le site spécialisé DNSPerf, avec un temps moyen de connexion de 14 ms. C’est très peu, et c’est mieux que Google qui tourne autour de 34,5 ms d’après ce même site, mais c’est surtout probablement bien mieux que les DNS fournis par votre fournisseur d’accès à internet. CloudFlare indique qu’en moyenne, la latence est de 68 ms, mais on ne sait pas d’où vient ce chiffre. Des tests indépendants placent aussi ce nouveau-venu au-dessus de ses concurrents, surtout en Asie et en Amérique du Sud, où les acteurs historiques sont souvent moins bons.

Quoi qu’il en soit, il n’y a pas que la vitesse de connexion qui compte, il y a aussi la vitesse de propagation en cas de changement de serveur. Quand un site passe d’un hébergeur à un autre, il hérite d’une nouvelle adresse IP et les serveurs DNS dans le monde entier doivent enregistrer la nouvelle association nom de domaine/adresse IP. Cette étape prend jusqu’à 48 heures, mais elle est nettement plus rapide si vous utilisez un DNS tiers. Celui de Google était déjà bon sur ce critère, mais CloudFlare est probablement l’acteur le plus réactif dans ce domaine. Si vous gérez des sites web et que vous changez régulièrement leurs adresses IP, utiliser ce nouvel acteur devrait vous apporter une meilleure réactivité.

Image CloudFlare.

Au-delà de ses performances, le DNS de CloudFlare se veut aussi mieux sécurisé que ses concurrents. En règle générale, l’accès à un serveur DNS et le relai vers un autre serveur ne sont pas sécurisés, tout se fait en clair. Ce qui fait que votre fournisseur d’accès peut obtenir la liste de tous les sites que vous visitez, même s’ils sont correctement protégés en HTTPS, puisque la connexion entre votre appareil et le serveur n’est pas protégée, elle. Au passage, c’est aussi ce qui permet à un pays de bloquer un site en particulier, mais c’est impossible si on utilise un DNS sécurisé.

CloudFlare a construit son service pour qu’il maintienne une connexion chiffrée de bout en bout. Deux technologies différentes sont proposées, tous les détails sont disponibles à cette adresse pour les développeurs qui souhaitent en bénéficier. Il faudra que les navigateurs soient mis à jour pour les prendre en charge, mais c’est une première étape essentielle.

Ajoutons que l’entreprise s’engage sur plusieurs points en matière de vie privée. Les données personnelles collectées par le service ne seront pas utilisées à des fins commerciales et elles ne seront conservées que pendant 24 heures, exclusivement pour un usage interne et technique.

Les DNS de CloudFlare configurés sur macOS : dans les Préférences Système, ouvrez le panneau Réseau, puis cliquez sur le bouton « Avancé » correspondant à votre connexion actuelle ; dans l’onglet DNS, saisissez les deux IP données par CloudFlare (1.1.1.1 en premier et 1.0.0.1 en deuxième).

Si vous voulez essayer 1.1.1.1, vous trouverez les instructions pour configurer votre ordinateur, tablette ou smartphone, ou même votre routeur, sur le site du projet.

Tags
avatar nonobzh | 

Attention chez Orange ! C'est la Livebox qui répond à l'adresse 1.1.1.1 (au moins avec la Livebox 4).
Va falloir qu'Orange change ça très rapidement !!!

avatar Issou la chancla | 

C'est pas 192.168.1.1?

avatar nonobzh | 

Aussi.
Mais fait un traceroute vers 1.1.1.1 et tu verras qu'il s'arrête à la Livebox

avatar Nicolas R. | 

Évidemment qu'il "s'arrêtera" à ta box... t'as fait un peu de réseau dans ta vie ?

avatar nonobzh | 

Oui, c'est mon métier !
Par contre si tu trouve normal qu'un traceroute vers 1.1.1.1 n'aille pas plus loin que la Livebox 4 (= c'est la Livebox 4 qui porte cette adresse), je pense que c'est toi qui n'a pas du faire de réseau dans ta vie ;)

avatar Marou93 | 
avatar h-de-pierre | 

relais prend un s à la fin même au singulier .

avatar Nicolas Furno | 

@h-de-pierre

Plus maintenant. https://fr.wiktionary.org/wiki/relai

avatar ErioBato | 

@h-de-pierre

Plus maintenant avec la graphie rectifiée (qui est optionnelle sauf pr l’administration)

avatar fernandn | 

J'utilise OPEN DNS depuis de nombreuses années. CloudFare c'est mieux?

avatar A884126 | 

@fernandn

Si vous lisez les informations fournies sur leur site ils semblent qu'ils soient plus rapides.

avatar jojo999922 | 

Si orange à vraiment utilisé une adresse IP internet public en plage local privé c'est une erreur impardonnable les réseaux internes c'est exclusivement sur 10.0.0.0 192.168.0.0 et le petit 172.16.0.0. C'est même criminel du point de vu de la neutralité du net

avatar ney | 

Pour les réfractaires au terminal, on peut utiliser "Traceroute" avec l'outil "Utilitaire de réseau" :)

avatar T60 | 

Pour ceux qui veulent un dns performant et qui respecte votre vie privée : https://mullvad.net/fr/guides/dns-leaks/

Pour ceux qui veulent un dns maison, vous pouvez tres bien utiliser votre propre pc comme dns, ainsi les recherches précédents un même domaine sont instantanées, 0ms.

avatar A884126 | 

@T60

Je l'ai testé. Pas mal du tout en effet. Mais j'ai finalement retenu PerfectPrivacy qui est plus complet dans sa configuration.

https://www.perfect-privacy.com

avatar vivarais07 | 

Question bête, mais comment vérifier que l’on utilise bien le service et pas celui de son opérateur internet une fois le routeur configuré ?
Existe-t-il un site ou logiciel pour le vérifier ?
Merci.

avatar Nicolas Furno | 
@ vivarais07

Avec un ordinateur Unix (un Mac, c'est bon) et un terminal, cette commande donne l'info :

nslookup macg.co

Si vous utilisez les DNS de CloudFlare, voici la réponse :

Server:     1.1.1.1
Address:    1.1.1.1#53

Non-authoritative answer:
Name:   macg.co
Address: 37.59.217.100

C'est le premier serveur qui compte.

avatar Geoweler | 

J’utilise freenom world qui propose les mêmes services. Avec l’adresse 80.80.80.80

avatar r e m y | 

La question qui se pose, quand on choisit un DNS, comme pour un VPN, c'est quels critères vérifier avant de faire confiance à ce prestataire.
Dans le cas d'un VPN, on fait transiter toutes ses données par les serveurs du prestataire,
Dans le cas d'un DNS, a minima le prestataire peut connaître toutes nos connexions et suivre notre navigation sur le net.

avatar Yoskiz (non vérifié) | 

@r e m y

Très bonne question 🤔

avatar roccoyop | 

@r e m y

C’est exactement pour ça que j’évite celui de Google. Et je suis étonné que Facebook ne s’y est pas mis.

avatar nicoula | 

Si ils proposent un service de VPN pour accéder à Fb, ils ont racheté Onavo de mémoire.
Donc ils peuvent s'ils le veulent, voir le trafic et certainement que ce VPN utilise son propre serveur dns et donc peuvent analyser les logs des requêtes DNS.

Dans l'application Fb iphone il faut aller sur les trop barre horizontales en bas à droite et dans la liste sélectionner "Protect" et cela va renvoyer sur l'application VPN Onavo de l'appStore.

avatar coink | 

Si vous avez un NAS (synology ou autre), un petit serveur dns maison sera encore plus rapide et aucune problématique de confidentialité / vie privée / filtrage dns... c’est super simple à installer et vous avez vraiment le contrôle.

avatar bibi81 | 

Et en plus tu peux filtrer la pub sur tout les appareils ;)

avatar A884126 | 

@bibi81

Pour cela il y a aussi la solution de chez Adguard.
Ils offrent aussi un DNS pour protéger enfants.

https://adguard.com/fr/adguard-dns/overview.html

Pages

CONNEXION UTILISATEUR