14046 shaares
9 results
tagged
DNS
L'ICANN a choisi un Suédois, Göran Marby, pour être son nouveau directeur. Il devra accompagner l'indépendance promise par les États-Unis au système de DNS racine sur lequel repose le Web.
La demande de commentaires (RFC) 7626, « DNS Privacy Considerations », a été publiée fin août par l'IETF (entité qui élabore les standards d'Internet). Elle est issue des travaux du « groupe de travail IETF sur DNS et vie privée » évoqué précédemment. Ce document se focalise sur les risques encourus par les usagers pour leur vie privée, dans l'usage actuel des services de résolutions de noms.
Les groupes de travail IETF sont maintenant bien occupés aux futures solutions (minimisation des données envoyées et chiffrement).
Le risque d'une surveillance particulière pour un titulaire de zone est discuté via les RFC 5936 & 5155. Les risques autres que ceux concernant la vie privée (comme du cache poisoning) sont hors-sujet ici. Nous considérons ici les risques pour la vie privée d'une surveillance générale ou plus précise.
« Ce[tte] RFC est en fait à la croisée de deux activités. L'une d'elles consiste à documenter les problèmes de vie privée, souvent ignorés jusqu'à présent dans les RFC. Cette activité est symbolisée par le RFC 6973 (…). Et la seconde activité qui a donné naissance à ce RFC est le projet d'améliorer effectivement la protection de la vie privée des utilisateurs du DNS, en marchant sur deux jambes : minimiser les données envoyées (…) et les rendre plus résistantes à l'écoute, via le chiffrement. ».
Les groupes de travail IETF sont maintenant bien occupés aux futures solutions (minimisation des données envoyées et chiffrement).
Le risque d'une surveillance particulière pour un titulaire de zone est discuté via les RFC 5936 & 5155. Les risques autres que ceux concernant la vie privée (comme du cache poisoning) sont hors-sujet ici. Nous considérons ici les risques pour la vie privée d'une surveillance générale ou plus précise.
« Ce[tte] RFC est en fait à la croisée de deux activités. L'une d'elles consiste à documenter les problèmes de vie privée, souvent ignorés jusqu'à présent dans les RFC. Cette activité est symbolisée par le RFC 6973 (…). Et la seconde activité qui a donné naissance à ce RFC est le projet d'améliorer effectivement la protection de la vie privée des utilisateurs du DNS, en marchant sur deux jambes : minimiser les données envoyées (…) et les rendre plus résistantes à l'écoute, via le chiffrement. ».
Choisir son DNS c'est important et c'est une affaire de confiance.
Les DNS de Google font très bien leur travail, mais évidemment, tous les noms de domaine que vous résolvez via 8.8.4.4 et 8.8.8.8 sont ajoutés à la longue liste des données personnelles collectées sur vous.
Les DNS de votre FAI ne sont à priori pas utilisés pour vous profiler, par contre, ils sont maintenant censurés arbitrairement par certaines autorités administratives françaises. Il est donc difficile de leur faire confiance.
Les DNS des bornes Wifi ou de certains fournisseurs de DNS gratuits sont utilisés aussi comme collecteurs de données et sont les 3/4 du temps des DNS menteurs car ils ne vous envoient pas vers les véritables sites, mais vers des versions modifiées intégrants de la publicité ou d'autres trackers plus ou moins discrets.
Les DNS d'OpenDNS sont soumis au patriot act et même s'ils sont corrects, il va être maintenant difficile de leur faire confiance, car OpenDNS vient d'être racheté pour 635 millions de dollars par Cisco. Cisco est un partenaire de la NSA, qui conçoit et exporte du matériel réseau explique qu'OpenDNS permettra d'offrir une meilleure protection à leurs clients contre les cyberattaques... Hmmm... ok. Je n'ai jamais vraiment aimé OpenDNS... Quand un nom de domaine n'est pas résolu, il renvoyait l'internaute vers son propre moteur et bien sûr il se gave en données récoltées sur les internautes.
Alors que nous reste-t-il niveau DNS ? Et bien malheureusement pas grand-chose...
Les DNS de Google font très bien leur travail, mais évidemment, tous les noms de domaine que vous résolvez via 8.8.4.4 et 8.8.8.8 sont ajoutés à la longue liste des données personnelles collectées sur vous.
Les DNS de votre FAI ne sont à priori pas utilisés pour vous profiler, par contre, ils sont maintenant censurés arbitrairement par certaines autorités administratives françaises. Il est donc difficile de leur faire confiance.
Les DNS des bornes Wifi ou de certains fournisseurs de DNS gratuits sont utilisés aussi comme collecteurs de données et sont les 3/4 du temps des DNS menteurs car ils ne vous envoient pas vers les véritables sites, mais vers des versions modifiées intégrants de la publicité ou d'autres trackers plus ou moins discrets.
Les DNS d'OpenDNS sont soumis au patriot act et même s'ils sont corrects, il va être maintenant difficile de leur faire confiance, car OpenDNS vient d'être racheté pour 635 millions de dollars par Cisco. Cisco est un partenaire de la NSA, qui conçoit et exporte du matériel réseau explique qu'OpenDNS permettra d'offrir une meilleure protection à leurs clients contre les cyberattaques... Hmmm... ok. Je n'ai jamais vraiment aimé OpenDNS... Quand un nom de domaine n'est pas résolu, il renvoyait l'internaute vers son propre moteur et bien sûr il se gave en données récoltées sur les internautes.
Alors que nous reste-t-il niveau DNS ? Et bien malheureusement pas grand-chose...
Le décret n° 2015-125 du 5 février 2015 « relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique » est entré en application.
C’est long comme nom, mais c’est toujours bon d’avoir le point de départ du billet.
Ce décret autorise le blocage de certains sites. La méthode de blocage choisie est celle du DNS menteur… et c’est important de savoir ce que c’est, parce que le DNS, vous l’utilisez en permanence. Partout sur vos ordinateurs, tablettes et téléphones, frigos et appareils connectés et j’en passe.
Pour comprendre ce que fait un DNS qui ment, il faut déjà comprendre ce que c’est qu’un DNS, je vais donc faire un peu de vulgarisation.
DNS, c’est pour Domain Name System, ça permet de traduire un nom de domaine en adresses compréhensibles par les machines qui font qu’Internet fonctionne, comme des adresses IP.
« C’est cool mais ce n’est pas très clair… »
C’est long comme nom, mais c’est toujours bon d’avoir le point de départ du billet.
Ce décret autorise le blocage de certains sites. La méthode de blocage choisie est celle du DNS menteur… et c’est important de savoir ce que c’est, parce que le DNS, vous l’utilisez en permanence. Partout sur vos ordinateurs, tablettes et téléphones, frigos et appareils connectés et j’en passe.
Pour comprendre ce que fait un DNS qui ment, il faut déjà comprendre ce que c’est qu’un DNS, je vais donc faire un peu de vulgarisation.
DNS, c’est pour Domain Name System, ça permet de traduire un nom de domaine en adresses compréhensibles par les machines qui font qu’Internet fonctionne, comme des adresses IP.
« C’est cool mais ce n’est pas très clair… »
Pour aider la France dans son combat contre l'ICANN, la députée Laure de la Raudière (UMP) propose d'ouvrir les racines DNS à la concurrence et de favoriser l'adoption d'alternatives par une prise en charge obligatoire par les opérateurs nationaux.
Les Etats-Unis ont annoncé vendredi qu'ils allaient renoncer au contrôle de leur administration sur le DNS racine dont ils délèguent la gestion à l'ICANN. Le système qui est au coeur d'Internet sera confié à une organisation internationale en 2015.
Connaissiez-vous cette carte de 2006 représentant l'infrastructure mondiale par 123 serveurs DNS root (ou racine) d'Internet ? En fait, tout Internet repose sur cette infrastructure de serveurs DNS racines, et comme tant à le démontrer Stéphane Bortzmeyer, les DNS ne servent pas uniquement à rediriger un nom de domaine vers une adresse IP ; ce n'est que la partie "visible" et facilement compréhensible du système de gestion des noms de domaine. Comme on peut le voir aussi sur cet article de l'ICANN, et contrairement à ce que l'on dit à ce sujet, il n'y a pas juste 13 serveurs racine situés aux États-Unis, mais bien une redondance par de multiples copies de ces serveurs racines dans le monde entier.
Voici une petite vidéo qui vous expliquera ce que sont les serveurs DNS et pourquoi ils sont importants. Je vous ai activé les sous-titres, car le mec parle vite et si vous voulez une version France, cliquez sur le bouton et cliquez sur « Traduire les sous-titres » et choisissez le français. C’est de la trad auto mais pour une fois, elle n’est pas trop dégueu.
Il est de notoriété publique que le protocole DNS est construit sur des bases assez friables offrant ainsi des cibles faciles à de potentiels attaquants. La partie la plus faible est ce qu’OpenDNS nomme » The Last Mile « , soit la dernière partie de l’acheminement du trafic à savoir de votre fournisseur à votre machine personnelle. Avoir son propre serveur DNS en interne permet éventuellement de renforcer un peu la sécurité en s’affranchissant des serveurs DNS de son fournisseur d’accès.