DNS, changer de DNS, fuites de DNS, DNS Leak | Ce qu’il faut savoir

Essayons d’expliquer simplement comment changer de DNS, pourquoi il ne faut pas utiliser les DNS de son fournisseur d’accès (FAI), ce qu’est un DNS et les dangers des fuites DNS ou DNS Leak.

Mon article sur comment et pourquoi changer de DNS ne sera pas un de ces articles que seuls les geeks peuvent comprendre, comme d’habitude je vais essayer d’expliquer les choses de façon claire pour que l’information soit accessible à tous, y compris aux moins calés en informatique.

Le DNS, c’est quoi ?

Le DNS (Domain Name System) est un système utilisé pour la résolution des noms de domaines sur internet. Je ne vais pas rentrer dans les détails d’une explication pointue à la Wikipédia mais pour faire simple, quand on tapes le nom d’un site internet, une demande d’information est envoyée à des serveurs DNS.

Dans ces serveurs DNS, il y a des bases de données qui regroupent les correspondances entre le nom d’un site internet et l’adresse IP publique de la machine sur laquelle le site internet se situe.
Et votre ordinateur a besoin de connaitre cette adresse IP car le nom du site internet n’indique en rien ou il faut chercher pour afficher le site internet que vous voulez visiter, on pourrait faire l’analogie avec un annuaire papier, les pages blanches, vous avez un nom de famille et vous souhaitez savoir ou cette personne habite, sauf que là il y a pas besoin de feuilleter les 5000 page de l’annuaire 🙂

Donc à chaque site internet correspond une adresse IP publique :

mon-site-blabla.com = 214.163.12.45 (adresse publique de la machine)

Il arrive souvent que plusieurs sites aient la même adresse IP publique parce qu’ils sont hébergés sur une même machine (on peu aussi dire : hébergés sur le même serveur). Dans ce cas c’est chaque machines hébergeant plusieurs sites internet qui décidera quel site internet vous renvoyer en fonction de votre demande.

Quelques soit le DNS que vous utilisez les demandes des sites internet que vous visitez passent donc toujours par un serveur DNS.

Pour des questions de confidentialité, c’est toujours mieux d’utiliser des serveurs DNS extérieurs à votre FAI (Fournisseur d’Accès Internet) pour ne pas concentrer vos données de navigation en un seul endroit car à chaque fois que vous faites une demande DNS pour savoir ou est hébergé tel ou tel site, cette demande peut être enregistré à des fins publicitaire par exemple.

Les fuites DNS ou DNS Leak, ça veut dire quoi ?

Les serveurs DNS peuvent être privés, anonymes et cryptés (comme les serveurs privés utilisés par les fournisseurs de VPN par exemple), ou bien être fournis par le FAI (de base, c’est toujours fourni par le FAI, si vous utilisez Orange, vous surferez de base par l’intermédiaire des DNS d’Orange) ou encore peuvent être des serveurs publics de tiers (DNS de Google par exemple).

Tout le monde peut décider de changer les DNS de son ordinateur, de sa tablette ou de son téléphone en spécifiant dans les paramètres de connexion internet sur sa machine.

L’adresse sur internet d’un serveur DNS est classiquement composé d’une adresse IP à 4 nombres séparés par des points.

Quand on ne spécifie pas quel DNS utiliser et qu’on laisse les paramètres automatiques, c’est-à-dire les DNS assignés automatiquement par les paramètres par défaut de notre configuration de réseau, il arrive parfois, à cause de problèmes de cache, surtout sur ordinateur et même en utilisant un VPN ayant des serveurs DNS dédiés, que l’ordinateur utilise les DNS restés dans le cache ou ceux du fournisseur.


Pour éviter ça, la première chose à faire est de paramétrer manuellement un DNS sur son ordinateur (ou sur sa télé, sa console, son smartphone…), opération très simple qui ne devra être faite qu’une seule fois. 

Si je n’ai pas été assez clair, ce problème (et problèmes annexes) est connu sur internet sous les noms de DNS hijacking, DNS redirection, DNS Leaks, manipulation DNS, DNS Mangling, DNS menteurs.

Pourquoi il ne faut jamais laisser les DNS du FAI

Laisser les DNS automatiques de sont FAI revient à faire en sorte que son fournisseur sache toujours sur quels sites l’on vas.

Et même si vous n’avez rien à cacher, les fournisseurs gardent ces informations en mémoire pendant des années voire les utilisent à des fins publicitaire. Et si des personnes mal intentionnées mettent la main dessus elles auront accès à des tonnes d’informations confidentielles.

Dans les pays à forte censure, il est carrément possible que certains sites internet soient rendus inaccessibles ou bloqués depuis le fournisseur ou que soit envoyée à l’utilisateur une copie du site à la place du site original sans qu’il ne s’en rende compte.

Changer le DNS par défaut, c’est la base d’une navigation sûre.

Quels DNS utiliser pour se protéger du DNS Leak ?

Certains VPN ont des serveurs DNS privés à paramétrer manuellement, d’autres les assignent à votre connexion automatiquement une fois connecté.

Ceci étant dit, même si vous n’utilisez pas de VPN, je vous conseille quand même de paramétrer une de ces adresses de DNS publics et fiables (moi par exemple j’utilise celui d’OpenDNS) :

Les DNS fonctionne toujours par paire, un DNS primaire et un secondaire, donc quand on change les DNS de sa machine, on change toujours 2 adresse IP.

Comodo public DNS
DNS 1 : 8.26.56.26
DNS 2 : 8.20.247.20

Google public DNS
DNS 1 : 8.8.8.8
DNS 2 : 8.8.4.4

OpenDNS public DNS
DNS 1 : 208.67.222.222
DNS 2 : 208.67.220.220

DNS Advantadge public DNS
DNS 1 : 156.154.70.1
DNS 2 : 156.154.71.1

Comment changer de DNS ?

Il existe diverses façons de changer de DNS selon le type de machine que vous utilisez, je vais vous indiquer rapidement comment faire pour les différentes types :

Changer de DNS sous Windows

  • Faire un clic droit sur l’icône de connexion (le signe du câble réseau ou du wifi) dans la barre des tâches Windows à côté de l’horloge
  • Cliquez sur Ouvrir le Centre Réseau et partage (capture ci-dessous)

changer-dns-windows-fr-etape-1

  • Dans le Centre Réseau et partage, cliquez sur la connexion internet active, un lien bleu

changer-dns-windows-fr-etape-2

  • Dans la fenêtre qui viens de s’ouvrir double cliquez sur Protocole Internet version 4
  • Dans la nouvelle fenêtre qui viens de s’ouvrir cliquez sur Utiliser l’adresse de serveur DNS suivante
  • A la place des 2 champs vides, indiquez deux serveurs DNS parmi ceux choisis ci-dessus.
  • Cliquez sur OK sur chaque fenêtres pour les fermer en sauvegardant, et c’est fait.

Changer de DNS sur Mac

  • Préférences de système
  • Réseau
  • Avancé (si vous êtes en wi-fi, faites d’abord wi-fi puis Avancé)
  • Cliquez sur l’onglet DNS

changer-dns-mac-fr-etape-2

  • Insérez les serveurs DNS que vous souhaitez (deux suffisent)
  • Cliquez sur OK pour fermer en sauvegardant, et c’est fait.

IPv6 et vulnérabilité

Aujourd’hui les sites internet utilise presque tous une adresse IP de type IPv4 (Internet Protocol version 4).

Etant donné qu’il n’y presque plus d’IPv4 disponibles dans le monde, un nouveau type d’adresse IP a été créé, les IPv6 (Internet Protocol version 6).

Le problème est que ce protocole 6 présente de nombreuses faiblesses notamment celle de « montrer » votre adresse IP, parfois même si vous utilisez un VPN.

La meilleure façon de bloquer cela est de désactiver complètement le système IPv6 sur votre machine.

Désactiver IPv6 sous Windows

Si vous êtes sous Windows vous pouvez aussi le faire avec un outil Microsoft.

desactiver-ipv6-windows-fr

Le désactiver aussi (en le décochant) dans les propriétés (de la même façon qu’expliqué ci-dessus pour changer de DNS), mais également dans chaque onglet de Réseau et connexion.

Désactiver IPv6 sur Mac

Lancer le Terminal

Saisir dans Terminal la ligne de commande ci-dessous pour le désactiver sur le réseau fixe :
networksetup –setv6off Ethernet
Saisir dans Terminal la ligne de commande ci-dessous pour le désactiver sur le réseau wi-fi :
networksetup –setv6off Wi-Fi
Pour revenir en arriere, saisir dans Terminal les lignes de commande ci-dessous :
networksetup –setv6automatic Wi-Fi
networksetup –setv6automatic Ethernet

Teredo : c’est quoi et comment le désactiver ?

Microsoft utilise un protocole appelé Teredo pour passer d’IPv4 à IPv6. Comme certains logiciels de torrents peuvent y accéder et que quand ils le font ils sortent « à l’extérieur du tunnel VPN », il y a donc un risque de ne pas être protégé pendant l’utilisation des torrents même avec un VPN.

Ce problème se résout en désactivant Teredo par une Invite de commande.

Allez dans la recherche Cortana (si vous avez au moins Windows 10), saisissez « DOS » et exécutez en tant qu’administrateur l’Invite de commande (clic droit et sélectionnez Exécuter en tant qu’administrateur).
Sinon allez dans Programmes, Système Windows et exécutez en tant qu’administrateur l’Invite de commande (clic droit et sélectionnez Exécuter en tant qu’administrateur).

Puis saisissez cette commande :
netsh interface teredo set state disabled

Pour revenir en arriere, la commande est :
netsh interface teredo set state enabled

Les fuites WebRTC, les plus redoutées sur Windows

Pour les utilisateurs de Windows, il existe un autre problème dû à des fonctionnalités internes des navigateurs.

WebRTC est un protocole qui sert à découvrir une adresse IP et qui, en interrogeant votre navigateur, fait en sorte que certains sites puissent dialoguer à travers le navigateur et communiquer votre adresse IP.

Pour résoudre le problème à la racine, il faut désactiver cette fonctionnalité sur le navigateur :

Explorer n’a pas ce problème.

Chrome : il faut installer un plugin externe mais il ne vous permet pas de le désactiver

Firefox, qui est le navigateur que je conseille d’utiliser, doit être modifié directement dans ses paramètres.

webrtc-firefox-fr

Allez dans la barre d’adresse et écrivez :
about:config
Cherchez
media.peerconnection.enabled
et réglez-le sur False et c’est fait.

La vie privée est un droit, restez informés

Voici mes articles de référence sur la navigation privée, restez informé, ne soyez pas dupe si vous chercher par ou commencer c'est ici :

Laisser un commentaire