Sécuriser les connexions DNS avec Firefox, Chrome, Brave ou Opera et Windows 10

Dernière Mise à jour le

Les connexions DNS ne sont pas forcément sécurisées, ainsi, cela peut parfois poser des problèmes de sécurité ou de confidentialité.
Afin de renforcer la sécurité DNS, il existe beaucoup de mécanismes comme Secure DNS, DNSSEC, TLS 1.3 et le chiffrement SNI.

Cet article vous explique quels sont ces mécanismes et implications et comment sécuriser vos connexions DNS avec Firefox ou Chrome.

Les DNS ou serveurs de noms
Les DNS ou serveurs de noms

Introduction

Au moment où sont écrites ces lignes, les requêtes DNS effectuées par les navigateurs WEB ne sont pas chiffrées.
Ainsi un attaquant peut visualiser ces requêtes à travers une attaque MITM ou pire falsifier celle-ci.

Attaque MITM pour récupérer ou modifier les connexions DNS

Dans un précédent article, nous avions présenté la solution Simple DNSCrypt.
Ce dernier permet de sécuriser entière les requêtes dans Windows.
Toutefois, la mise en place peut s’avérer compliquer.

Dans cet article nous allons voir comment sécuriser ces connexions sur les navigateurs WEB.
En en effet, Il existe des solutions qui ne sont pas forcément disponibles entièrement pour plusieurs raisons :

  • Le navigateur WEB doit gérer ces mécanismes ce qui n’est pas le cas de tous les navigateurs WEB. Notamment Google Chrome a du retard.
  • Le serveur DNS utilisée doit aussi pouvoir supporter ces protocoles de sécurité.

DNSSEC : Les protocoles de sécurité

L’idée est surtout d’activer le chiffrement lors des requêtes DNS.
Un peu dans le même esprit que lorsque vous passez d’un site HTTP à un site sécurisé HTTPS.

CloudFlare qui propose ses propre serveurs DNS est l’un des premiers à fournir entièrement une solution sécurisée.
Le but est donc de passer de ce schéma où le clientHello n’est pas sécurisé et peut donc livrer des informations ou être manipulés.

DNSSEC et Secure DNS avec CloudFlare

A celui-ci où la requête DNS est entièrement sécurisés.

DNSSEC et Secure DNS avec CloudFlare

Les protocoles utilisés afin de parvenir à chiffrer les DNS.

  • Secure DNS — Apporte le support DNS-over-TLS ou DNS-over-HTTPS qui permet le chiffrement des requêtes, toutefois, celle-ci peut révéler le site que vous visitez.
  • DNSSEC — Permet d’authentifier les requêtes DNS afin de les sécuriser.
  • TLS 1.3 — La dernière version du protocole TLS qui corrige et apporte de nouvelles protections.
  • Chiffrement SNI (Encrypted SNI)— Active le chiffrement SNI ou ESNI qui protège de la récupération des résolutions DNS lors de l’établissement de la connexion sécurisée. Par exemple, votre FAI peut connaître les sites que vous visitez à travers les résolutions.
  • DNS Over HTTPS : Permet des résolutions à travers le protocole HTTPS.

Ainsi certaines fonctionnalités sont plutôt pour sécuriser le surf alors que d’autres touche l’anonymisation.

Comment sécuriser les connexions DNS dans les navigateurs WEB

Pour vérifier si ces protocoles sont actifs, CloudFlare fournit un site de test dont voici l’adresse : https://www.cloudflare.com/ssl/encrypted-sni/#

Le résultat s’affiche alors comme ici où on voit que seul DNSSEC et TLS1.3 sont bien activés.

Sécuriser les connexions DNS

Mozilla Firefox

Mozilla Firefox propose de configurer les paramètres DNS depuis l’interface.

  • Ouvre les paramètres de Firefox
  • Dans la partie générale, descendez tout en bas dans les paramètres réseau
  • Cliquez sur Paramètres
Activer DNS Over HTTPS sur Mozilla Firefox
  • En bas on trouve la possibilité d’activer DNS via HTTPS
  • CloudFlare et NetDNS sont proposés par défaut mais on peut aussi personnaliser l’adresse du serveur DNS.
Activer DNS Over HTTPS sur Mozilla Firefox

Pour aller plus loin : Sécuriser Firefox

Les réglages et options

La majorité des paramètres DNS avancés sont à effectuer dans le about:config de Mozilla Firefox.

  • Ouvrez un nouvel onglet pour pouvoir une nouvelle page
  • Ensuite dans la barre d’adresse, saisissez about:config
  • Enfin passez outre le message d’alerte.

L’activation du DNS over HTTPS se fait à partir du paramètre network.trr.mode d’about:config

Voici les réglages possible de network.trr.mode qui prend des valeurs de 0 à 4:

  • 0 : DNS Over HTTPs est désactivé.
  • 1 : Firefox utilisera le DNS natif ou TRR selon la vitesse de résolution, le plus rapide sera utilisé.
  • 2 : Firefox utilisera par défaut TRR mais reviendra au résolution DNS natif si TRR n’arrive pas à résoudre une adresse.
  • 3 : Firefox fonctionnera en mode TRR seulement.
  • 4 : Firefox fonctionne en mode natif mais utilisera aussi en parallèle TRR pour de la récupération de données.
Trusted Recursive Resolver (TRR) sur Firefox

Les autres paramètres de network.trr de Firefox

  • network.trr.credentials — des identifiants sont envoyés sur la requête HTTPS
  • network.trr.wait-for-portal — Utilise le TRR seulement seulement si une détection du portail captif est OK (defaut: true)
  • network.trr.allow-rfc1918 — Autoriser l’adresse privée en réponse (RFC 1918) (defaut:false).
  • network.trr.useGET — Utilise les requêtes GET au lieu de POST (defaut:false).
  • network.trr.confirmationNS — Firefox vérifie un domaine par défaut pour s’assurer que le TRR fonctionne par une réponse positive (defaut: example.com).
  • network.trr.bootstrapAddress — Permet de régler une adresse IP pour contourner le système de résolution (defaut: none)
  • network.trr.blacklist-duration — Le nombre de secondes de la durée d’une entrée dans la liste noire (defaut: 259200)
  • network.trr.request-timeout — Règle le délai du timeout(defaut: 3000)
  • network.trr.early-AAAA — Firefox vérifie les entrées A et AAAA et utilisera d’abord les entrées AAA si cette préférencée est réglé à true (defaut: false)

Enfin, on active le chiffrement SNI en passant network.security.esni.enabled à true.

Activer le chiffrement SNI sur Mozilla Firefox

Enfin tout est vert ce qui indique que vos connexions DNS sont bien sécurisées.

Sécuriser ses DNS sur Mozilla Firefox

Google Chrome

Google Chrome ne propose pas toutes les fonctionnalités actuellement.
A partir de la version 78 et 83 ont pu activer le DNS Over HTTPs depuis les paramètres cachés.
Mais on ne peut pas encore choisir le serveur.

Les versions futures le permettront.

  • Dns​Over​Https​Mode – Contrôle le mode DNS sur HTTPS
    • off = Désactiver DNS sur HTTPS
    • automatic = Activer DNS sur HTTPS avec repli non sécurisé
    • secure = Activer DNS sur HTTPS sans repli non sécurisé
  • Dns​Over​Https​Templates – Spécifiez le modèle URI du résolveur DNS sur HTTPS souhaité. Le modèle d’URI du résolveur DNS sur HTTPS souhaité. Pour spécifier plusieurs résolveurs DNS sur HTTPS, séparez les modèles d’URI correspondants par des espaces.
    • Si le DnsOverHttpsMode est défini sur «sécurisé», cette stratégie doit être définie et non vide.
    • Si DnsOverHttpsMode est défini sur “automatique” et que cette stratégie est définie, les modèles d’URI spécifiés seront utilisés; si cette stratégie n’est pas définie, des mappages codés en dur seront utilisés pour tenter de mettre à niveau le résolveur DNS actuel de l’utilisateur vers un résolveur DoH exploité par le même fournisseur.
    • Si le modèle d’URI contient une variable DNS, les demandes au résolveur utiliseront GET; sinon, les demandes utiliseront POST.
Activer le DNS Over Https sur Google Chrome

Dans les versions futures, il faudra se rendre dans les paramètres de Chrome > Confidentialité et sécurité.
En bas, on peut activer “Utiliser un serveur DNS sécurisé“.
On peut alors spécifier une adresse de serveur DNS.

Activer le DNS Over Https sur Google Chrome

L’article sera édité lorsque des mises à jour de Google Chrome apporteront des changements.

Opera

Activer le DNS Over HTTPS sur Opera est très simple :

  • Ouvrez les paramètres d’Opera
  • puis à gauche, cliquez sur le menu Avancé > Vie privée et sécurité
  • Descendez dans la partie Système pour activer “Utiliser DNS-OverHTTPs au lieu des paramètres du système”.
  • Réglez le serveur prédéfini ou une adresse de serveur DNS de votre choix.
Activer le DNS Over Https sur Opera

Brave

Pas encore disponible pour ce navigateur internet par défaut.

Edge Chromium

DoH n’est pas encore disponible pour ce navigateur internet par défaut.

Activer DNS Over HTTPs dans Windows 10

Microsoft prévoit de pouvoir utiliser le DNS Over HTTPS dans Windows 10.
Pour cela, suivre l’article dédié :

Activer DNNSEC dans Windows

La plupart des serveurs DNS des FAI ne proposent pas les DNS Sécurisés (DNSSEC).
Théoriquement donc, le test doit donc échouer.

Ainsi, il faut changer de DNS par exemple vers CloudFlare ou Google sachant que ce dernier collecte certainement vos habitudes de surf.
La page suivante explique comment modifier les DNS de Windows : Changer les DNS de Windows

Dans le cas de Cloudflare, il faut mettre 1.1.1.1 comme serveur DNS, un article complet donne toute la démarche : Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare

Une fois la modification effectuée, vérifiez sur la page de test que DNSSEC est bien actif.
Ensuite il convient d’activer certaines options dans les navigateurs WEB.

YoGaDNS pour utiliser des DNS plus sûrs

YogaDNS est un client DNS pour les utilisateurs expérimentés.
Il permet d’utiliser plusieurs DNS dont des DNS DNSSEC ou DNS Over HTTPS.

Autres tests DNSSec

Voici un autre site qui permet de tester sa connexion et la sécurité : Tester les DNS
A droite, cliquez sur Start Test.

Tester sa la sécurité de ses DNS

Puis le résultat s’affiche au bout de quelques secondes.
Il teste DNSSec en IPV4 et IPV6.

Tester sa la sécurité de ses DNS

Liste de serveurs DoH

Voici une liste de serveurs DNS Over HTTPS.
Certains avec du filtrage et d’autres sans.

NomURLCommentaire et filtrageType
AdGuardDéfaut: https://dns.adguard.com/dns-query
Contrôle parental : https://dns-family.adguard.com/dns-query
Blocage des publicités.
Le contrôle parental bloque les sites pour adultes
Commerciale
Googlehttps://dns.google/dns-queryCommerciale
Cloudflarehttps://cloudflare-dns.com/dns-queryPar défaut dans FirefoxCommerciale
Quad9Défaut : https://dns.quad9.net/dns-query
Sécurisé : https://dns9.quad9.net/dns-query
Non sûr : https://dns10.quad9.net/dns-query
Sécurisé : Filtrage, DNSSEC, Pas de EDNS Client-Subnet
Non sûr : Pas de filtrage, Pas de DNSSEC, Pas de EDNS Client-Subnet
Commerciale et fait partie de la cyber alliance
Cisco Umbrella/OpenDNShttps://doh.opendns.com/dns-queryExpérimental, Pas de DNSSEC
Présence de log
Commerciale
CleanBrowsinghttps://doh.cleanbrowsing.org/doh/family-filter/Contrôle parentalCommerciale
Comcasthttps://doh.xfinity.com/dns-queryExpérimental, Pas de DNSSEC - Beta TrialCommerciale
Coxhttps://dohdot.coxlab.net/dns-queryExpérimental, Pas de DNSSEC
nextdns.iohttps://dns.nextdns.io/
Créer un ID
Permet de configurer votre propre DNSCommerciale
@chantrahttps://dns.dnsoverhttps.net/dns-queryhttps://commons.host
@jedisct1https://doh.crypto.sx/dns-queryhttps://commons.host
PowerDNShttps://doh.powerdns.org
blahdns.comFinlande : https://doh-fi.blahdns.com/dns-query
Japon : https://doh-jp.blahdns.com/dns-query
Allemagne : https://doh-de.blahdns.com/dns-query
DNSSEC, No ECS, No logs, Adsblock
NekomimiRouter.comhttps://dns.dns-over-https.com/dns-query
SecureDNS.euhttps://doh.securedns.eu/dns-queryPas de journaux & DNSSECAssociatif / Personnel
Rubyfish.cnhttps://dns.rubyfish.cn/dns-queryDNS Chinois
ContainerPISans filtre avec CloudFlare:
https://dns.containerpi.com/dns-query
Filtré par CleanBrowsing (bloque les sites pour adultes) :
https://dns.containerpi.com/doh/family-filter/
Filtres les adreses malveillantes :
https://dns.containerpi.com/doh/secure-filter/
Pas de journaux, EDNS Client Subnet enabled.
Plusieurs noeuds en Chine, Japon et Allemagne.
@publicarray dns.seby.iohttps://doh-2.seby.io/dns-query
https://doh.seby.io:8443/dns-query
Inclus DNSSEC, No ECS et pas de journalAssociatif / Personnel
Commons Hosthttps://commons.hosthttps://commons.host
DnsWardenDNS: https://doh.dnswarden.com/adult-filter
Adblock DNS: https://doh.dnswarden.com/adblock
Sans filtre DNS: https://doh.dnswarden.com/uncensored
Adult-filterAdblocking DNS: https://doh.dnswarden.com/adblock
Uncensored DNS: https://doh.dnswarden.com/uncensored
Filtre les sites pour adultes : https://doh.dnswarden.com/adult-filter
DNSSEC
aaflalo.meUS: https://dns-nyc.aaflalo.me/dns-query
EU: https://dns.aaflalo.me/dns-query
Les deux serveurs supportent DNSSEC et bloquent les publicités
NixNetVoir la liste : https://nixnet.xyz/dns/Associatif / Personnel
Foundation for Applied Privacyhttps://doh.appliedprivacy.net/queryPas de journalFondation
PowerDNShttps://doh.powerdns.org/Pas de journalPersonnel

Liens

Voici un lien pour d’autres tests de sécurité.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Sécuriser les connexions DNS avec Firefox, Chrome, Brave ou Opera et Windows 10 mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

Laisser un commentaire

52 Partages
Tweetez
Partagez52
Enregistrer
Partagez