Sécuriser les connexions DNS avec Firefox ou Chrome

Les connexions DNS ne sont pas forcément sécurisées, ainsi, cela peut parfois poser des problèmes de sécurité ou de confidentialité.
Afin de renforcer la sécurité DNS, il existe beaucoup de mécanismes comme Secure DNS, DNSSEC, TLS 1.3 et le chiffrement SNI.

Cet article vous explique quels sont ces mécanismes et implications et comment sécuriser vos connexions DNS avec Firefox ou Chrome.

Sécuriser les connexions DNS avec Firefox ou Chrome

Introduction

Au moment où sont écrites ces lignes, les requêtes DNS effectuées par les navigateurs WEB ne sont pas chiffrées.
Ainsi un attaquant peut visualiser ces requêtes à travers une attaque MITM ou pire falsifier celle-ci.

Attaque MITM pour récupérer ou modifier les connexions DNS

Dans un précédent article, nous avions présenté la solution Simple DNSCrypt.
Ce dernier permet de sécuriser entière les requêtes DNS dans Windows.
Toutefois, la mise en place peut s’avérer compliquer.

Dans cet article nous allons voir comment sécuriser ces connexions sur les navigateurs WEB.
En en effet, Il existe des solutions qui ne sont pas forcément disponibles entièrement pour plusieurs raisons :

  • Le navigateur WEB doit gérer ces mécanismes ce qui n’est pas le cas de tous les navigateurs WEB. Notamment Google Chrome a du retard.
  • Le serveur DNS utilisée doit aussi pouvoir supporter ces protocoles de sécurité.

Les protocoles de sécurité DNS

L’idée est surtout d’activer le chiffrement lors des requêtes DNS.
Un peu dans le même esprit que lorsque vous passez d’un site HTTP à un site sécurisé HTTPS.

CloudFlare qui propose ses propre serveurs DNS est l’un des premiers à fournir entièrement une solution sécurisée.
Le but est donc de passer de ce schéma où le clientHello n’est pas sécurisé et peut donc livrer des informations ou être manipulés.

A celui-ci où la requête DNS est entièrement sécurisés.

Les protocoles utilisés afin de parvenir à chiffrer les DNS.

  • Secure DNS — Apporte le support DNS-over-TLS ou DNS-over-HTTPS qui permet le chiffrement des requêtes DNS, toutefois, celle-ci peut révéler le site que vous visitez.
  • DNSSEC — Permet d’authentifier les requêtes DNS afin de les sécuriser.
  • TLS 1.3 — La dernière version du protocole TLS qui corrige et apporte de nouvelles protections.
  • Chiffrement SNI (Encrypted SNI)— Active le chiffrement SNI ou ESNI qui protège de la récupération des résolutions DNS lors de l’établissement de la connexion sécurisée. Par exemple, votre FAI peut connaître les sites que vous visitez à travers les résolutions DNS.

Ainsi certaines fonctionnalités sont plutôt pour sécuriser le surf alors que d’autres touche l’anonymisation.

Sécuriser les connexions DNS

Pour vérifier si ces protocoles sont actifs, CloudFlare fournit un site de test dont voici l’adresse : https://www.cloudflare.com/ssl/encrypted-sni/#

Le résultat s’affiche alors comme ici où on voit que seul DNSSEC et TLS1.3 sont bien activés.

Sécuriser les connexions DNS

Activer DNNSEC

La plupart des serveurs DNS des FAI ne proposent pas les DNS Sécurisés (DNSSEC).
Théoriquement donc, le test doit donc échouer.

Ainsi, il faut changer de DNS par exemple vers CloudFlare ou Google sachant que ce dernier collecte certainement vos habitudes de surf.
La page suivante explique comment modifier les DNS de Windows : Changer les DNS de Windows

Dans le cas de Cloudflare, il faut mettre 1.1.1.1 comme serveur DNS, un article complet donne toute la démarche : Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare

Une fois la modification effectuée, vérifiez sur la page de test que DNSEC est bien actif.
Ensuite il convient d’activer certaines options dans les navigateurs WEB.

Mozilla Firefox

La majorité des modifications sont à effectuer dans le about:config de Mozilla Firefox.

  • Ouvrez un nouvel onglet pour pouvoir une nouvelle page
  • Ensuite dans la barre d’adresse, saisissez about:config
  • Enfin passez outre le message d’alerte.

Nous allons utiliser le moteur de recherche afin de chercher les options à modifier.

  • Saisissez l’option network.trr.mode
  • Positionnez la valeur sur 2

A partir de là, Secure DNS est actif car on passe en DNS over HTTPS.

Activer le DNS over HTTPS sur Mozilla Firefox

Enfin, on active le chiffrement SNI en passant network.security.esni.enabled à true.

Activer le chiffrement SNI sur Mozilla Firefox

Enfin tout est vert ce qui indique que vos connexions DNS sont bien sécurisées.

Google Chrome

Google Chrome ne propose pas toutes les fonctionnalités actuellement.
Par exemple le chiffrement SNI n’es pas disponible.
Ainsi en passant sur des serveurs DNS qui gèrent les connexions chiffrés, au mieux, on n’arrive à ce résultat.

L’article sera édité lorsque des mises à jour de Google Chrome apporteront des changements.

(Visité 1 598 fois, 1 visites ce jour)
Sécuriser les connexions DNS avec Firefox ou Chrome
Note : 5 (100%) 2 votes

Add Comment