Sécuriser les connexions DNS avec Firefox ou Chrome

Dernière Mise à jour le

Les connexions DNS ne sont pas forcément sécurisées, ainsi, cela peut parfois poser des problèmes de sécurité ou de confidentialité.
Afin de renforcer la sécurité DNS, il existe beaucoup de mécanismes comme Secure DNS, DNSSEC, TLS 1.3 et le chiffrement SNI.

Cet article vous explique quels sont ces mécanismes et implications et comment sécuriser vos connexions DNS avec Firefox ou Chrome.

Les DNS ou serveurs de noms
Les DNS ou serveurs de noms

Introduction

Au moment où sont écrites ces lignes, les requêtes DNS effectuées par les navigateurs WEB ne sont pas chiffrées.
Ainsi un attaquant peut visualiser ces requêtes à travers une attaque MITM ou pire falsifier celle-ci.

Attaque MITM pour récupérer ou modifier les connexions DNS

Dans un précédent article, nous avions présenté la solution Simple DNSCrypt.
Ce dernier permet de sécuriser entière les requêtes dans Windows.
Toutefois, la mise en place peut s’avérer compliquer.

Dans cet article nous allons voir comment sécuriser ces connexions sur les navigateurs WEB.
En en effet, Il existe des solutions qui ne sont pas forcément disponibles entièrement pour plusieurs raisons :

  • Le navigateur WEB doit gérer ces mécanismes ce qui n’est pas le cas de tous les navigateurs WEB. Notamment Google Chrome a du retard.
  • Le serveur DNS utilisée doit aussi pouvoir supporter ces protocoles de sécurité.

DNSSEC : Les protocoles de sécurité

L’idée est surtout d’activer le chiffrement lors des requêtes DNS.
Un peu dans le même esprit que lorsque vous passez d’un site HTTP à un site sécurisé HTTPS.

CloudFlare qui propose ses propre serveurs DNS est l’un des premiers à fournir entièrement une solution sécurisée.
Le but est donc de passer de ce schéma où le clientHello n’est pas sécurisé et peut donc livrer des informations ou être manipulés.

DNSSEC et Secure DNS avec CloudFlare

A celui-ci où la requête DNS est entièrement sécurisés.

DNSSEC et Secure DNS avec CloudFlare

Les protocoles utilisés afin de parvenir à chiffrer les DNS.

  • Secure DNS — Apporte le support DNS-over-TLS ou DNS-over-HTTPS qui permet le chiffrement des requêtes, toutefois, celle-ci peut révéler le site que vous visitez.
  • DNSSEC — Permet d’authentifier les requêtes DNS afin de les sécuriser.
  • TLS 1.3 — La dernière version du protocole TLS qui corrige et apporte de nouvelles protections.
  • Chiffrement SNI (Encrypted SNI)— Active le chiffrement SNI ou ESNI qui protège de la récupération des résolutions DNS lors de l’établissement de la connexion sécurisée. Par exemple, votre FAI peut connaître les sites que vous visitez à travers les résolutions.
  • DNS Over HTTPS : Permet des résolutions à travers le protocole HTTPS.

Ainsi certaines fonctionnalités sont plutôt pour sécuriser le surf alors que d’autres touche l’anonymisation.

Sécuriser les connexions DNS

Pour vérifier si ces protocoles sont actifs, CloudFlare fournit un site de test dont voici l’adresse : https://www.cloudflare.com/ssl/encrypted-sni/#

Le résultat s’affiche alors comme ici où on voit que seul DNSSEC et TLS1.3 sont bien activés.

Sécuriser les connexions DNS

Activer DNNSEC

La plupart des serveurs DNS des FAI ne proposent pas les DNS Sécurisés (DNSSEC).
Théoriquement donc, le test doit donc échouer.

Ainsi, il faut changer de DNS par exemple vers CloudFlare ou Google sachant que ce dernier collecte certainement vos habitudes de surf.
La page suivante explique comment modifier les DNS de Windows : Changer les DNS de Windows

Dans le cas de Cloudflare, il faut mettre 1.1.1.1 comme serveur DNS, un article complet donne toute la démarche : Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare

Une fois la modification effectuée, vérifiez sur la page de test que DNSEC est bien actif.
Ensuite il convient d’activer certaines options dans les navigateurs WEB.

Mozilla Firefox

La majorité des modifications sont à effectuer dans le about:config de Mozilla Firefox.

  • Ouvrez un nouvel onglet pour pouvoir une nouvelle page
  • Ensuite dans la barre d’adresse, saisissez about:config
  • Enfin passez outre le message d’alerte.

Nous allons utiliser le moteur de recherche afin de chercher les options à modifier.

  • Saisissez l’option network.trr.mode
  • Positionnez la valeur sur 2

A partir de là, Secure DNS est actif car on passe en DoH.

Activer le DNS over HTTPS sur Mozilla Firefox

Enfin, on active le chiffrement SNI en passant network.security.esni.enabled à true.

Activer le chiffrement SNI sur Mozilla Firefox

Au besoin, pour activer DNS Over HTTPs sur Mozilla Firefox :

Enfin tout est vert ce qui indique que vos connexions DNS sont bien sécurisées.

Sécuriser ses DNS sur Mozilla Firefox

Pour aller plus loin : Sécuriser Firefox

Google Chrome

Google Chrome ne propose pas toutes les fonctionnalités actuellement.
Par exemple le chiffrement SNI n’es pas disponible.
Ainsi en passant sur des serveurs qui gèrent les connexions chiffrées, au mieux, on n’arrive à ce résultat.

Sécuriser ses DNS sur Google Chrome

L’article sera édité lorsque des mises à jour de Google Chrome apporteront des changements.

Autres tests DNSSec

Voici un autre site qui permet de tester sa connexion et la sécurité : Tester les DNS
A droite, cliquez sur Start Test.

Tester sa la sécurité de ses DNS

Puis le résultat s’affiche au bout de quelques secondes.
Il teste DNSSec en IPV4 et IPV6.

Tester sa la sécurité de ses DNS

Liste de serveurs DoH

Voici une liste de serveurs DNS Over HTTPS.
Certains avec du filtrage et d’autres sans.

NomURLCommentaire et filtrageType
AdGuardDéfaut: https://dns.adguard.com/dns-query
Contrôle parental : https://dns-family.adguard.com/dns-query
Blocage des publicités.
Le contrôle parental bloque les sites pour adultes
Commerciale
Googlehttps://dns.google/dns-queryCommerciale
Cloudflarehttps://cloudflare-dns.com/dns-queryPar défaut dans FirefoxCommerciale
Quad9Défaut : https://dns.quad9.net/dns-query
Sécurisé : https://dns9.quad9.net/dns-query
Non sûr : https://dns10.quad9.net/dns-query
Sécurisé : Filtrage, DNSSEC, Pas de EDNS Client-Subnet
Non sûr : Pas de filtrage, Pas de DNSSEC, Pas de EDNS Client-Subnet
Commerciale et fait partie de la cyber alliance
Cisco Umbrella/OpenDNShttps://doh.opendns.com/dns-queryExpérimental, Pas de DNSSEC
Présence de log
Commerciale
CleanBrowsinghttps://doh.cleanbrowsing.org/doh/family-filter/Contrôle parentalCommerciale
Comcasthttps://doh.xfinity.com/dns-queryExpérimental, Pas de DNSSEC - Beta TrialCommerciale
Coxhttps://dohdot.coxlab.net/dns-queryExpérimental, Pas de DNSSEC
nextdns.iohttps://dns.nextdns.io/
Créer un ID
Permet de configurer votre propre DNSCommerciale
@chantrahttps://dns.dnsoverhttps.net/dns-queryhttps://commons.host
@jedisct1https://doh.crypto.sx/dns-queryhttps://commons.host
PowerDNShttps://doh.powerdns.org
blahdns.comFinlande : https://doh-fi.blahdns.com/dns-query
Japon : https://doh-jp.blahdns.com/dns-query
Allemagne : https://doh-de.blahdns.com/dns-query
DNSSEC, No ECS, No logs, Adsblock
NekomimiRouter.comhttps://dns.dns-over-https.com/dns-query
SecureDNS.euhttps://doh.securedns.eu/dns-queryPas de journaux & DNSSECAssociatif / Personnel
Rubyfish.cnhttps://dns.rubyfish.cn/dns-queryDNS Chinois
ContainerPISans filtre avec CloudFlare:
https://dns.containerpi.com/dns-query
Filtré par CleanBrowsing (bloque les sites pour adultes) :
https://dns.containerpi.com/doh/family-filter/
Filtres les adreses malveillantes :
https://dns.containerpi.com/doh/secure-filter/
Pas de journaux, EDNS Client Subnet enabled.
Plusieurs noeuds en Chine, Japon et Allemagne.
@publicarray dns.seby.iohttps://doh-2.seby.io/dns-query
https://doh.seby.io:8443/dns-query
Inclus DNSSEC, No ECS et pas de journalAssociatif / Personnel
Commons Hosthttps://commons.hosthttps://commons.host
DnsWardenDNS: https://doh.dnswarden.com/adult-filter
Adblock DNS: https://doh.dnswarden.com/adblock
Sans filtre DNS: https://doh.dnswarden.com/uncensored
Adult-filterAdblocking DNS: https://doh.dnswarden.com/adblock
Uncensored DNS: https://doh.dnswarden.com/uncensored
Filtre les sites pour adultes : https://doh.dnswarden.com/adult-filter
DNSSEC
aaflalo.meUS: https://dns-nyc.aaflalo.me/dns-query
EU: https://dns.aaflalo.me/dns-query
Les deux serveurs supportent DNSSEC et bloquent les publicités
NixNetVoir la liste : https://nixnet.xyz/dns/Associatif / Personnel
Foundation for Applied Privacyhttps://doh.appliedprivacy.net/queryPas de journalFondation
PowerDNShttps://doh.powerdns.org/Pas de journalPersonnel

Liens

Voici un lien pour d’autres tests de sécurité.

(Visité 5 896 fois, 9 visites ce jour)
52 Partages
Tweetez
Partagez52
Enregistrer
Partagez