Le Domain Name System, abrégé en DNS, traduit les domaines Internet en adresses IP. Ce système mondial associe des adresses IP aux dif­fé­rents noms de domaine jouant ainsi le rôle d’un « annuaire » Internet. L’adresse IP cor­res­pond à une adresse postale à laquelle on peut envoyer des paquets. Voici deux exemples de requêtes DNS :

Nom de domaine interrogé Adresse IP renvoyée
« example.com » « 93.184.216.34 »
« ionos.fr » « 217.160.86.7 »

Pour que la ré­so­lu­tion de nom puisse fonc­tion­ner, l’adresse IP d’un serveur DNS doit être ren­seig­née sur chaque terminal. Le terminal adresse ses requêtes DNS à ce serveur. Les données utilisées dans ce cadre en disent long sur le com­por­te­ment de na­vi­ga­tion de l’in­ter­naute. Si vous souhaitez protéger votre vie privée, les requêtes DNS sortantes doivent uni­que­ment être envoyées à des serveurs de confiance. Mais que se passe-t-il lorsque tout ne marche pas comme prévu ?

DNS gratuit
Réduisez le temps de char­ge­ment de vos pages Web
  • Ré­so­lu­tion de domaine rapide pour un site Web toujours dis­po­nible
  • Pro­tec­tion accrue contre les pannes et les temps d'arrêt
  • Pas de transfert de domaine né­ces­saire

Qu’est-ce qu’une DNS Leak ?

Con­trai­re­ment aux dé­tour­ne­ments de DNS et au DNS spoofing, les DNS Leak, ou fuites DNS en français, menacent uni­que­ment les uti­li­sa­teurs essayant de garder leur com­por­te­ment de na­vi­ga­tion con­fi­den­tiel. Pour être plus précis, les uti­li­sa­teurs concernés sont ceux qui utilisent un réseau virtuel privé (VPN) ou un proxy pour leur connexion Internet. Ces deux tech­no­lo­gies servent à dis­si­mu­ler l’identité per­son­nelle lors de l’uti­li­sa­tion d’Internet.

Vouloir garder son com­por­te­ment de na­vi­ga­tion con­fi­den­tiel n’implique pas né­ces­sai­re­ment des activités illégales. En effet, le droit à la vie privée et à l’au­to­dé­ter­mi­na­tion en ce qui concerne les in­for­ma­tions sont des droits de l’homme fon­da­men­taux. Les four­nis­seurs de services de VPN com­mer­ciaux sou­tien­nent cette as­pi­ra­tion légitime des uti­li­sa­teurs moyennant paiement. Alors que par le passé, les proxys étaient fortement utilisés, ils sont au­jour­d'hui moins fréquents ; par con­sé­quent, nous li­mi­te­rons notre analyse aux fuites DNS survenant dans le cadre de l’uti­li­sa­tion d’un VPN.

Les services de VPN visent à faire passer l’ensemble du trafic réseau sortant via le VPN. Dans certaines cir­cons­tances, il peut toutefois arriver que des con­nexions in­di­vi­duelles soient ef­fec­tuées di­rec­te­ment de l’appareil de l’uti­li­sa­teur aux par­te­naires de com­mu­ni­ca­tion sur Internet. On parle de DNS Leak lorsqu’une requête DNS devant passer par le VPN parvient au serveur DNS sans pro­tec­tion. Il s’agit souvent du serveur DNS du four­nis­seur d’accès à Internet (ISP). Les four­nis­seurs d’accès sont connus pour collecter, analyser et revendre les données qu’ils reçoivent dans ce cadre.

Quelles in­for­ma­tions peuvent fuiter ?

Que se passe-t-il en cas de DNS Leak et quelles sont les in­for­ma­tions di­vul­guées ? Tout d’abord, il convient de dis­tin­guer trois cas :

  1. Les in­for­ma­tions trans­mises au four­nis­seur d’accès de l’uti­li­sa­teur,
  2. Les in­for­ma­tions captées sur le chemin vers le serveur DNS et
  3. Les in­for­ma­tions di­vul­guées par un pres­ta­taire de services.

Une requête DNS entrante dans le serveur DNS du four­nis­seur d’accès contient non seulement l’adresse IP non masquée de l’uti­li­sa­teur final mais aussi le nom de domaine à résoudre. Ac­com­pag­nées d’un ho­ro­da­tage dans les fichiers journaux du serveur du four­nis­seur d’accès, ces in­for­ma­tions per­met­tent de dé­ter­mi­ner à quel moment un uti­li­sa­teur à souhaiter accéder à tel domaine. Cela pose un problème de pro­tec­tion des données sérieux. Les données DNS sont d’une part souvent ras­sem­blées en profils et vendues. D’autre part, les agences gou­ver­ne­men­tales peuvent avoir accès à ces données. Dans le cas de dis­si­dents et d’ac­ti­vistes po­li­tiques, une telle fuite de données peut signifier leur arrêt de mort.

Les requêtes DNS utilisent le User Datagram Protocol (UDP) comme protocole de connexion. Avant de parvenir au serveur DNS, les paquets UDP sont con­sul­tables par n’importe quel acteur en mesure de sur­veil­ler ce canal de trans­mis­sion. Afin d’assurer la con­fi­den­tia­lité du com­por­te­ment d’uti­li­sa­tion de l’uti­li­sa­teur final, les requêtes DNS doivent passer via le VPN. Depuis les ré­vé­la­tions faites par Snowden, il est de notoriété publique que les services secrets sur­veil­lent, extraient, analysent et en­re­gistrent le trafic Internet de façon massive. Par con­sé­quent, les paquets de données per­met­tant une iden­ti­fi­ca­tion per­son­nelle qui sont divulgués en cas de DNS Leak re­pré­sen­tent un danger sérieux pour la sécurité et la vie privée des in­ter­nautes.

En dehors des dangers déjà évoqués dans le cadre des DNS Leak, il existe un autre risque. En effet, une fuite DNS peut être exploitée par des tiers. Il peut s’agir d’un pres­ta­taire de services, par ex. l’ex­ploi­tant d’un site Internet. À l’aide d’une astuce, le pres­ta­taire peut dé­ter­mi­ner qu’un uti­li­sa­teur accède à son service via un VPN. Dans certaines cir­cons­tances, le four­nis­seur d’accès de l’uti­li­sa­teur est révélé au pres­ta­taire de services. Cette in­for­ma­tion donne une in­di­ca­tion ap­proxi­ma­tive de la lo­ca­li­sa­tion géo­gra­phique de l’uti­li­sa­teur. Les tests de DNS Leak utilisent la même astuce, mais au profit de l’uti­li­sa­teur.

Comment fonc­tionne un test de DNS Leak ?

Il existe une multitude de services tentant de détecter les fuites DNS. Les services connus sous le nom de « tests de fuites DNS » sont ha­bi­tuel­le­ment conçus sous la forme de sites web clas­siques que l’uti­li­sa­teur peut consulter via son na­vi­ga­teur. Afin de tester l’éven­tuelle présence d’un DNS Leak, le test de fuites DNS déclenche une série de ten­ta­tives de connexion spé­ci­fiques dont l’objectif est de retracer la pro­ve­nance des requêtes DNS qui en résultent. Mais quel en est le fonc­tion­ne­ment exact ?

Pour bien com­prendre le principe de fonc­tion­ne­ment d’un test de fuites DNS, il convient d’expliquer la structure du DNS. Le DNS est un système hié­rar­chique composé de serveurs de noms. Dans ce cadre, on opère une dis­tinc­tion entre les serveurs de noms faisant autorité et les serveurs de noms ne faisant pas autorité. Un serveur de noms faisant autorité sert de source pour les données DNS d’une zone DNS. Pour vous re­pré­sen­ter ce qu’est une zone DNS, vous pouvez imaginer un domaine ac­com­pagné, le cas échéant, d’autres sous-domaines.

Outre les serveurs de noms faisant autorité, il existe également des serveurs de noms con­ser­vant une partie des données DNS dans un cache. Ces serveurs per­met­tent de répondre ra­pi­de­ment aux requêtes déjà soumises par le passé sans avoir à in­ter­ro­ger à chaque fois le serveur de noms faisant autorité. Pour la plupart des domaines, le serveur DNS du four­nis­seur d’accès est un serveur de noms ne faisant pas autorité. Regardons ce qu’il se passe lorsqu’une requête parvient au serveur DNS du four­nis­seur d’accès pour un nom de domaine :

  1. Un client souhaite consulter une ressource hébergée sous un nom de domaine.
  2. Le client soumet une requête de nom de domaine au serveur DNS de son four­nis­seur d’accès.
  3. Si le serveur DNS connaît l’adresse IP ap­par­te­nant au nom de domaine, il la renvoie.
  4. Dans le cas contraire, le serveur DNS du four­nis­seur d’accès interroge le serveur DNS faisant autorité pour la zone DNS, ce dernier étant hié­rar­chi­que­ment supérieur au nom de domaine.
  5. Le serveur DNS faisant autorité renvoie l’adresse IP pour le nom de domaine.
  6. Le serveur DNS du four­nis­seur d’accès transmet l’adresse IP au client et en­re­gistre la requête dans son cache.
  7. Le client peut désormais adresser la requête pour la ressource au serveur ac­ces­sible sous le nom de domaine.

Un test de fuites DNS se base sur ce principe essentiel. Nous vous l’ex­pli­quons en prenant l’exemple du site web DNS Leak Test :

  1. Un uti­li­sa­teur se rend sur le site Internet dns­leak­test.com dans son na­vi­ga­teur. Ce test de fuites DNS génère des requêtes pour des res­sources fictives sous un sous-domaine unique, généré de façon aléatoire. Voici un exemple de nom pour un tel domaine : c6fe4e11-d84d-4a32-86ef-ee60d9c543fa.test.dns­leak­test.com
  2. Pour consulter l’une des res­sources, le na­vi­ga­teur du visiteur de la page a besoin de l’adresse IP cor­res­pon­dant au nom de domaine. Comme il s’agit d’un nom de domaine généré au hasard, seul le serveur DNS faisant autorité peut connaître l’adresse IP.
  3. Le serveur DNS recevant la requête interroge par con­sé­quent le serveur DNS faisant autorité pour la zone DNS, à savoir test.dns­leak­test.com. Le serveur DNS faisant autorité pour ce nom de domaine est sous le contrôle de l’ex­ploi­tant du site dns­leak­test.com.
  4. Le serveur DNS faisant autorité compare alors la partie unique et générée de façon aléatoire du nom de domaine avec les entrées d’une base de données interne. dns­leak­test.com permet ainsi de dé­ter­mi­ner à quel visiteur du site Internet cor­res­pond chaque requête DNS.
  5. Grâce à l’adresse IP, le serveur DNS faisant autorité sait de quel serveur DNS externe vient la requête con­cer­nant l’adresse IP du nom de domaine généré de façon aléatoire. Si la source de la requête est le serveur DNS d’un four­nis­seur d’accès, cela signifie qu’il y a DNS Leak.

Quels sont les tests de fuites DNS dis­po­nibles ?

En principe, peu de moyens sont né­ces­saires pour créer un test de fuites DNS sous forme de service en ligne. Si ce sujet vous intéresse, nous vous invitons à lire cet article pour une des­crip­tion détaillée de la marche à suivre. Si vous souhaitez sim­ple­ment vérifier si vous êtes per­son­nel­le­ment victime d’un DNS Leak, il suffit de recourir à l’un des tests de fuites DNS existants. Nous en avons rassemblé quelques-uns pour vous dans la liste suivante :

Comment éviter les DNS Leak ?

La meilleure stratégie pour éviter les DNS Leak est basée sur le concept de sécurité in­for­ma­tique « Defense in depth » (en français : « défense en pro­fon­deur »). Ce concept consiste à mettre en place plusieurs couches pour une pro­tec­tion efficace contre les menaces. Même si l’une des couches tombe, la pro­tec­tion reste efficace. Afin d’éviter les DNS Leak, nous vous re­com­man­dons de suivre les étapes suivantes dans cet ordre :

  1. Installez sur l’appareil local et sur votre routeur do­mes­tique des serveurs DNS qui ne sont pas sous le contrôle de votre four­nis­seur d’accès. Il s’agit d'une mesure de pro­tec­tion fon­da­men­tale per­met­tant également de prévenir les autres risques tels que les dé­tour­ne­ments de DNS. Pour ce faire, il est re­com­mandé d’utiliser Quad9 ou Cloud­flares 1.1.1.1. N'oubliez pas de vider le cache DNS après toute mo­di­fi­ca­tion du serveur DNS.
  2. Utilisez un logiciel de chif­fre­ment des con­nexions DNS, par ex. DNS over HTTPS (DoH) ou DNS over TLS (DoT). Cette mesure vous protégera contre le captage et la ma­ni­pu­la­tion des paquets DNS sur leur chemin vers le serveur DNS empêchant ainsi les attaques de DNS spoofing. L’uti­li­sa­tion d’un chif­fre­ment du DNS dépend du logiciel utilisé. Parmi les na­vi­ga­teurs les plus répandus, Firefox est en tête dans la tran­si­tion vers le chif­fre­ment des con­nexions DNS. Toutefois, les pa­ra­mètres du na­vi­ga­teur doivent être ajustés à cet effet, comme nous vous le montrons dans notre article sur DoH.
  3. Utilisez un client VPN faisant passer les requêtes DNS via le tunnel du VPN et mettant à dis­po­si­tion des serveurs DNS per­son­nels. Cette mesure permet de vous protéger contre tous les dangers liés aux DNS Leak. Il existe pléthore de four­nis­seurs de VPN dif­fé­rents. Certains d’entre eux mettent gra­tui­te­ment leurs services à dis­po­si­tion, d’autres les proposent sous forme de pres­ta­tions com­mer­ciales. De façon générale, il convient de se montrer méfiant vis-à-vis des services de VPN gratuits ; ha­bi­tuel­le­ment, vous ne pourrez pas attendre le même niveau de pro­tec­tion de leur part.
Conseil

Nous avons dressé pour vous une liste de dif­fé­rents services de VPN pour vous donner une vue d’ensemble.

Les points cités pré­cé­dem­ment four­nis­sent un niveau de pro­tec­tion de base contre les DNS Leak et devraient être suf­fi­sants pour la grande majorité des in­ter­nautes. Les membres de groupes par­ti­cu­liè­re­ment menacés, notamment les dé­fen­deurs des droits de l’homme, devraient prendre des mesures de pro­tec­tion sup­plé­men­taires :

  • L’uti­li­sa­tion du na­vi­ga­teur Tor se révèle pratique. Celui-ci est connu pour éviter ef­fi­ca­ce­ment les DNS Leak lors de l’accès à des offres en ligne.
  • Afin de garantir que toutes les con­nexions réseaux sortantes passent ef­fec­ti­ve­ment par le réseau Tor et sont dé­per­son­na­li­sées, il est re­com­mandé de booter Tails-Linux depuis une clé USB. Cette approche fait figure de référence absolue en matière de masquage de l’identité dans le cadre de l’uti­li­sa­tion d’Internet.
Aller au menu principal