Quad9 : plus de confidentialité et de sécurité dans le DNS
Le système de noms de domaine (Domain Name System, DNS), c’est ce qui nous évite d'avoir à connaître les adresses IP par cœur lorsque nous surfons sur Internet. Il nous permet de renseigner dans le navigateur une adresse Web bien plus facile à retenir ou à rechercher. Le DNS se charge alors de ce qu'on appelle la résolution de noms : dans le serveur de noms, l'URL est traduite en une adresse IP.
En général, on bénéficie du service de DNS de son fournisseur d'accès à Internet, mais il est également possible de passer par un autre serveur de DNS. Ces dernières années, de plus en plus de fournisseurs de serveurs publics d'accès libre et gratuit sont apparus sur le marché. Le plus connu d’entre eux est certainement le résolveur DNS de Google. Mais si vous vous méfiez des pratiques de Google en matière de sécurité de vos données, vous pouvez aussi utiliser un service aux dimensions plus modestes, comme Quad9. Ce n’est pas une entreprise mais bien une organisation à but non lucratif qui est ici à l'œuvre.
Quad9, qu’est-ce que c’est ?
Derrière l'organisation de Quad9, qui fournit le service DNS du même nom, on retrouve entre autres IBM, Packet Clearing House (PCH) et Global Cyber Alliance (GCA). Ces deux dernières organisations sont engagées par ailleurs dans les domaines de la sécurité et la protection de la vie privée sur Internet. L'idée centrale est de fournir un résolveur DNS qui soit à la fois indépendant des intérêts commerciaux privés et librement accessible à tout utilisateur.
Quad9 accorde en outre une grande importance à la sécurité des données et au respect de la vie privée. L'équipe qui gère ce résolveur DNS assure qu'aucune donnée d'utilisateur n'est collectée. C'est surtout dans le domaine de la sécurité des données que Quad9 joue véritablement un rôle avant-gardiste. Le service prend en charge à la fois le DNS over TLS (DOT) et le DNS over HTTPS (DOH). Ces dernières années, il est devenu de plus en plus évident que le DNS classique souffrait de lacunes majeures en matière de sécurité liées à l'absence de chiffrage. Les attaques par détournement de DNS sont de plus en plus courantes. Mais au-delà de la cybercriminalité, les nouvelles techniques mises en œuvre permettent aussi de lutter contre la censure pratiquée par les gouvernements.
Autre point fort, Quad9 utilise le DNSSEC, qui garantit l'exactitude des résultats fournis. Quad9 travaille avec des filtres : les listes noires fournies et mises à jour par divers prestataires de sécurité, contiennent des sites Internet classés comme nuisibles. Afin de ne pas se transformer en organe de censure (car rien ne garantit qu’un site ne peut pas se retrouver sur une liste noire par malveillance), chaque organisation participante vérifie le travail des autres. Cela permet d'éviter que certains intérêts particuliers ne gardent la main sur l’identité des sites placés sur liste noire. De même, les demandes de censure émanant de sources judiciaires ne sont prises en compte que sur la base de décisions de justice avérées. Même en prenant cela en compte, la censure reste limitée à un niveau local.
Comment accéder au Quad9 ?
Le nom Quad9 indique l'adresse IP qui lui correspond : quatre fois neuf - 9.9.9.9. Au passage, on peut y voir une référence au service de Google, dont l’IP est 8.8.8.8. Il faut toutefois préciser que le service DNS de Quad9 est également disponible à d'autres adresses (à la fois IPv4 et IPv6) :
| Version IP | Adresse | DNSSEC | Filtre de sécurité | EDNS |
|---|---|---|---|---|
| IPv4 | 9.9.9.9 | |||
| IPv4 | 149.112.112.112 | |||
| IPv4 | 9.9.9.10 | |||
| IPv4 | 149.112.112.10 | |||
| IPv4 | 9.9.9.11 | |||
| IPv6 | 2620:fe::fe | |||
| IPv6 | 2620:fe::9 | |||
| IPv6 | 2620:fe::10 | |||
| IPv6 | 2620:fe::fe:10 | |||
| IPv6 | 2620:fe::11 |
Quad9 offre donc un accès à la fois sécurisé et non sécurisé. Les connexions sécurisées sont bien sûr celles qui sont recommandées par le fournisseur. Vous disposez ici de filtres DNSSEC et de listes noires. Toutefois, si vous souhaitez bénéficier d’une expérience de navigation totalement non filtrée, quitte à vous exposer à certains risques, vous avez la possibilité d’accéder à des adresses IP non sécurisées. Quad9 fournit systématiquement deux adresses IP, qui peuvent toutes deux être saisies dans le système d'exploitation : lorsqu’un canal de communication est temporairement indisponible, vous pouvez passer directement à l'autre adresse.
En outre, Quad9 fournit un sous-réseau client EDNS. Toutefois, cette offre est principalement destinée aux réseaux de diffusion de contenu (Content Delivery Networks, CDN), qui sont utilisés pour rendre les fichiers multimédia disponibles sur les sites Internet sans surcharger le serveur concerné. L'EDNS assure l'équilibrage des charges et permet donc de répondre plus rapidement aux demandes des CDN. En outre, nous travaillons avec des fournisseurs d’IdO dans le but de créer un accès DNS sécurisé pour les dispositifs connectés.
Si vous souhaitez utiliser l'une des deux connexions chiffrées, vous devez utiliser certains ports. Pour le DoT, utilisez le port 853 ; pour le DoH, choisissez le port HTTP standard 443.
Quad9 ne fournit pas l'accès à un seul serveur DNS. Le service fait appel à plus d’une centaine de serveurs répartis dans le monde entier. L’utilisation du service vous achemine via Anycast vers l’un d’entre eux. Avec Anycast, différents serveurs peuvent avoir la même adresse, mais le chemin le plus court est toujours privilégié.
Vous souhaitez utiliser Quad9 vous-même ? Notre tutoriel explique comment changer de serveur DNS. Notons d'ailleurs que le passage à un autre fournisseur peut également aider si le serveur DNS ne répond pas.
En résumé : les caractéristiques de Quad9
Quels sont les avantages du passage au résolveur DNS Quad9 ?
- Disponible gratuitement
- Les données des utilisateurs ne sont pas enregistrées
- Connexions sécurisées
- Pas de censure d'État
- DNS over TLS et DNS over HTTPS
- DNSSEC
- Filtrage par liste noire
- Plus de 100 serveurs à disposition
- Géré par une organisation à but non lucratif