Psst! Don’t let your DNS leak all over the internet, DNS-Leak

Psst! Prenez garde aux fuites DNS !

En matière de chiffrement, ce sont les derniers mètres en amont de votre domicile qui comptent. Le chiffrement proposé par certains fournisseurs de sécurité peut laisser beaucoup à désirer, particulièrement le long du dernier kilomètre qui mène à votre domicile. S’ils chiffrent parfois le contenu de vos activités en ligne, ils échouent souvent au niveau du DNS, le Domain Name System, ou processus de conversion des URL en adresses IP numériques.

Hé toi, là-bas !

C’est comme si vous habitiez au deuxième étage d’un immeuble équipé d’une porte d’entrée sécurisée avec un interphone en panne. Imaginons qu’un proche vous rende visite et que vous passez la tête par la fenêtre en criant à son adresse « Hé Fred ! Le code PIN pour la porte d’entrée c’est le 12345, je suis au second ! »
Quelle imprudence ! Tous à la ronde auront entendu où vous vivez exactement, sauront que vous avez de la visite, connaîtront son nom… sans parler de la confidentialité du code de sécurité.

Cette petite tirade par la fenêtre, c’est ce que les spécialistes de la sécurité appellent une fuite DNS. Il apparaît clairement que nos deux individus ont eu une conversation, même si l’on ne dispose pas forcément du contenu des échanges entre Fred et Julien (cette partie peut avoir été chiffrée). Tout bonnement, « Fred a parlé à Julien » constitue une affirmation bien moins sécurisée et confidentielle que « Fred a parlé à quelqu’un ».

Qui, quoi et où

Au niveau d’une interaction en ligne non chiffrée, cela signifie que le fournisseur d’accès à Internet (FAI) ou quiconque capable d’intercepter la conversation entre Fred et Julien dispose des informations de base sur cette conversation :

  1. Ils savent qui parle (grâce au DNS).
  2. Ils savent ce qui s’est dit (grâce à la lecture des paquets de données).
  3. Ils savent où la conversation s’est tenue (grâce à la géolocalisation de l’adresse IP).

Si l’on aborde à présent les avantages d’un VPN, les questions du où et du quoi arrivent en tête de liste. Où : les utilisateurs apprécient de contourner les restrictions géographiques. Tout particulièrement en ce qui concerne ces sites du quotidien que vous appréciez réellement de retrouver sur vos lieux de vacances. Quoi : voilà un autre élément d’importance. L’idée même que quiconque puisse intercepter et suivre nos activités en ligne par le simple biais d’une connexion WiFi non sécurisée est perturbante. Il importe peu qu’il s’agisse du gestionnaire de réseau du café local ou d’un cybercriminel assis dans le même établissement – je n’ai aucun envie qu’ils écoutent mes conversations. Alors j’opte pour le chiffrement de mes données et des conversations privées.

Intéressons-nous au « Qui »

C’est là qu’intervient le DNS, Domain Name System ou système de noms de domaine. Il s’agit du processus utilisé pour traduire les noms de domaine tels que avira.com en une adresse IP semblable à 62.146.210.86. Lorsque vous allez en ligne en temps normal et que vous renseignez une URL, votre appareil contacte le serveur DNS exécuté par votre fournisseur d’accès à Internet et lui demande l’adresse DNS de manière à pouvoir lui envoyer vos paquets de données.
Votre FAI et le DNS savent ainsi avec qui vous communiquez, mais cela n’est pas une obligation. Vous n’êtes pas tenu de fournir ces informations à votre FAI : il suffit de vous équiper d’un VPN correct.

Plus qu’une petite fuite DNS

Le problème, c’est que les VPN et les serveurs proxy peuvent poser des problèmes de fuite DNS. Et pas qu’un peu. Des chercheurs de l’Australia’s Commonwealth Scientific and Industrial Research Organization (CSIRO – Organisation de la recherche scientifique et industrielle du Commonwealth en Australie), de l’université de New South Wales et de l’université de Californie, Berkeley ont analysé 283 applications VPN pour les smartphones sous Android et ont ainsi constaté de nombreuses failles. Selon leur rapport, « 66 % des applications VPN ne transmettent pas le trafic DNS par le biais du tunnel VPN, permettant à tout observateur présent le long de la ligne d’observer les activités réseau DNS de l’utilisateur ». Ces applications qui fuient « sont inefficaces contre la surveillance et les agents malveillants ».

Les flaques DNS posent un double problème

Une fuite DNS pose un double problème. Premièrement, elle permet à votre FAI, ou quiconque d’autre à l’écoute, de savoir qui vous contactez. Si le contenu de la conversation peut rester privé, ils savent néanmoins que « Fred a parlé à Julien »
Ensuite, le FAI endosse un rôle d’agent de la circulation en ligne. Il sait non seulement avec qui vous communiquez, mais il est également potentiellement en mesure de bloquer l’accès à certains sites. Il peut s’agir d’applications, comme Twitter ou tout autre site Internet diffusant des contenus déplaisants au regard des autorités locales.

Souvenez-vous du DNS

Un VPN doit, s’il est efficace, assurer la confidentialité et le chiffrement de vos données DNS. Cela, indépendamment du système d’exploitation de votre appareil (Android, Apple ou Windows) et qu’il s’agisse d’applications payantes ou gratuites. Si vous voulez parler à Fred, faites-en sorte que votre conversation reste privée.

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.