Journal Comment, via un résolveur DNS alternatif, se protéger : 1) de la censure et 2) du pistage ?

Posté par  (site web personnel) . Licence CC By‑SA.
12
21
mai
2023

Bonsoir nal,

Dans la famille gens-réputés-de-confiance-et-s-y-connaître, après Stéphane Bortzmeyer, vous avez vu passer ici l'info que c'est au tour de FDN de proposer gracieusement le DoH ou DNS over HTTPS.

Vous savez aussi que Firefox permet facilement d’activer le DNS via HTTPS et de choisir le résolveur DoH de son choix.

Vous vous souvenez peut-être que Firefox a expérimenté la chose main dans la main avec Cloudflare, visiblement en pointe sur ces sujets. Mais que bien que les intentions de Cloudflare semblent correctes a priori, cela n'en reste pas moins une entité 1°) commerciale 2°) américaine : deux raisons qui peuvent faire hésiter à leur confier notre navigation web.

Cependant il peut être intéressant, d'un point de vue technique, de suivre les solutions technologiques proposées par Cloudflare, et ce d'autant qu'ils font des efforts pour vulgariser tout ça. Ainsi ils présentent une page de test de 4 fonctionnalités :

  • Secure DNS
  • DNSSEC
  • TLS 1.3
  • Encrypted Client Hello ou ECH (anciennement Secure SNI) [1]

Pour autant, si j'ai bien compris, toutes les fonctionnalités ne sont pas liées à DoH.
Ainsi avec le résolveur DoH de Stéphane Bortzmeyer, ladite page de test m'en valide 2 : DNSSEC et TLS 1.3 (J'obtiens un point d'interrogation pour Secure DNS et un échec pour ECH/Secure SNI). Ensemble ces deux confirment l'activation de DoH si j'ai bien compris. Si je prends celui de Cloudflare, les 4 sont validées. Mais je ne saisis pas ce qu'apportent Secure DNS et ECH.

Quelqu'un pourrait-il expliciter les différents mécanismes ?
Je crois pour cela qu'il serait intéressant de distinguer 2 types de tiers – aux pouvoirs différents – dont on voudrait se cacher : notre FAI ; tout autre tiers ?

1) Ainsi, si j'ai bien compris, avec le navigateur et un site configurés pour HTTPS, il est possible de savoir que vous avez consulté tel site mais pas telle page de tel site. Ni ce que vous avez écrit sur tel site. https://www.eff.org/https-everywhere/faq/#what-does-https-everywhere-protect-me-against
Est-ce que cela s'applique également à notre FAI, ou celui-ci peut connaître précisément la page visitée malgré la configuration HTTPS ?

2) a/ Avec DoH, il n'est plus possible, sauf pour le résolveur choisi, de savoir quel site est visité ? À l'exception cependant de notre FAI peut-être ?
J'ai ainsi vu que Bouygues Telecom censurerait l'accès aux sites de ses abonnés malgré le paramétrage d'un résolveur DNS alternatif… https://nitter.fdn.fr/JohnShaftFr/status/807600947639762944
Auquel cas, pour masquer sa navigation à son FAI, il faut utiliser les traditionnels « tunnels » (VPN, réseau Tor) ?

b/ J'ai fait le test d'accéder à un site censuré auprès des 4 grands FAI nationaux (uptobox.com) avec un résolveur DoH alternatif. Firefox me répond que « Hum, nous ne parvenons pas à trouver ce site »… Qu'en conclure ? Je précise que mon FAI est Bouygues Telecom.

3) ECH ?

Merci d'avance de m'aider à y voir plus clair…


[1] Pour activer cette fonctionnalité en développement (spécification en cours de finalisation auprès de l'IETF) dans Firefox, aller dans about:config et passer network.dns.echconfig.enabled et – si ce n'est pas fait par défaut – network.dns.use_https_rr_as_altsvc à true. Explications ici, méta-bogue pour Firefox . Tester ici ou .

  • # 2) b/

    Posté par  (site web personnel) . Évalué à 4. Dernière modification le 21 mai 2023 à 03:31.

    Je vois cette page du blogue de Stéphane Bortzmeyer du 15 mai dernier : Censure DNS du domaine d'Uptobox par Orange.

    Du coup j'ai tenté la commande dig +nodnssec A uptobox.com qui me renvoie ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: #####

    Ce qui signifie (je grasse) :

    The mentioned HEADER above is a DNS message received by a client/host that found that your request was made to resolve to a domain and could not be resolved to an IP Address.

    En m'inspirant de cet autre article du même blogue, je questionne Google cette fois :

    dig @8.8.8.8 uptobox.com me renvoie ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ##### puis ;; ANSWER SECTION:
    uptobox.com. 300 IN A 172.67.29.218
    uptobox.com. 300 IN A 104.22.31.128
    uptobox.com. 300 IN A 104.22.30.128

    • [^] # Re: 2) b/

      Posté par  . Évalué à 0. Dernière modification le 23 mai 2023 à 11:30.

      HS sur dns

      A la place de uptobox tu peux regarder par ici
      https://www.swisstransfer.com/fr-fr

      Tout le monde a un cerveau. Mais peu de gens le savent.

  • # Firefox!

    Posté par  (site web personnel) . Évalué à 8.

    Tu as configuré le serveur DNS dans Firefox, donc ça ne fonctionnera que pour Firefox. Les autres applications de ton système utiliseront le DNS configuré pour celui-ci. Si tu utilises dig sans préciser de serveur, ça n'utilisera pas ce que tu as configuré dans Firefox.

    Le truc qui me gêne dans cette fonctionnalité de Firefox c'est que si c'est mal configuré, Firefox utilisera les DNS du système sans te le dire. C'est ce qui m'est arrivé avec mes premiers essais. Pour voir quels DNS sont utilisés par ton navigateur tu peux utiliser ce service en ligne: https://www.dnsleaktest.com/

    Pour répondre à tes questions:
    HTTPs chiffre tout le traffic: même ton FAI ne peut pas savoir quelles données transitent. Ton FAI sait cependant à quelle IP tu te connectes (il peut en déduire le site), et peut éventuellement récupérer la requête DNS que tu as faite (sauf si tu utilises DOH ou DOT, car la requête DNS sera alors également chiffrée).

    Utiliser TOR ou un VPN pourra cacher à ton FAI l'adresse IP à laquelle tu te connectes. Il faut alors faire confiance à ton fournisseur de VPN ou au noeud de sortie TOR (j'éviterais la navigation en HTTP dans ce cas).

    Un LUG en Lorraine : https://enunclic-cappel.fr

    • [^] # Re: Firefox!

      Posté par  (site web personnel) . Évalué à 5. Dernière modification le 21 mai 2023 à 10:31.

      Tu as configuré le serveur DNS dans Firefox, donc ça ne fonctionnera que pour Firefox

      Ha oui, où avais-je la tête

      Pour voir quels DNS sont utilisés par ton navigateur tu peux utiliser ce service en ligne: https://www.dnsleaktest.com/

      J'obtiens ces 4 lignes avec Firefox cp,figuré avec le DoH de Stéphane Bortzmeyer :
      Hostname ISP Country
      None Bouygues Telecom Paris, France
      None Bouygues Telecom Paris, France
      ssv10-X.dsl.sta.abo.bbox.fr. Bouygues Telecom Pau, France
      ssv10-X.dsl.sta.abo.bbox.fr. Bouygues Telecom Pau, France

      Ça veut dire que mon choix de DoH dans Firefox est court-circuité par mon FAI !?

      HTTPs chiffre tout le traffic: même ton FAI ne peut pas savoir quelles données transitent. Ton FAI sait cependant à quelle IP tu te connectes (il peut en déduire le site), et peut éventuellement récupérer la requête DNS que tu as faite (sauf si tu utilises DOH ou DOT, car la requête DNS sera alors également chiffrée).

      Tu dis que, avec DoH, le FAI ne sait rien, pas même l'IP à laquelle je me connecte ?

      Bonus : ECH, tu sais ce que ça apporte ?

      • [^] # Re: Firefox!

        Posté par  (site web personnel) . Évalué à 5. Dernière modification le 21 mai 2023 à 11:09.

        Oui, on dirait bien que ce sont les DNS de ton FAI qui sont interrogés. Tu as mis quoi comme valeur pour le serveur DOH? Ce n'est pas une IP qu'il faut mettre comme avec les serveurs DNS classiques mais une URL pointant vers l'API du serveur.

        En cherchant un serveur sur OpenNIC, par exemple celui-ci, tu peux trouver l'URL dans la partie "description". J'ai remarqué que certains serveurs listés chez OpenNIC ne publiaient pas cette URL même s'ils disent supporter DOH (ce qui m'a un peu perturbé dans mes premiers essais).

        Un LUG en Lorraine : https://enunclic-cappel.fr

    • [^] # Re: Firefox!

      Posté par  (site web personnel) . Évalué à 10.

      Le truc qui me gêne dans cette fonctionnalité de Firefox c'est que si c'est mal configuré, Firefox utilisera les DNS du système sans te le dire.

      Ça se règle dans about:config en ajustant la valeur de la clé network.trr.mode
      https://wiki.mozilla.org/Trusted_Recursive_Resolver

  • # Quelques réponses

    Posté par  . Évalué à 9. Dernière modification le 21 mai 2023 à 10:44.

    Alors

    1) Si tu es HTTPS, tok FAI et n'importe qui d'autres ne pourront voir que :
    - l'adresse IP du serveur à qui tu parles
    - éventuellement, le nom de domaine à qui tu parles si tu n'es pas en TLS1.3 avec ECH.
    Par contre, non, ton FAI ne pourra pas avoir l'URL complète : seul toi et le serveur peuvent avoir cette info. C'est pour cela que les entreprises qui veulent analyser le flux sont obligées de faire un gros MITM avec une PKI interne qui peut tout signer.

    2) comme dis avant, dig n'utilise pas les paramètres de firefox.
    Si tu veux tester si Bouygues Tel fait vraiment de la redirection DNS, tentes avec dix d'abord sur les résolveurs de Bouygues puis sur des DNS publiques (FDN, Quad9, Cloudfare, Google, …)

    Après, pourquoi Firefox t'affiche ce message… Il faudrait valider le DNS que tu utilises… (Dans les précédent messages, j'ai vu beaucoup de personnes dire qu'elles avaient fait une erreur de frappe et résultat, cela ne marchait pas…)

    3) ECH, c'est pour corriger une faiblesse du TLS avec SNI : sans ECH, tout est chiffré sauf le message initial ou le nom DNS est en clair dans le 1er message. Avec ECH, tout est chiffré, même l'échange initiale où on indique le nom du domaine que l'on veut joindre

    • [^] # Re: Quelques réponses

      Posté par  (site web personnel) . Évalué à 4.

      Donc avec DoH et ECH, personne entre moi et le site ne peut savoir quoi que ce soit de ce que j'interroge ?

      Quels avantages apportent encore un VPN ou le réseau Tor dans cette configuration ?

      • [^] # Re: Quelques réponses

        Posté par  . Évalué à 5.

        Sans VPN, ton FAI sait à quelle IP tu te connectes.

      • [^] # Re: Quelques réponses

        Posté par  (site web personnel) . Évalué à 7. Dernière modification le 21 mai 2023 à 16:24.

        Avec DoH, personne ne peut savoir quel domaine tu cherches à accéder quand tu cherche une adresse IP
        Avec ECH, personne ne peut savoir quel domaine tu accèdes entre les différents sites sur la même adresse IP.
        Avec un VPN ou Tor, personne (à part le fournisseur VPN) ne peut savoir quel domaine tu accèdes même sur des IP différentes.

        Par exemple, avec DoH et ECH, je saurais si je suis sur le même WiFi que toi que tu accèdes à LinuxFr parce que LinuxFr est le seul (il me semble, aux sous-domaines près) domaine ayant comme adresse 213.36.253.176 (car on peu facilement savoir les noms de domaines derrière une adresse IP, hop nslookup 213.36.253.176).
        ECH permet de cacher ton accès à X si Y a la même adresse (mais par contre quelqu'un sur le même réseau WiFi que toi saura quand même que tu accèdes à X ou Y, sans savoir si c'est X ou Y mais bon ça limite sa recherche surtout si il sait que tu ne t’intéresse pas à Y), alors qu'un VPN ou tor montrera un accès au VPN ou Tor et c'est tout. Bon en cas de garde à vue tu pourras toujours dire que tu étais sur Y, c'est le déni plausible adapté aux noms de domaines, les flics sauront très bien qu'ils veulent te choper pour X mais ne pourront pas contredire ton affirmation que tu étais sur Y.

        En pratique, DoH sert surtout à ce que personne ne falsifie la réponse (que tu ne tapes pas sur un serveur autre que le bon, et limite un peu l'information si ECH sinon pas) et ECH permet concrètement de limiter un peu l'information et c'est bien mais ne remplace pas un VPN, c'est cacher un peu si tu n'as pas de VPN (et c'est déjà bien).

      • [^] # Re: Quelques réponses

        Posté par  . Évalué à 3.

        Quels avantages apportent encore un VPN ou le réseau Tor dans cette configuration ?

        Pour ajouter une couche.

        Tel que vendu par les NordVPN, les CyberGhostVPN etc… Si tu ne fais pas confiance à celui qui te fourni un accès internet (soit parce qu'il a obligation à collaborer avec l'État par exemple soit parce que c'est un wifi potentiellement publique) tu peut préférer mettre ta confiance dans un service de VPN. Quand tu utilise DoH et généralement HTTPS, tu laisse tout de même des informations exploitables en particulier :

        • les IPs aux quelles tu te connecte (ça ne peut pas toujours être corrélé à un nom de domaine mais des fois si on peut)
        • les protocoles que tu utilise (coucou le P2P)

        Au lieu de placer sa confiance en son fournisseur d'accès, on la place au fournisseur de VPN. Le FAI ne voit plus qu'un trafic vers le prestataire de VPN, mais il ne peut pas savoir ce qu'il y a dedans.

        Ça peut aussi servir à être géolocalisé ailleurs (pour netflix et consort par exemple), mais il y a des techniques qui peuvent l'empêcher :

        • ne pas accepter les IPs de VPN
        • ne pas accepter qu'un compte "France" accède à du contenu "USA" où qu'il soit
        • ne pas accepter qu'une CB Française accède à du contenu "USA"

        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

  • # une dépêche antistress ?

    Posté par  . Évalué à 9.

    faudrait faire une dépêche de tout ça (avec les réponses) !

  • # HTTPs n'empêche pas le FAI de savoir les pages que vous consultez

    Posté par  (site web personnel) . Évalué à 10.

    Contrairement à ce que plusieurs ont affirmé ici, utiliser httpS n'empêche pas totalement au FAI de deviner les pages que vous consultez : en faisant une analyse statistique de la taille des requêtes envoyées et reçues et les différences de temps entre les différentes requêtes, et en comparant ça au contenu du site web visité et au graphe de lien entre les pages, il peut "deviner" quelles pages vous avez visité. Selon les sites, cette attaque fonctionnera plus ou moins bien :

    • ça ne fonctionnera pas pour google.com, facebook.com
    • ça fonctionnera bien pour linuxfr.org, wikipedia.org, etc.

    En revanche, les petites données que vous envoyez (mot de passe, code de carte bancaire …) ne seront pas devinables par l'attaquant.

    Cette attaque est décrite dans Analysing user behaviors despite encryption sur le blog rabexc.org.

  • # l'idée est bonne...

    Posté par  . Évalué à 1.

    mais c'est la méthode qui m'inquiète :
    mon "petit neuveu" de 16 ans a envie aussi de se passer d'un dns menteur.
    mon grand oncle également. Ma voisine retraitée aussi.

    la problématique c'est pas l'objectif recherché. Mais la méthode :
    par exemple, dans mon cas j'ai 2 pc portables, 2 smartphones. Or grosse exigence, je vais pas m'amuser à triturer les DNS de chaque appareil. Pareil dans le cadre familial, ou chacun n'a pas qu'un pc+tel, mais souvent la tablette, l'ancien ordi ou le vieux tel de secours : souvent dans les foyers il y a entre 5 et 10 appareils branchés en wifi. En moyenne. Càd que sur une année il y en a jusqu'à plusieurs dizaines : les amis, les invités, etc..

    passer sur chacun des appareils configurer celui ci est pour moi problématique.
    l'idée, ce serait de passer par la box. Beaucoup m'ont proposé le "pi-hole" mais cela nécessite électricité supplémentaire + prise électrique etc.
    J'aurais adoré voir une solution 100% logicielle sur la box directement. Je vois que chez orange ya un relai dns dans la box, et que tout est traité de chez eux.
    seule solution, vpn sur chaque appareil?
    je me vois mal changer le dns sur chaque ordi, ca prend un temps fou quand on en a plus de dix sous le bras..

    • [^] # Re: l'idée est bonne...

      Posté par  . Évalué à 7.

      seule solution, vpn sur chaque appareil?

      Tu trouve plus simple de configurer un client vpn sur chaque machine qu'un DNS ?

      https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

      • [^] # Re: l'idée est bonne...

        Posté par  . Évalué à 1.

        dans le sens où mon proton me demande que le login/mdp et à appuyer sur un seul bouton, la réponse est oui

        • [^] # Re: l'idée est bonne...

          Posté par  . Évalué à 2.

          Une fois que tu l'a installé oui. Un DNS tu le configure une fois et c'est terminé.

          Après tu fais bien ce qui t'arrange.

          https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

    • [^] # Re: l'idée est bonne...

      Posté par  (Mastodon) . Évalué à 8.

      Le plus simple c'est de changer de fournisseur si ta box ne te permets pas de changer les serveurs dns utilisés. Tu n'as aucune loyauté à avoir envers lui.

      Autre optio est de foutre un autre serveur dhcp devant cette box avec un autre wifi et désactiver celui de la box.

    • [^] # Re: l'idée est bonne...

      Posté par  . Évalué à 5.

      Le DNS par défaut, fournit par la box du FAI via dhcp, peut être configuré dans les pages de config de la box normalement.

      Ça ne supporte pas forcement le DOH, mais tous les appareils connectés auront toujours le bon DNS, sans conf particulière de leurs coté.

      • [^] # Re: l'idée est bonne...

        Posté par  . Évalué à 3. Dernière modification le 23 mai 2023 à 04:12.

        sauf les abonnés orange/sosh : de ce qui se lit sur lafibre (experts à ce sujet à mon sens), c'est que la livebox ne peut pas voir son "dns renseigné par dhcp" modifié dans les propriétés dhcp, puisque justement elle en héberge pas : le dns sur la livebox, est un simple relais dns du FAI, non un serveur à part entière

        (et j'ai pu confirmer ces derniers jours que sur livebox4, il est absolument impossible de modifier l'adresse IP du serveur dns dans le dhcp de la livebox, l'option n'est simplement pas présente

  • # dns0

    Posté par  . Évalué à 3.

    J'ai essaye une fois ce service et ca me semblait pas mal. Je suis interesse par la fonction "Kid" (A childproof version of the Internet) que je souhaiterais installer sur le laptop de mes enfants. Je suis preneur si qqun a des retours a faire.

    https://www.dns0.eu/

  • # Complément d’information sur les DNS FDN.

    Posté par  . Évalué à 2. Dernière modification le 25 mai 2023 à 01:07.

    Je viens de faire un test avec https://www.dnsleaktest.com/, j’obtiens le résultat suivant :

    66.185.123.247 res210.cdg.rrdns.pch.net. WoodyNet Paris, France
    66.185.123.249 None WoodyNet Paris, France
    80.67.169.16 resolver0.fdn.fr. Association Gitoyen Lyon, France
    80.67.169.17 resolver1.fdn.fr. Association Gitoyen Lyon, France

    Premièrement faire attention à l’ordre dans lequel vous mettez vos serveurs DNS, je croyais avoir fait l’inverse !

    Deuxièmement si on a paramétré les serveurs DNS de FDN, on peut être surpris de ne pas voir la mention de FDN mais « Association Gitoyen » … Et c’est tout à fait normal !

    Pour la faire court, comme indiqué sur cette page et dans cette conférence (avec le bon horodatage), FDN ne possède pas les adresses ip que l’association utilise pour ses besoins propres ou qu’elle attribue à ses adhérents ou adhérentes. Ces adresses IP appartiennent à Gitoyen qui est à la fois le LIR et l’opérateur réseaux de FDN.
    Là aussi comme mentionné dans la conférence, dans la très grande majorité des cas les FAI sont aussi leur propre LIR et opérateurs réseaux mais ce n’est pas le cas à FDN (cependant à la fédération FDN, certains FAI le sont).
    Un LIR est la personne morale qui possède les adresses IP et un « opérateur réseau » est la personne morale qui possède le réseau (c’est-à-dire les machines, les routeurs) et transmets les paquets de données.

    PS : WoodyNet = quad9

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.