Bonsoir nal,
Dans la famille gens-réputés-de-confiance-et-s-y-connaître, après Stéphane Bortzmeyer, vous avez vu passer ici l'info que c'est au tour de FDN de proposer gracieusement le DoH ou DNS over HTTPS.
Vous savez aussi que Firefox permet facilement d’activer le DNS via HTTPS et de choisir le résolveur DoH de son choix.
Vous vous souvenez peut-être que Firefox a expérimenté la chose main dans la main avec Cloudflare, visiblement en pointe sur ces sujets. Mais que bien que les intentions de Cloudflare semblent correctes a priori, cela n'en reste pas moins une entité 1°) commerciale 2°) américaine : deux raisons qui peuvent faire hésiter à leur confier notre navigation web.
Cependant il peut être intéressant, d'un point de vue technique, de suivre les solutions technologiques proposées par Cloudflare, et ce d'autant qu'ils font des efforts pour vulgariser tout ça. Ainsi ils présentent une page de test de 4 fonctionnalités :
- Secure DNS
- DNSSEC
- TLS 1.3
- Encrypted Client Hello ou ECH (anciennement Secure SNI) [1]
Pour autant, si j'ai bien compris, toutes les fonctionnalités ne sont pas liées à DoH.
Ainsi avec le résolveur DoH de Stéphane Bortzmeyer, ladite page de test m'en valide 2 : DNSSEC et TLS 1.3 (J'obtiens un point d'interrogation pour Secure DNS et un échec pour ECH/Secure SNI). Ensemble ces deux confirment l'activation de DoH si j'ai bien compris. Si je prends celui de Cloudflare, les 4 sont validées. Mais je ne saisis pas ce qu'apportent Secure DNS et ECH.
Quelqu'un pourrait-il expliciter les différents mécanismes ?
Je crois pour cela qu'il serait intéressant de distinguer 2 types de tiers – aux pouvoirs différents – dont on voudrait se cacher : notre FAI ; tout autre tiers ?
1) Ainsi, si j'ai bien compris, avec le navigateur et un site configurés pour HTTPS, il est possible de savoir que vous avez consulté tel site mais pas telle page de tel site. Ni ce que vous avez écrit sur tel site. https://www.eff.org/https-everywhere/faq/#what-does-https-everywhere-protect-me-against
Est-ce que cela s'applique également à notre FAI, ou celui-ci peut connaître précisément la page visitée malgré la configuration HTTPS ?
2) a/ Avec DoH, il n'est plus possible, sauf pour le résolveur choisi, de savoir quel site est visité ? À l'exception cependant de notre FAI peut-être ?
J'ai ainsi vu que Bouygues Telecom censurerait l'accès aux sites de ses abonnés malgré le paramétrage d'un résolveur DNS alternatif… https://nitter.fdn.fr/JohnShaftFr/status/807600947639762944
Auquel cas, pour masquer sa navigation à son FAI, il faut utiliser les traditionnels « tunnels » (VPN, réseau Tor) ?
b/ J'ai fait le test d'accéder à un site censuré auprès des 4 grands FAI nationaux (uptobox.com) avec un résolveur DoH alternatif. Firefox me répond que « Hum, nous ne parvenons pas à trouver ce site »… Qu'en conclure ? Je précise que mon FAI est Bouygues Telecom.
3) ECH ?
Merci d'avance de m'aider à y voir plus clair…
[1] Pour activer cette fonctionnalité en développement (spécification en cours de finalisation auprès de l'IETF) dans Firefox, aller dans about:config et passer network.dns.echconfig.enabled et – si ce n'est pas fait par défaut – network.dns.use_https_rr_as_altsvc à true. Explications ici, méta-bogue pour Firefox là. Tester ici ou là.
# 2) b/
Posté par antistress (site web personnel) . Évalué à 4. Dernière modification le 21 mai 2023 à 03:31.
Je vois cette page du blogue de Stéphane Bortzmeyer du 15 mai dernier : Censure DNS du domaine d'Uptobox par Orange.
Du coup j'ai tenté la commande
dig +nodnssec A uptobox.comqui me renvoie;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: #####Ce qui signifie (je grasse) :
En m'inspirant de cet autre article du même blogue, je questionne Google cette fois :
dig @8.8.8.8 uptobox.comme renvoie;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: #####puis;; ANSWER SECTION:uptobox.com. 300 IN A 172.67.29.218
uptobox.com. 300 IN A 104.22.31.128
uptobox.com. 300 IN A 104.22.30.128
[^] # Re: 2) b/
Posté par Ms-Mac . Évalué à 0. Dernière modification le 23 mai 2023 à 11:30.
HS sur dns
A la place de uptobox tu peux regarder par ici
https://www.swisstransfer.com/fr-fr
Tout le monde a un cerveau. Mais peu de gens le savent.
# Firefox!
Posté par ted (site web personnel) . Évalué à 8.
Tu as configuré le serveur DNS dans Firefox, donc ça ne fonctionnera que pour Firefox. Les autres applications de ton système utiliseront le DNS configuré pour celui-ci. Si tu utilises dig sans préciser de serveur, ça n'utilisera pas ce que tu as configuré dans Firefox.
Le truc qui me gêne dans cette fonctionnalité de Firefox c'est que si c'est mal configuré, Firefox utilisera les DNS du système sans te le dire. C'est ce qui m'est arrivé avec mes premiers essais. Pour voir quels DNS sont utilisés par ton navigateur tu peux utiliser ce service en ligne: https://www.dnsleaktest.com/
Pour répondre à tes questions:
HTTPs chiffre tout le traffic: même ton FAI ne peut pas savoir quelles données transitent. Ton FAI sait cependant à quelle IP tu te connectes (il peut en déduire le site), et peut éventuellement récupérer la requête DNS que tu as faite (sauf si tu utilises DOH ou DOT, car la requête DNS sera alors également chiffrée).
Utiliser TOR ou un VPN pourra cacher à ton FAI l'adresse IP à laquelle tu te connectes. Il faut alors faire confiance à ton fournisseur de VPN ou au noeud de sortie TOR (j'éviterais la navigation en HTTP dans ce cas).
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: Firefox!
Posté par antistress (site web personnel) . Évalué à 5. Dernière modification le 21 mai 2023 à 10:31.
Ha oui, où avais-je la tête
J'obtiens ces 4 lignes avec Firefox cp,figuré avec le DoH de Stéphane Bortzmeyer :
Hostname ISP Country
None Bouygues Telecom Paris, France
None Bouygues Telecom Paris, France
ssv10-X.dsl.sta.abo.bbox.fr. Bouygues Telecom Pau, France
ssv10-X.dsl.sta.abo.bbox.fr. Bouygues Telecom Pau, France
Ça veut dire que mon choix de DoH dans Firefox est court-circuité par mon FAI !?
Tu dis que, avec DoH, le FAI ne sait rien, pas même l'IP à laquelle je me connecte ?
Bonus : ECH, tu sais ce que ça apporte ?
[^] # Re: Firefox!
Posté par ted (site web personnel) . Évalué à 5. Dernière modification le 21 mai 2023 à 11:09.
Oui, on dirait bien que ce sont les DNS de ton FAI qui sont interrogés. Tu as mis quoi comme valeur pour le serveur DOH? Ce n'est pas une IP qu'il faut mettre comme avec les serveurs DNS classiques mais une URL pointant vers l'API du serveur.
En cherchant un serveur sur OpenNIC, par exemple celui-ci, tu peux trouver l'URL dans la partie "description". J'ai remarqué que certains serveurs listés chez OpenNIC ne publiaient pas cette URL même s'ils disent supporter DOH (ce qui m'a un peu perturbé dans mes premiers essais).
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: Firefox!
Posté par antistress (site web personnel) . Évalué à 5.
J'ai mis
doh.bortzmeyer.fr[^] # Re: Firefox!
Posté par antistress (site web personnel) . Évalué à 4.
Avec les réglages Cloudflare par défaut de Firefox ça semble ok :
Hostname ISP CountryNone Cloudflare Paris, France
None Cloudflare Paris, France
None Cloudflare Paris, France
[^] # Re: Firefox!
Posté par antistress (site web personnel) . Évalué à 6. Dernière modification le 21 mai 2023 à 15:40.
Avec
https://doh.bortzmeyer.fr/(https://www.bortzmeyer.org/doh-mon-resolveur.html) ça semble ok !Hostname ISP Countryradia.bortzmeyer.org. OVH SAS France
Merci !!!
[^] # Re: Firefox!
Posté par antistress (site web personnel) . Évalué à 10.
Ça se règle dans about:config en ajustant la valeur de la clé
network.trr.modehttps://wiki.mozilla.org/Trusted_Recursive_Resolver
# Quelques réponses
Posté par Ambroise . Évalué à 9. Dernière modification le 21 mai 2023 à 10:44.
Alors
1) Si tu es HTTPS, tok FAI et n'importe qui d'autres ne pourront voir que :
- l'adresse IP du serveur à qui tu parles
- éventuellement, le nom de domaine à qui tu parles si tu n'es pas en TLS1.3 avec ECH.
Par contre, non, ton FAI ne pourra pas avoir l'URL complète : seul toi et le serveur peuvent avoir cette info. C'est pour cela que les entreprises qui veulent analyser le flux sont obligées de faire un gros MITM avec une PKI interne qui peut tout signer.
2) comme dis avant, dig n'utilise pas les paramètres de firefox.
Si tu veux tester si Bouygues Tel fait vraiment de la redirection DNS, tentes avec dix d'abord sur les résolveurs de Bouygues puis sur des DNS publiques (FDN, Quad9, Cloudfare, Google, …)
Après, pourquoi Firefox t'affiche ce message… Il faudrait valider le DNS que tu utilises… (Dans les précédent messages, j'ai vu beaucoup de personnes dire qu'elles avaient fait une erreur de frappe et résultat, cela ne marchait pas…)
3) ECH, c'est pour corriger une faiblesse du TLS avec SNI : sans ECH, tout est chiffré sauf le message initial ou le nom DNS est en clair dans le 1er message. Avec ECH, tout est chiffré, même l'échange initiale où on indique le nom du domaine que l'on veut joindre
[^] # Re: Quelques réponses
Posté par antistress (site web personnel) . Évalué à 4.
Donc avec DoH et ECH, personne entre moi et le site ne peut savoir quoi que ce soit de ce que j'interroge ?
Quels avantages apportent encore un VPN ou le réseau Tor dans cette configuration ?
[^] # Re: Quelques réponses
Posté par Dafyd . Évalué à 5.
Sans VPN, ton FAI sait à quelle IP tu te connectes.
[^] # Re: Quelques réponses
Posté par antistress (site web personnel) . Évalué à 4.
ok, merci à tous deux !
[^] # Re: Quelques réponses
Posté par Zenitram (site web personnel) . Évalué à 7. Dernière modification le 21 mai 2023 à 16:24.
Avec DoH, personne ne peut savoir quel domaine tu cherches à accéder quand tu cherche une adresse IP
Avec ECH, personne ne peut savoir quel domaine tu accèdes entre les différents sites sur la même adresse IP.
Avec un VPN ou Tor, personne (à part le fournisseur VPN) ne peut savoir quel domaine tu accèdes même sur des IP différentes.
Par exemple, avec DoH et ECH, je saurais si je suis sur le même WiFi que toi que tu accèdes à LinuxFr parce que LinuxFr est le seul (il me semble, aux sous-domaines près) domaine ayant comme adresse
213.36.253.176(car on peu facilement savoir les noms de domaines derrière une adresse IP, hopnslookup 213.36.253.176).ECH permet de cacher ton accès à X si Y a la même adresse (mais par contre quelqu'un sur le même réseau WiFi que toi saura quand même que tu accèdes à X ou Y, sans savoir si c'est X ou Y mais bon ça limite sa recherche surtout si il sait que tu ne t’intéresse pas à Y), alors qu'un VPN ou tor montrera un accès au VPN ou Tor et c'est tout. Bon en cas de garde à vue tu pourras toujours dire que tu étais sur Y, c'est le déni plausible adapté aux noms de domaines, les flics sauront très bien qu'ils veulent te choper pour X mais ne pourront pas contredire ton affirmation que tu étais sur Y.
En pratique, DoH sert surtout à ce que personne ne falsifie la réponse (que tu ne tapes pas sur un serveur autre que le bon, et limite un peu l'information si ECH sinon pas) et ECH permet concrètement de limiter un peu l'information et c'est bien mais ne remplace pas un VPN, c'est cacher un peu si tu n'as pas de VPN (et c'est déjà bien).
[^] # Re: Quelques réponses
Posté par antistress (site web personnel) . Évalué à 5.
ok c'est très clair, merci !
[^] # Re: Quelques réponses
Posté par barmic 🦦 . Évalué à 3.
Pour ajouter une couche.
Tel que vendu par les NordVPN, les CyberGhostVPN etc… Si tu ne fais pas confiance à celui qui te fourni un accès internet (soit parce qu'il a obligation à collaborer avec l'État par exemple soit parce que c'est un wifi potentiellement publique) tu peut préférer mettre ta confiance dans un service de VPN. Quand tu utilise DoH et généralement HTTPS, tu laisse tout de même des informations exploitables en particulier :
Au lieu de placer sa confiance en son fournisseur d'accès, on la place au fournisseur de VPN. Le FAI ne voit plus qu'un trafic vers le prestataire de VPN, mais il ne peut pas savoir ce qu'il y a dedans.
Ça peut aussi servir à être géolocalisé ailleurs (pour netflix et consort par exemple), mais il y a des techniques qui peuvent l'empêcher :
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
# une dépêche antistress ?
Posté par orfenor . Évalué à 9.
faudrait faire une dépêche de tout ça (avec les réponses) !
[^] # Re: une dépêche antistress ?
Posté par antistress (site web personnel) . Évalué à 4.
Bonnie D.
[^] # Re: une dépêche antistress ?
Posté par antistress (site web personnel) . Évalué à 6.
À vos claviers !
https://linuxfr.org/redaction/news/dns-via-https-et-autre-pour-gagner-en-vie-privee-et-ou-ne-pas-subir-le-blocage-par-nom-de-domaine
# HTTPs n'empêche pas le FAI de savoir les pages que vous consultez
Posté par Samuel (site web personnel) . Évalué à 10.
Contrairement à ce que plusieurs ont affirmé ici, utiliser httpS n'empêche pas totalement au FAI de deviner les pages que vous consultez : en faisant une analyse statistique de la taille des requêtes envoyées et reçues et les différences de temps entre les différentes requêtes, et en comparant ça au contenu du site web visité et au graphe de lien entre les pages, il peut "deviner" quelles pages vous avez visité. Selon les sites, cette attaque fonctionnera plus ou moins bien :
En revanche, les petites données que vous envoyez (mot de passe, code de carte bancaire …) ne seront pas devinables par l'attaquant.
Cette attaque est décrite dans Analysing user behaviors despite encryption sur le blog rabexc.org.
# l'idée est bonne...
Posté par tkr (Mastodon) . Évalué à 1.
mais c'est la méthode qui m'inquiète :
mon "petit neuveu" de 16 ans a envie aussi de se passer d'un dns menteur.
mon grand oncle également. Ma voisine retraitée aussi.
la problématique c'est pas l'objectif recherché. Mais la méthode :
par exemple, dans mon cas j'ai 2 pc portables, 2 smartphones. Or grosse exigence, je vais pas m'amuser à triturer les DNS de chaque appareil. Pareil dans le cadre familial, ou chacun n'a pas qu'un pc+tel, mais souvent la tablette, l'ancien ordi ou le vieux tel de secours : souvent dans les foyers il y a entre 5 et 10 appareils branchés en wifi. En moyenne. Càd que sur une année il y en a jusqu'à plusieurs dizaines : les amis, les invités, etc..
passer sur chacun des appareils configurer celui ci est pour moi problématique.
l'idée, ce serait de passer par la box. Beaucoup m'ont proposé le "pi-hole" mais cela nécessite électricité supplémentaire + prise électrique etc.
J'aurais adoré voir une solution 100% logicielle sur la box directement. Je vois que chez orange ya un relai dns dans la box, et que tout est traité de chez eux.
seule solution, vpn sur chaque appareil?
je me vois mal changer le dns sur chaque ordi, ca prend un temps fou quand on en a plus de dix sous le bras..
[^] # Re: l'idée est bonne...
Posté par barmic 🦦 . Évalué à 7.
Tu trouve plus simple de configurer un client vpn sur chaque machine qu'un DNS ?
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: l'idée est bonne...
Posté par tkr (Mastodon) . Évalué à 1.
dans le sens où mon proton me demande que le login/mdp et à appuyer sur un seul bouton, la réponse est oui
[^] # Re: l'idée est bonne...
Posté par barmic 🦦 . Évalué à 2.
Une fois que tu l'a installé oui. Un DNS tu le configure une fois et c'est terminé.
Après tu fais bien ce qui t'arrange.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: l'idée est bonne...
Posté par Psychofox (Mastodon) . Évalué à 8.
Le plus simple c'est de changer de fournisseur si ta box ne te permets pas de changer les serveurs dns utilisés. Tu n'as aucune loyauté à avoir envers lui.
Autre optio est de foutre un autre serveur dhcp devant cette box avec un autre wifi et désactiver celui de la box.
[^] # Re: l'idée est bonne...
Posté par bnurb . Évalué à 5.
Le DNS par défaut, fournit par la box du FAI via dhcp, peut être configuré dans les pages de config de la box normalement.
Ça ne supporte pas forcement le DOH, mais tous les appareils connectés auront toujours le bon DNS, sans conf particulière de leurs coté.
[^] # Re: l'idée est bonne...
Posté par tkr (Mastodon) . Évalué à 3. Dernière modification le 23 mai 2023 à 04:12.
sauf les abonnés orange/sosh : de ce qui se lit sur lafibre (experts à ce sujet à mon sens), c'est que la livebox ne peut pas voir son "dns renseigné par dhcp" modifié dans les propriétés dhcp, puisque justement elle en héberge pas : le dns sur la livebox, est un simple relais dns du FAI, non un serveur à part entière
(et j'ai pu confirmer ces derniers jours que sur livebox4, il est absolument impossible de modifier l'adresse IP du serveur dns dans le dhcp de la livebox, l'option n'est simplement pas présente
# dns0
Posté par tla47 . Évalué à 3.
J'ai essaye une fois ce service et ca me semblait pas mal. Je suis interesse par la fonction "Kid" (A childproof version of the Internet) que je souhaiterais installer sur le laptop de mes enfants. Je suis preneur si qqun a des retours a faire.
https://www.dns0.eu/
# Complément d’information sur les DNS FDN.
Posté par Skilgannon . Évalué à 2. Dernière modification le 25 mai 2023 à 01:07.
Je viens de faire un test avec https://www.dnsleaktest.com/, j’obtiens le résultat suivant :
Premièrement faire attention à l’ordre dans lequel vous mettez vos serveurs DNS, je croyais avoir fait l’inverse !
Deuxièmement si on a paramétré les serveurs DNS de FDN, on peut être surpris de ne pas voir la mention de FDN mais « Association Gitoyen » … Et c’est tout à fait normal !
Pour la faire court, comme indiqué sur cette page et dans cette conférence (avec le bon horodatage), FDN ne possède pas les adresses ip que l’association utilise pour ses besoins propres ou qu’elle attribue à ses adhérents ou adhérentes. Ces adresses IP appartiennent à Gitoyen qui est à la fois le LIR et l’opérateur réseaux de FDN.
Là aussi comme mentionné dans la conférence, dans la très grande majorité des cas les FAI sont aussi leur propre LIR et opérateurs réseaux mais ce n’est pas le cas à FDN (cependant à la fédération FDN, certains FAI le sont).
Un LIR est la personne morale qui possède les adresses IP et un « opérateur réseau » est la personne morale qui possède le réseau (c’est-à-dire les machines, les routeurs) et transmets les paquets de données.
PS : WoodyNet = quad9
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.