Smartphone France Windows Edition : Les DNS sécurisés, ça devient indispensable

Maillon faible de l'Internet, le service DNS est indispensable au bon fonctionnement de tout réseau informatique. Pour rappel c'est lui qui transforme les noms compréhensibles par l'homme en adresses IP compréhensibles par la machine. Le problème de ce protocole est que toutes les demandes et les réponses transitent nativement en clair et peuvent donc être interceptées voire modifiées en cours de route ! Afin de changer cette situation, des évolutions dites DoH (DNS over HTTPS) et DoT (DNS over TLS) ont été créées. Ce sont des protocoles chiffrés qui garantissent une confidentialité et une sécurité aux requêtes DNS.

C'est par exemple grâce au protocole DoT que fonctionne le DNS Privé que vous offre gratuitement Smartphone France. Si nous revenons sur ce sujet c'est que nous avons décidé de sécuriser les échanges DNS au sein de notre installation domestique. Une installation qui est basée sur des Raspberry PI Zero W et le logiciel opensource et gratuit AdGuard Home. L'avantage de ce logiciel est qu'il permet de filtrer la majorité des traceurs et publicités pour l'ensemble de notre installation. A la base, la résolution DNS se faisait de manière classique donc en clair pour tous nos appareils. C'est à ce moment-là que nous est venue l'idée un peu folle de vouloir sécuriser un peu plus la solution.

Après avoir configuré correctement AdGuard Home, côté Windows il faut activer l'utilisation du DoH. Pourquoi est-ce si compliqué ? Nous l'avons fait car c'est notre métier mais c'est impossible à mettre place pour la majorité des utilisateurs. Vraiment regrettable car sécuriser l'informatique par des protocoles chiffrés est de plus en plus nécessaire. Si pour Windows tout est fonctionnel, comment faire pour Android ? C'est là que notre besoin du logiciel Tasker s'est faîte ressentir afin de pouvoir reconfigurer automatiquement notre smartphone en fonction du réseau sur lequel il est connecté. C'est en faisant nos tests que nous avons noté une chose importante sur la manière de fonctionner l'option "DNS privé" d'Android.

Quand elle sur désactivé, elle utilise les DNS classiques en mode clair. Bref tout est normal. Quand elle est en mode "Nom d'hôte du fournisseur DNS privé", seul le DNS en mode DoT est utilisé. Si ce serveur n'est pas accessible à partir du réseau auquel votre smartphone est connecté, plus rien ne fonctionne. Important de le savoir et c'est pour cette raison que nous voulions changer automatiquement la configuration de notre smartphone. C'est la troisième option "Automatique (recommandé)" qui était la plus floue. En effet, sur quels serveurs et avec quels protocoles les résolutions DNS sont-elles effectuées ? Nous avons trouvé la réponse en analysant les journaux de fonctionnement de notre installation.

Dans ce mode automatique le système Android va en premier lieu tester le DNS classique via les adresses qu'il a automatiquement reçues lors de sa connexion. Normal nous direz-vous. La surprise a été que sans rien lui dire de plus, le système Android a testé si les serveurs DNS configurés en mode classique, proposaient un accès DoT. Si tel est le cas il bascule automatiquement dans ce mode pour interroger des serveurs DNS dont il a obtenu l'adresse lors de l'attribution de sa propre adresse. C'est une surprise pour nous. Nous ne pensions pas qu'il allait tenter d'utiliser "nos DNS" en mode DoT mais d'autres serveurs DNS qu'il connait comme ceux de google par exemple (@IP 8.8.8.8 & 8.8.4.4). Le saviez-vous ?