Adguard, DNS publics et protection de la vie privée

Il y a quelque temps, nous présentions en quelques étapes, la possibilité de changer son DNS sur tout le réseau local, via une modification du champs DNS de son routeur, et en installant AdGuard Home. Cela fait quelques années que AdGuard prend le pas sur piHole comme solution de serveur DNS local, capable de filtrer les requêtes pour sécuriser son réseau local contre les sites malveillants, de mauvais gout, ou tout simplement surchargés de pubs.

Depuis, Adguard a pris de l’essor sur la toile, avec une foule d’autres services qui proposent à peu de choses près les mêmes fonctionnalités. Par contre, cette fois-ci, nous allons les analyser en tant que bloquer de pub de base, mais surtout de leur capacité à respecter la vie privée. Là, on parle de politiques de conservation de vos logs sur les serveurs, de pays où sont hébergés ces serveurs et de leur compétence à dire oui ou non à la justice, des protocole DOH/DOT et QUIC, et notamment, des « DNS Upstream » qui relaient vos requêtes AdGuard ou autre, aux autres serveurs DNS publics sur le net.

Le problème avec Cloudflare, Cisco OpenDNS, etc.

La liste de DNS public sur le site d’Adguard propose de nombreux serveurs dont certains chiffrent le transit des informations DNS sur la toile. Cependant, pour prendre le cas de Cloudflare et OpenDNS, ces serveur sont hébergés au US. Et comme tout le monde le sait, les lois aux US rendent la protection de la vie privée impossible. En effet, les services étatiques peuvent à tout moment demander à une entreprise de dévoiler les logs de connexion de ses serveurs et rare sont ceux qui osent dire non.

En utilisant AdGuard ou autre service de DNS, il est primordial de se demander précisément quel en est l’intérêt. Si c’est uniquement pour filtrer du contenu, on pourra très simplement modifier le DNS sur la box internet. Au cas où ce paramètre serait verrouillé sur sa box, on peut effectuer un repli stratégique et configurer ces mêmes serveurs publics localement sur ses stations de travail et smartphones. Il y aura certainement quelques fuites provenant de l’univers IoT parsemé chez soi, mais une bonne partie des nuisances sera purgée.

Par contre, si nous commençons à nous intéresser aux requêtes chiffrées, la situation se complique un peu plus. En effet, les protocoles DOH, DOT, Quic et DNSCrypt nous vendent une image propre et axée vie privée. Il est certain que le transport des requêtes DNS se retrouve chiffré, mais les logs de connexion sont bel et bien stockés (en clair ou pas) sur les serveurs contactés. Et il est bien plus simple et rapide pour un service étatique de demander des logs plutôt que de tenter de déchiffrer du HTTPS ou du TLS. Donc, le maillon faible se retrouve être, encore et toujours, la réglementation régissant la vie privée dans le pays où est hébergé le serveur DNS final.

Pour bien visualiser le problème, on pourrait verrouiller autant que possible un coffre-fort, mais si on garde la clé dans le panier à côté de la porte d’entrée, ça ne nous aura pas servi à grand-chose. Cette observation nous donne notre premier critère de sélection d’une DNS adapté à nos besoins : le choix d’une règlementation dans un pays en particulier.

whois de Adguard

À ce sujet, Adguard est immatriculé à Chypre, un pays dont la partie nord, est reconnue comme faisaient partie de l’UE et la partie sud, indépendante. Ce pays a aussi subi les affres de la faillite grecque et a été imposé des conditions financières très lourdes afin d’intégrer l’UE. Cela laisse présager une faible résistance à des demandes provenant des états forts de l’UE.

PrivacyTools indique AdGuard comme un bloqueur de pub, plutôt qu’un logiciel de sécurité et de vie privée

Donc, même si Adguard indique sur son site avoir le plus grand respect pour la vie privée, rien n’est moins sûr. On peut dire alors que, si nous avons besoin de plus qu’un simple blocage de pub et sites malveillants, il faudra chercher un peu plus loin.

Ce qui nous mène à l’équilibre utilisabilité et vie privée.

L’utilisabilité vs. Respect de la vie privée : le cas NextDNS

Disons ce qui est, l’utilisabilité des produits pèsent très lourd dans la balance de notre quotidien surchargé. Récemment, une offre très alléchante nommée NextDNS a atterri dans mon flux rss. Le service ressemble beaucoup à celui d’AdGuard et propose par défaut du DNS sur TLS/QUIC et HTTPS. Après création d’un compte, on a la possibilité d’effectuer 300,000 requêtes par mois et on est livré un URL personnalisé à rajouter comme DNS.

L’offre NextDNS

On peut aussi rajouter des listes noires, du contrôle parental, bref, tout ce que fait AdGuard, mais limité en requêtes. En poussant un peu plus loin la recherche, on retrouve les serveurs routant par Cloudflare. D’ailleurs, Privacytools indique que le DNS est hébergé aux US. Donc, mauvaise pioche, encore une fois.

whois nextdns.io

Ainsi, attention aux offres gratuites et propres sur eux. Ça cache souvent des modèles d’affaires qui placent la défense de la vie privée en seconde zone. Je verrai même dans ces nouvelles offres de VPN, de DNS et autres, des moyens d’exploiter l’engouement récent des internautes pour la sécurité et l’anonymat sur internet. On y gagne en vitesse de connexion aux serveurs DNS, mais on y laisse quelques plumes de notre vie privée : un besoin de compromis est né et nous donne notre second critère pour choisir un DNS.

Avec tout ça, passons au moins mauvais, car vous l’avez bien compris, le meilleur moyen de conserver sa vie privée, c’est de prendre un livre et d’éteindre l’ordinateur.

Les moins mauvais

Il devient clair qu’à force de tout vouloir, un compromis devra être trouvé entre performance et vie privée, concernant les DNS. En jetant un œil sur la liste de Privacy Tools, Quad9 est indiqué comme opérant en Suisse. Il y figure aussi piHole et AdGuard, mais ce qui nous intéresse vraiment ce sont les DNS Upstream auxquels nos piHole ou AdGuard vont faire transiter votre requête DNS.

whois 9.9.9.9 terminant à Zurich

À partir de la liste de DNS publics connus sur le site d’AdGuard, on peut retrouver les pays où sont hébergés les DNS sur TLS/Quic et HTTPS ayant un ping pas trop malodorant. On démarre par une petite géo-localisation ici.

Lui là, il est au Danemark et offre du DNS sur TLS

Niveau performances, il gravite autour des 37 ms, ce qui n’est pas fameux, mais qui pourrait être OK en considérant que les requêtes sont mis en cache.

ping et traceroute

La question à se poser, c’est si le Danemark peut franchement m’aider à conserver ma vie privée, à l’instar de Quad9 qui dit ne pas conserver de logs sur ses serveurs ? Le brave ingénieur qui fait tourner ce DNS de sa poche indique que cela n’est pas le cas.

FAQ UncensoredDNS

À vous de voir si le Danmark mérite votre confiance en cherchant un peu sur le web, par exemple ici, et en évitant les sites VPN qui vont naturellement promouvoir les pays hébergeant leurs serveurs.

Conclusion

Si vous souhaitez trouver des solutions pour bloquer les pubs et sites malveillants, tout en conservant une once de vie privée, il sera utile, de cibler un pays ayant une règlementation, concernant les données privées, très stricte. Ensuite, on pourra y trouver un serveur DNS public ou payant qui nous servira de d’upstream pour toutes nos requêtes. Finalement, afin de filtrer les pubs, les sites malveillants et avoir un contrôle plus fin sur les requêtes émanent de son réseau, on pourra rajouter un serveur DNS local sous piHole, AdGuard ou autre et configurer l’upstream comme celui que l’on a choisi précédemment. Si ces DNS publics tombent régulièrement, on pourra en paramétrer plusieurs et utiliser les fonctionnalités de requête parallèle afin de gagner en redondance.

Requêtes parallèles sur AdGuard Home

Surtout, ne pas oublier de vérifier que vos petits paquets passent par les bons chemins.

dnscheck.tools : Sur Quad9, toute requête IPV6 semble avoir été sous-traitée aux US…bof.

En espérant reprendre un soupçon de vie privée de la toile, bonne bidouille.

0 0 votes
Article Rating
S’abonner
Notification pour
guest

0 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x