[INFO] Un serveur DNS est un sacré mouchard ;-)

Bonsoir à tous,

Un serveur DNS ( Domain Name System) gère l'association du nom d'un site Web par exemple, plus globalement d'un ordinateur, avec son adresse IP.

L'organisation hiérarchique des serveurs DNS implique qu'une demande de résolution du nom d'un serveur puisse faire voyager la requête de résolution "très haut" dans cette structure arborescente.

Le RFC 7871 "offre" de meilleures performances (rapidité et disponibilité pour la résolution de noms de domaines), MAIS... au détriment de la vie privée de l'internaute.
En effet, le serveur DNS dit "d'autorité" va lire et enregistrer l'adresse IP du serveur DNS dit "résolveur", ET... aussi l'adresse IP de l'internaute qui est à l'origine de la requête.

Le cache du serveur résolveur permettra parfois de résoudre directement la requête sans l'adresser au serveur d'autorité. Sinon, la requête "voyagera" jusqu'aux serveurs d'autorité situés un peu partout dans le monde. Avec bien sûr les risques que cela suppose sur la visibilité et l'exploitation de l'adresse IP de l'internaute, selon le pays qui héberge le serveur d'autorité.

L'aspect "mouchard" du DNS : votre adresse IP et votre demande de résolution de nom de domaine peuvent donc être enregistrées sur des serveurs intermédiaires DNS, au delà de l'enregistrement déjà fait par le résolveur.

La solution passe alors par le chiffrement des échanges entre l'internaute (son système) et son FAI, et l'affectation d'une adresse IP différente de celle attribuée par le FAI, et ce dernier aspect (adresse IP différente) jusqu'au serveur que l'internaute souhaite atteindre.

A ce jour, deux possibilités existent et offrent ces conditions :
1) l'utilisation d'un VPN, ou
2) l'utilisation du réseau Tor,
tout cela à la condition qu'il n'y ait pas de fuite DNS (DNS leak), c'est-à-dire que la résolution de nom se fasse hors du VPN ou du réseau Tor, avec l'adresse IP de l'internaute.

Il faut dans les 2 cas faire confiance, soit à l'exploitant du VPN, ou soit au noeud de sortie du réseau Tor; rien n'est parfait...


Tout est dit, ou presque. Le débat est donc ouvert je l'espère.

Salut,

Article très intéressant...
Par contre, je reste surpris, comme le soulignait @Primokorn autre part, à quel point il est difficile de se protéger.

J'ai l'impression, quand je lis les différents posts, qu'il faut un doctorat "Sécurité & vie privée" pour être tranquille et ça je trouve ça très frustrant...