Les meilleurs serveurs DNS pour une navigation sécurisée

Votre routeur effectue des requêtes DNS lorsque vous naviguez sur le Web. Par défaut, cependant, votre FAI voit toutes vos recherches et adresses Web. Vous pouvez modifier vos paramètres DNS pour une sécurité et une confidentialité accrues.

Qu'est-ce qu'un serveur DNS ?

Un serveur DNS (Dynamic Name System) est un service qui traduit automatiquement les adresses Web lisibles par l'homme en adresses IP. C'est important car, chez vous et sur Internet, chaque périphérique réseau possède une adresse IP. Utiliser des adresses IP comme des humains serait fastidieux. Même si nous pouvions nous en souvenir, nous ferions des erreurs de frappe. C'est pourquoi le Domain Name System a été conçu.

Lorsque vous essayez de vous connecter à un site Web, votre routeur vérifie si les détails de ce site se trouvent dans son cache. Si ce n'est pas le cas, il effectue une requête DNS en envoyant le nom de domaine du site Web à un serveur DNS. Le serveur DNS recherche le nom de domaine, trouve l'adresse IP et la renvoie à votre routeur afin qu'il puisse tenter de se connecter au serveur Web hébergeant le site Web.

En réalité, c'est plus compliqué. Par défaut, le serveur DNS auquel votre routeur se connecte est un serveur précurseur DNS fourni par votre fournisseur de services Internet.

CONNEXION Comment réparer "le blocage du trafic DNS crypté par le réseau" sur iPhone

Si le serveur précurseur ne contient pas les détails du site Web dans son propre cache, il envoie une requête à un serveur de noms racine DNS. Le serveur de noms racine répond au serveur précurseur avec une liste de serveurs de domaine de premier niveau qui peuvent gérer le domaine de premier niveau (.COM, .INFO, .ORG, etc.) du site Web demandé. Le serveur précurseur répète sa demande à l'un des serveurs de domaine de niveau supérieur de cette liste.

Le serveur de domaine de niveau supérieur répond avec le nom d'un serveur de noms DNS faisant autorité qui contient en fait les détails du domaine. Le serveur précurseur refait alors sa demande, au serveur de noms faisant autorité, pour enfin obtenir l'adresse IP.

Dans notre exemple, la personne essayait d'accéder à un site Web, mais il en va de même pour toute ressource Web identifiée par un nom de domaine, comme un serveur de messagerie.

DNS, sécurité et confidentialité

L'utilisation du serveur DNS par défaut de votre FAI a des implications pour la confidentialité et la sécurité.

Les données des requêtes DNS ne sont pas chiffrées, même si certaines des métadonnées jointes le sont. Une attaque man-in-the-middle ou un employé curieux de votre FAI peut exposer et examiner votre activité en ligne très facilement. C'est déjà assez grave, mais l'utilisation du serveur DNS d'un FAI peut également affaiblir votre sécurité.

Certaines des cyberattaques centrées sur le DNS les plus courantes sont :

• Déni de service distribué : cela crée un flot de fausses requêtes qui submergent le serveur DNS, le rendant incapable de traiter les requêtes authentiques.
• DNS Spoofing/Poisoning : Cela crée de fausses réponses DNS malveillantes sur lesquelles votre routeur agit. Les cybercriminels peuvent envoyer les utilisateurs vers des sites Web frauduleux au lieu de sites Web authentiques. Il peut s'agir de sites Web de phishing qui collectent des identifiants de connexion.
• Détournement DNS : un logiciel malveillant infecte votre ordinateur et modifie les paramètres et le comportement TCP/IP afin que les requêtes DNS soient redirigées vers les serveurs DNS frauduleux des cybercriminels. Ceux-ci redirigent les requêtes Web vers des sites Web de phishing ou d'autres sites Web malveillants.
• Domain Hijacking : Il s'agit d'une forme d'attaque plus rare. Cela nécessite de modifier les détails dans les systèmes du bureau d'enregistrement de domaine, de sorte que les détails stockés d'un site Web légitime soient dirigés vers un faux site Web.

Il n'y a pas de véritable sécurité dans le DNS standard. Tout ce qu'il peut faire est de vérifier que la réponse d'un serveur en aval provient de la même adresse IP à laquelle la requête a été envoyée. C'est quelque chose, mais c'est à peine approfondi.

Les extensions de sécurité du système de noms de domaine, ou DNSSEC, ont été développées pour ajouter des signatures numériques aux requêtes DNS. Ceux-ci permettent aux serveurs DNS de vérifier que les données qu'ils reçoivent proviennent bien d'où elles prétendent provenir. C'est ce qu'on appelle l'authentification de l'origine des données . De plus, le destinataire peut vérifier que les données n'ont pas été modifiées en transit. C'est ce qu'on appelle la protection de l'intégrité des données .

DNS over HTTPS, DoH, est un nouveau protocole qui crypte les requêtes DNS et le trafic inter-serveurs. Cependant, les requêtes DNS enregistrées et mises en cache ne sont pas chiffrées. Ils ne sont cryptés qu'en transit. Et bien sûr, la plupart des FAI enregistrent tout ce qu'ils peuvent, et ils ne prennent pas tous en charge DNSSEC et DoH.

CONNEXION: Le guide ultime pour changer votre serveur DNS

Les meilleurs serveurs DNS pour une navigation sécurisée

Les serveurs DNS publics seront plus privés, plus sécurisés et plus rapides que l'offre par défaut de votre FAI. Voici cinq des meilleurs serveurs DNS que nous recommandons :

Accueil OpenDNS

• DNS primaire : 208.67.222.222
• DNS secondaire : 208.67.220.220

OpenDNS a été racheté par Cisco en 2015. La partie "Open" signifie qu'il accepte les requêtes DNS de n'importe où. Cela n'a rien à voir avec l'open source. OpenDNS a des niveaux payants et gratuits.

Cisco a bâti son nom sur des produits et un savoir-faire réseau haut de gamme. Cisco en sait autant sur la mise en réseau et le routage du trafic que n'importe quelle entreprise sur la planète. Il a une présence mondiale et offre un service DNS à toute épreuve.

OpenDSN Home prend en charge DoH et DNSSEC. Il est également livré avec un filtrage de contenu et une protection contre les logiciels malveillants/hameçonnage. Vous ne pouvez pas vous en passer. Vous avez un certain contrôle sur leurs paramètres, mais pas autant que vous le faites sur l'un de leurs niveaux payants.

Peut-être plus inquiétant, OpenDNS enregistre vos requêtes DNS, votre adresse IP, etc., et place ce qu'il appelle des "balises Web" sur les pages que vous avez visitées.

OpenDNS est rapide et sécurisé, mais ses problèmes de confidentialité décourageront certains.

DNS public de Google

• DNS primaire : 8.8.8.8
• DNS secondaire : 8.8.4.4

Le DNS public de Google est gratuit pour tous, y compris pour une utilisation professionnelle. C'est un service robuste et fiable avec des temps de réponse rapides. Et bien sûr, vous pouvez être sûr que Google ne va pas disparaître.

Le DNS public de Google prend en charge de nombreux protocoles de recherche, y compris DNS sur HHTPS, et il prend également en charge DNSSEC. Il inclut également une certaine protection contre les attaques DDoS.

Le seul problème avec le DNS de Google est Google. Tout le monde sait qu'il génère des revenus en récoltant des données et en les utilisant pour cibler la publicité. Il partage également les données, moyennant des frais, avec des tiers. Ainsi, Google obtient des scores élevés pour la robustesse et la sécurité, mais pas tant pour la confidentialité.

Google dit que les données qu'il recueille sont anonymisées, sans aucune information personnellement identifiable, donc cela ne vous dérangera peut-être pas. Si vous utilisez déjà des produits Google tels que Gmail, Android ou le moteur de recherche Web Google, Google n'en apprendra pas beaucoup plus sur vous qu'il ne le fait déjà.

Mais, si vous préférez ne pas vous engager avec leur machinerie d'entreprise "big tech, big data, big brother", Google ne sera pas pour vous.

Nuageux

• DNS primaire : 1.1.1.1
• DNS secondaire : 1.0.0.1

Cloudflare est surtout connu en tant que fournisseur de réseaux de diffusion de contenu, qui répartit la charge du trafic de sites Web sur des instances distribuées en miroir et protège contre les attaques DDoS de pratiquement n'importe quelle ampleur.

Il a les performances DNS les plus rapides et il s'engage publiquement à ne jamais enregistrer votre adresse IP et à supprimer les journaux opérationnels toutes les 24 heures. Ceci est vérifié de manière indépendante par KPMG.

Il ne regroupe pas le filtrage et le blocage de contenu par défaut, mais vous pouvez l'avoir si vous le souhaitez. Pour l'activer, il vous suffit d'utiliser les serveurs DNS primaires et secondaires alternatifs de Cloudflare.

Cloudflare DNS peut être difficile à configurer, et le site Web Cloudflare n'est pas le plus intuitif à naviguer. Une fois qu'il est en cours d'exécution, vous êtes sur le DNS le plus rapide qui soit, avec l'avantage qu'il respecte votre vie privée.

DNSWatch

• DNS primaire : 84.200.69.80
• DNS secondaire : 84.200.70.40

DNSWatch dit qu'il prend en charge la neutralité du net et qu'il n'essaie pas de filtrer le contenu avec ses serveurs DNS. Il n'enregistre pas non plus les requêtes DNS ou l'historique des utilisateurs. DNSWatch ne partagera ni ne vendra jamais vos données car il n'en collecte aucune.

Il prend en charge DNSSEC et DoH, mais tout le reste, comme la protection contre les sites de phishing ou les sites malveillants, vous appartient. Une chose qu'il promeut est son refus de détourner les demandes ayant échoué.

En règle générale, un FAI vous enverra vers une page de recherche sponsorisée si le site que vous essayez d'atteindre ne répond pas. Tout ce qui est entré dans ce site est enregistré par votre FAI. DNSWatch ne fait pas cela, il vous montre la page de mauvaise connexion par défaut de votre navigateur.

Quad9

• DNS primaire : 9.9.9.9
• DNS secondaire : 149.112.112.112

Bien que le siège social de Quad9 soit en Europe, il compte 183 clusters de résolveurs DNS dans 90 pays à travers le monde. C'est un service gratuit. Ses serveurs enregistrent les données de transaction et de performance, mais pas les informations d'identification personnelle. Il enregistre les horodatages, les protocoles de transport, les domaines demandés et leur géolocalisation, etc.

Par défaut, il offre une sécurité au-delà de DNSSEC et DoH, en bloquant les sites Web malveillants connus qui hébergent des logiciels malveillants ou collectent les informations d'identification des utilisateurs. La liste des sites bloqués provient de plus de 20 sources de renseignement publiques et commerciales. Il ne filtre ni ne bloque le contenu, les publicités ou les trackers Web, uniquement les sites Web malveillants.

Si vous ne souhaitez pas que ce blocage soit activé, vous pouvez utiliser ses adresses IP primaires et secondaires alternatives.

En termes de vitesse, le temps de réponse moyen de Quad9 est de 21 ms et sa disponibilité est de 99,94 %. Google et Cloudflare ont des temps de réponse de l'ordre de 10 ms, c'est là qu'ils excellent : la vitesse brute. Cependant, 21mS est toujours incroyablement rapide. En fonctionnement normal, vous ne remarquerez aucune différence entre les deux.

Essayez les; Ils sont gratuits

Étant donné que ces fournisseurs proposent tous des services DNS gratuits, vous pouvez en choisir un et l'essayer. Ou essayez-en plusieurs. Nous avons des guides couvrant une variété de plates-formes :

• Comment changer votre serveur DNS sur Windows 10
• Comment changer votre serveur DNS sur Windows 11
• Comment changer votre serveur DNS sur Chromebook
• Comment changer votre serveur DNS sur Mac
• Comment changer votre serveur DNS sur Android
• Comment changer votre serveur DNS sur iPhone ou iPad

N'oubliez pas que la sécurité et la confidentialité ne sont pas la même chose et qu'elles ne reçoivent pas toujours la même attention de la part de tous les fournisseurs de DNS.