Fuites DNS (causes et correctifs)

Qu'est-ce qu'une fuite DNSLes navigateurs utilisent le système de noms de domaine (DNS) pour combler l'écart entre les adresses IP Internet (numéros) et les noms de domaine de site Web (mots).


Lorsqu'un nom Web est entré, il est d'abord envoyé à un serveur DNS où le nom de domaine est associé à l'adresse IP associée afin que la demande puisse être transmise à l'ordinateur approprié.

C'est un énorme problème de confidentialité car tout le trafic Internet standard doit passer par un serveur DNS où l'expéditeur et la destination sont enregistrés.

Ce serveur DNS appartient généralement au FAI de l'utilisateur et relève de la législation nationale. Par exemple, au Royaume-Uni, les informations détenues par les FAI doivent être transmises aux forces de l'ordre sur demande. La même chose se produit aux États-Unis, mais avec la possibilité supplémentaire pour le FAI de vendre les données à des sociétés de marketing.

Bien que le contenu des communications entre l'ordinateur local de l'utilisateur et le site Web distant puisse être chiffré avec SSL / TLS (il apparaît comme «https» dans l'URL), les adresses d'expéditeur et de destinataire ne peuvent pas être chiffrées. En conséquence, chaque destination visitée sera connue de quiconque a un accès légal (ou criminel) aux journaux DNS - c'est-à-dire que, dans des circonstances normales, un utilisateur n'a aucune confidentialité sur l'endroit où il va sur Internet.

Les VPN sont conçus pour résoudre ce problème en créant un écart entre l'ordinateur de l'utilisateur et le site Web de destination. Mais ils ne fonctionnent pas toujours parfaitement. Une série de problèmes signifie que dans certaines circonstances, les données DNS peuvent s'infiltrer vers le FAI et donc dans la compétence du gouvernement et des sociétés de marketing.

Les problèmes sont connus sous le nom de fuites DNS. Aux fins de cette discussion sur les fuites DNS, nous supposerons en grande partie que votre VPN utilise le protocole VPN le plus courant, OpenVPN.

Qu'est-ce qu'une fuite DNS?

Un VPN établit une connexion cryptée (généralement appelée «tunnel») entre votre ordinateur et le serveur VPN; et le serveur VPN envoie votre demande au site Web requis. Si le VPN fonctionne correctement, tout votre FAI verra que vous vous connectez à un VPN - il ne peut pas voir où le VPN vous connecte. Les espions sur Internet (gouvernementaux ou criminels) ne peuvent voir aucun contenu car il est crypté.

Une fuite DNS se produit lorsque quelque chose d'inattendu se produit et que le serveur VPN est ignoré ou ignoré. Dans ce cas, l'opérateur du serveur DNS (souvent votre FAI) verra où vous allez sur Internet pendant que vous croyez qu'il ne peut pas.

Ce sont de mauvaises nouvelles, car cela va à l'encontre de l'utilisation d'un VPN. Le contenu de votre trafic Web est toujours caché (par le cryptage du VPN), mais les parties les plus importantes pour l'anonymat - votre position et vos données de navigation - ne sont pas protégées et sont probablement enregistrées par votre FAI.

Comment savoir si mon VPN a une fuite DNS?

Il y a de bonnes et de mauvaises nouvelles pour détecter une fuite DNS. La bonne nouvelle est que vérifier si votre VPN fuit vos requêtes DNS est rapide, facile et simple; la mauvaise nouvelle est que sans vérification, il est peu probable que vous soyez au courant de la fuite avant qu'il ne soit trop tard.

Il existe de nombreux outils dans le navigateur pour tester si votre VPN a un DNS ou une autre forme de fuite de données, y compris certains produits par des fournisseurs de VPN tels que AirVPN (révision) ou VPN.ac. Si vous ne savez pas quoi faire, vous pouvez simplement aller sur ipleak.net pendant que vous pensez que votre VPN est opérationnel. Ce site recherchera automatiquement une fuite DNS (et, accessoirement, fournit également beaucoup plus d'informations).

  1. Entrer ipleak.net dans la barre d'adresse de votre navigateur.
  2. Une fois la page Web chargée, le test démarre automatiquement et une adresse IP s'affiche..
  3. Si l'adresse que vous voyez est votre adresse IP et indique votre emplacement, et que vous utilisez un VPN, cela signifie que vous avez une fuite DNS. Si l'adresse IP de votre VPN est affichée, cela fonctionne normalement.

Si possible, c'est une bonne idée de tester avec plusieurs vérificateurs en ligne.

La figure 1 montre ipleak.net utilisé avec un VPN mal configuré. Il renvoie la bonne adresse IP. Ceci est une fuite DNS.

Votre adresse IP # 2

Figure 1

La figure 2 montre ipleak utilisé avec ExpressVPN configuré pour utiliser un serveur belge (ExpressVPN vous permet de choisir parmi une gamme de pays différents). Il n'y a aucune fuite DNS apparente.

Votre adresse IP

Figure 2

Pour la plupart des utilisateurs, effectuer cette vérification avant de continuer à parcourir d'autres sites sera suffisant. Pour certains utilisateurs, ce ne sera pas une solution parfaite, car elle vous oblige à vous connecter à Internet et à envoyer des demandes DNS pour accéder aux outils de vérification.

Il est possible de tester le DNS et d'autres fuites sans utiliser l'un de ces sites Web, même si cela nécessite que vous connaissiez votre propre adresse IP et comment utiliser l'invite de commande Windows.Il nécessite également un serveur de test de confiance pour que vous 'ping' directement ; il peut s'agir d'un serveur privé que vous connaissez et en qui vous avez confiance, ou l'un des serveurs de test publics suivants:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

Pour ce faire, ouvrez l'invite de commande (allez dans le menu Démarrer, tapez "cmd" et appuyez sur Entrée), puis entrez le texte suivant:

  • ping [nom du serveur] -n 1

Remplacez [nom du serveur] par l'adresse du serveur de test choisi (par exemple «ping whoami.akamai.net -n 1»), et appuyez sur Entrée. Si l'une des adresses IP trouvées dans le texte résultant correspond à votre adresse IP personnelle ou locale, c'est un indicateur qu'une fuite DNS est présente; seule l'adresse IP de votre VPN doit être affichée.

La figure 3 montre le résultat avec ExpressVPN en cours d'exécution. Notez que la seule adresse IP renvoyée est l'adresse IP belge comme indiqué dans la figure 2. Il n'y a aucune fuite DNS apparente.

LIBERTÉ

figure 3

Si vous constatez que votre VPN présente une fuite DNS, il est temps d'arrêter la navigation jusqu'à ce que vous puissiez trouver la cause et résoudre le problème. Certaines des causes les plus probables d'une fuite DNS et leurs solutions sont répertoriées ci-dessous.

Problèmes et solutions de fuites DNS

Le problème n ° 1: réseau mal configuré

Problèmes et correctifs de fuite DNS

C'est l'une des causes les plus courantes de fuite DNS pour les utilisateurs qui se connectent à Internet via différents réseaux; par exemple, une personne qui bascule souvent entre son routeur domestique, le Wi-Fi d'un café et les points d'accès publics. Avant de vous connecter au tunnel crypté de votre VPN, votre appareil doit d'abord se connecter au réseau local.

Sans les paramètres appropriés en place, vous pouvez vous laisser ouvert aux fuites de données. Lors de la connexion à un nouveau réseau, les paramètres DHCP (le protocole qui détermine l'adresse IP de votre machine au sein du réseau) peuvent automatiquement attribuer un serveur DNS pour gérer vos demandes de recherche - celui qui peut appartenir au FAI, ou celui qui peut ne pas être correctement sécurisé. Même si vous vous connectez à votre VPN sur ce réseau, vos requêtes DNS contourneront le tunnel crypté, provoquant une fuite DNS.

La solution:

Dans la plupart des cas, la configuration de votre VPN sur votre ordinateur pour utiliser le serveur DNS fourni ou préféré par votre VPN forcera les requêtes DNS à passer par le VPN plutôt que directement à partir du réseau local. Cependant, tous les fournisseurs VPN n'ont pas leurs propres serveurs DNS, auquel cas l'utilisation d'un serveur DNS indépendant tel que OpenDNS ou Google Public DNS devrait permettre aux requêtes DNS de passer par le VPN plutôt que directement à partir de votre machine cliente. Malheureusement, la modification de la configuration de cette manière dépend beaucoup de votre fournisseur VPN spécifique et du protocole que vous utilisez - vous pourrez peut-être les configurer pour qu'ils se connectent automatiquement au serveur DNS correct, quel que soit le réseau local auquel vous vous connectez; ou vous devrez peut-être vous connecter manuellement à votre serveur préféré à chaque fois. Vérifiez la prise en charge de votre client VPN pour obtenir des instructions spécifiques.

Si vous devez configurer manuellement votre ordinateur pour utiliser un serveur DNS indépendant choisi, vous pouvez trouver des instructions pas à pas dans la section «Modifiez vos paramètres en un serveur DNS indépendant et de confiance» ci-dessous..

Le problème n ° 2: IPv6

Habituellement, lorsque vous pensez à une adresse IP, vous pensez à un code 32 bits composé de 4 ensembles de 3 chiffres maximum, comme 123.123.123.123 (comme décrit ci-dessus). Il s'agit de la version IP 4 (IPv4), actuellement la forme d'adresse IP la plus courante. Cependant, le pool d'adresses IPv4 inutilisées disponibles devient très petit et IPv4 est remplacé (très lentement) par IPv6..

Les adresses IPv6 se composent de 8 ensembles de 4 caractères, qui peuvent être des lettres ou des chiffres, tels que 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

Internet est toujours dans la phase de transition entre IPv4 et IPv6. Cela crée beaucoup de problèmes, en particulier pour les VPN. À moins qu'un VPN ne prenne explicitement en charge IPv6, toute demande vers ou depuis votre machine envoyée via IPv6 - ou envoyée à l'aide d'un tunnel à double pile pour convertir IPv4 en IPv6 (voir Teredo ci-dessous) - contournera complètement le tunnel VPN, laissant vos données personnelles sans protection . En bref, IPv6 peut perturber votre VPN sans que vous en soyez conscient.

La plupart des sites Web ont à la fois des adresses IPv6 et des adresses IPv4, bien qu'un nombre important ne soit encore que IPv4. Il existe également quelques sites Web qui sont uniquement IPv6. Que vos demandes DNS concernent des adresses IPv4 ou IPv6 dépendra généralement de votre FAI, de votre équipement réseau (tel qu'un routeur sans fil) et du site Web spécifique auquel vous essayez d'accéder (avec l'implémentation d'IPv6 encore incomplète, tous les utilisateurs ne pourront pas pour accéder aux sites Web IPv6 uniquement). La majorité des recherches DNS seront toujours IPv4, mais la plupart des utilisateurs ne sauront pas s'ils font des demandes IPv4 ou IPv6 s'ils sont capables de faire les deux.

Une étude réalisée par des chercheurs de l'Université Sapienza de Rome et de l'Université Queen Mary de Londres en 2015 a examiné 14 fournisseurs de VPN commerciaux et a constaté que 10 d'entre eux - une proportion inquiétante - étaient sujets à des fuites IPv6.

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Hotspot Shield Elite

Bien que la fuite IPv6 ne soit pas strictement identique à une fuite DNS standard, elle a sensiblement le même effet sur la confidentialité. C'est un problème dont tout utilisateur VPN doit être conscient.

La solution:

Si votre fournisseur VPN prend déjà entièrement en charge le trafic IPv6, ce type de fuite ne devrait pas vous poser de problème. Certains VPN sans prise en charge IPv6 auront plutôt la possibilité de bloquer le trafic IPv6. Il est recommandé d'opter pour un VPN compatible IPv6 dans tous les cas, car les tunnels à double pile pourraient toujours contourner un bloc IPv6. (Voir Teredo ci-dessous.) La majorité des VPN, malheureusement, n'auront aucune disposition pour IPv6 et par conséquent, il y aura toujours une fuite de trafic IPv6. Assurez-vous de savoir avant d'utiliser un VPN commercial s'ils ont pris des dispositions pour IPv6, et n'en choisissez qu'un qui prend entièrement en charge le protocole.

Le problème n ° 3: proxy DNS transparents

Certains FAI ont adopté une politique consistant à forcer leur propre serveur DNS dans l'image si un utilisateur modifie ses paramètres pour utiliser un serveur tiers. Si des modifications des paramètres DNS sont détectées, le FAI utilisera un proxy transparent - un serveur distinct qui intercepte et redirige le trafic Web - pour vous assurer que votre demande DNS est envoyée à son propre serveur DNS. Il s'agit en fait du FAI «forçant» une fuite DNS et essayant de la dissimuler à l'utilisateur. La plupart des outils de détection de fuite DNS seront capables de détecter un proxy DNS transparent de la même manière qu'une fuite standard.

La solution:

Heureusement, les versions récentes du protocole OpenVPN disposent d'une méthode simple pour lutter contre les mandataires DNS transparents. Tout d'abord, localisez le fichier .conf ou .ovpn du serveur auquel vous souhaitez vous connecter (ils sont stockés localement et se trouvent généralement dans C: \ Program Files \ OpenVPN \ config; voir le manuel OpenVPN pour plus de détails), ouvrez dans un éditeur de texte comme le bloc-notes et ajoutez la ligne:

  • block-outside-dns

Les utilisateurs des anciennes versions d'OpenVPN doivent effectuer la mise à jour vers la dernière version d'OpenVPN. Si votre fournisseur VPN ne prend pas en charge cela, il est peut-être temps de rechercher un VPN plus récent. En plus du correctif OpenVPN, de nombreux clients VPN de meilleure qualité auront leurs propres dispositions intégrées pour lutter contre les proxy DNS transparents. Reportez-vous à la prise en charge de votre VPN spécifique pour plus de détails.

Le problème n ° 4: les «fonctionnalités» non sécurisées de Windows 8, 8.1 ou 10

Les systèmes d'exploitation Windows à partir de 8 ont introduit la fonctionnalité «Smart Multi-Homed Name Resolution», destinée à améliorer les vitesses de navigation sur le Web. Cela envoie toutes les demandes DNS à tous les serveurs DNS disponibles. À l'origine, cela n'acceptait les réponses des serveurs DNS non standard que si les favoris (généralement les propres serveurs du FAI ou ceux définis par l'utilisateur) ne répondaient pas. C'est assez mauvais pour les utilisateurs VPN car cela augmente considérablement l'incidence des fuites DNS, mais à partir de Windows 10, cette fonctionnalité acceptera par défaut la réponse du serveur DNS le plus rapide à répondre. Cela a non seulement le même problème de fuite DNS, mais laisse également les utilisateurs vulnérables aux attaques d'usurpation DNS.

La solution:

Il s'agit peut-être du type de fuite DNS le plus difficile à corriger, en particulier dans Windows 10, car il s'agit d'une partie intégrée de Windows et il peut être presque impossible de la modifier. Pour les utilisateurs VPN utilisant le protocole OpenVPN, un plugin open source librement disponible (disponible ici) est probablement la meilleure solution et la plus fiable.

La résolution intelligente des noms multi-hébergés peut être désactivée manuellement dans l'éditeur de stratégie de groupe local de Windows, sauf si vous utilisez une édition familiale de Windows. Dans ce cas, Microsoft ne vous autorise tout simplement pas à désactiver cette fonctionnalité. Même si vous pouvez le désactiver de cette façon, Windows enverra toujours la demande à tous les serveurs disponibles dans le cas où le premier serveur ne répondrait pas. Il est fortement recommandé d'utiliser le plugin OpenVPN pour résoudre complètement ce problème.

Il peut également être utile de consulter les directives de US-CERT ici également. Smart Multi-Homed Name Resolution a des problèmes de sécurité si importants qui lui sont associés que l'agence gouvernementale a émis sa propre alerte sur le sujet.

Le problème # 5: Teredo

Teredo est la technologie de Microsoft pour améliorer la compatibilité entre IPv4 et IPv6, et est une fonction intégrée des systèmes d'exploitation Windows. Pour certains, il s'agit d'une technologie de transition essentielle qui permet à IPv4 et IPv6 de coexister sans problème, permettant d'envoyer, de recevoir et de comprendre des adresses v6 sur des connexions v4. Pour les utilisateurs VPN, il s'agit surtout d'un trou de sécurité flagrant. Étant donné que Teredo est un protocole de tunneling, il peut souvent avoir la priorité sur le tunnel crypté de votre VPN, le contournant et provoquant ainsi des fuites DNS.

La solution:

Heureusement, Teredo est une fonctionnalité qui est facilement désactivée depuis Windows. Ouvrez l'invite de commande et tapez:

état de l'ensemble teredo de l'interface netsh désactivé

Bien que vous puissiez rencontrer des problèmes lors de la connexion à certains sites Web ou serveurs ou lors de l'utilisation d'applications torrent, la désactivation de Teredo est un choix beaucoup plus sûr pour les utilisateurs VPN. Il est également recommandé de désactiver Teredo et les autres options IPv6 dans les paramètres de votre routeur ou de votre adaptateur réseau, pour vous assurer qu'aucun trafic ne peut contourner le tunnel de votre VPN.

Prévenir les fuites futures

prévenir les fuites vns de DNSMaintenant que vous avez testé une fuite DNS et que vous en ressortez propre ou que vous avez découvert et corrigé une fuite, il est temps de chercher à minimiser les chances que votre VPN déclenche une fuite à l'avenir.

Tout d'abord, assurez-vous que toutes les corrections ci-dessus ont été effectuées à l'avance; désactivez la résolution de noms Teredo et Smart Multi-Homed, assurez-vous que votre VPN prend en charge ou bloque le trafic IPv6, etc..

1. Modifiez les paramètres pour un serveur DNS indépendant et fiable

Votre routeur ou votre adaptateur réseau doit avoir un moyen de modifier les paramètres TCP / IP, où vous pouvez spécifier des serveurs DNS de confiance particuliers par leurs adresses IP. De nombreux fournisseurs VPN auront leurs propres serveurs DNS, et l'utilisation du VPN vous connectera souvent automatiquement à ceux-ci; consultez la prise en charge de votre VPN pour plus d'informations.

Si votre VPN ne dispose pas de serveurs propriétaires, une alternative populaire consiste à utiliser un serveur DNS tiers ouvert tel que Google Open DNS. Pour modifier vos paramètres DNS dans Windows 10:

  1. Accédez à votre panneau de contrôle
  2. Cliquez sur "Réseau et Internet"
  3. Cliquez sur «Centre Réseau et partage»
  4. Cliquez sur «Modifier les paramètres de l'adaptateur» sur le panneau de gauche.
  5. Faites un clic droit sur l'icône de votre réseau et sélectionnez «Propriétés»
  6. Localisez «Internet Protocol Version 4» dans la fenêtre qui s'ouvre; cliquez dessus puis cliquez sur «Propriétés»
  7. Cliquez sur «Utiliser les adresses de serveur DNS suivantes»

Vous pouvez maintenant entrer une adresse préférée et alternative pour les serveurs DNS. Cela peut être n'importe quel serveur que vous souhaitez, mais pour Google Open DNS, le serveur DNS préféré devrait être 8.8.8.8, tandis que le serveur DNS alternatif devrait être 8.8.4.4. Voir figure 4.

IPV 4

Figure 4

Vous pouvez également souhaiter modifier les paramètres DNS de votre routeur - reportez-vous à votre manuel ou au support de votre appareil spécifique pour plus d'informations..

2. Utilisez un pare-feu ou votre VPN pour bloquer le trafic non VPN

Certains clients VPN incluront une fonctionnalité pour bloquer automatiquement tout trafic ne passant pas par le VPN - recherchez une option de «liaison IP». Si vous n'avez pas encore de VPN, pensez à en obtenir un d'ici.

Alternativement, vous pouvez configurer votre pare-feu pour autoriser uniquement le trafic entrant et sortant via votre VPN. Vous pouvez également modifier vos paramètres de pare-feu Windows:

  1. Assurez-vous que vous êtes déjà connecté à votre VPN.
  2. Ouvrez le Centre Réseau et partage et assurez-vous que vous pouvez voir à la fois votre connexion FAI (qui devrait apparaître comme «Réseau») et votre VPN (qui devrait apparaître comme le nom du VPN). Le «réseau» doit être un réseau domestique, tandis que votre VPN doit être un réseau public. Si l'un d'eux est défini sur quelque chose de différent, vous devrez cliquer dessus et le définir sur le type de réseau approprié dans la fenêtre qui s'ouvre..
  3. Assurez-vous que vous êtes connecté en tant qu'administrateur sur votre ordinateur et ouvrez les paramètres du pare-feu Windows (les étapes exactes varient en fonction de la version de Windows que vous utilisez).
  4. Cliquez sur «Paramètres avancés» (voir figure 5).
  5. Localisez «Règles entrantes» sur le panneau de gauche et cliquez dessus.
  6. Dans le panneau de droite, sous Actions, vous devriez voir une option pour «Nouvelle règle…». Cliquez ici.
  7. Dans la nouvelle fenêtre, choisissez «Programme» et cliquez sur Suivant.
  8. Choisissez «Tous les programmes» (ou sélectionnez un programme individuel pour lequel vous souhaitez bloquer le trafic non VPN) et cliquez sur Suivant.
  9. Choisissez "Bloquer la connexion" et cliquez sur Suivant.
  10. Cochez «Domaine» et «Privé» mais assurez-vous que «Public» n'est pas coché. Cliquez sur Suivant.
  11. Vous devriez être de retour dans le menu Paramètres avancés du Pare-feu Windows; recherchez «Règles sortantes» et répétez les étapes 6 à 10.

les fenêtres

Figure 5

3. Effectuez régulièrement un test de fuite DNS

Reportez-vous à la section «Comment savoir si mon VPN présente une fuite DNS?» Ci-dessus pour obtenir des instructions. La prévention n'est pas à toute épreuve, et il est important de vérifier fréquemment que toutes vos précautions tiennent toujours..

4. Envisagez un logiciel de «surveillance» VPN

Cela peut ajouter des dépenses supplémentaires en plus de votre abonnement VPN existant, mais la possibilité de surveiller le trafic de votre VPN en temps réel vous permettra de voir en un coup d'œil si une vérification DNS va au mauvais serveur. Certains produits de surveillance VPN offrent également des outils automatisés supplémentaires pour corriger les fuites DNS.

5. Modifiez votre VPN si nécessaire

Vous avez besoin du maximum d'intimité possible. Le VPN idéal aura une protection intégrée contre les fuites DNS, une compatibilité IPv6 complète, la prise en charge des dernières versions d'OpenVPN ou du protocole de votre choix et des fonctionnalités en place pour contrer les mandataires DNS transparents. Essayez les comparaisons et les critiques approfondies de thebestvpn.com pour trouver le VPN qui offre tout ce dont vous avez besoin pour garder vos données de navigation privées.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me