Sommaire
C’est quoi un DNS ?
Vous êtes sur votre navigateur, et vous voulez vous rendre sur lesite.com
Donc vous tapez lesite.com ou vous cherchez lesite sur votre moteur de recherche et vous tomber sur lesite.com
Il y a quelque chose d’invisible qui s’est passé.
Pour arriver sur lesite.com il a fallu que votre ordinateur passe par un « Serveur DNS »
Explication :
Chaque site à une adresse IP (85.323.175.200).
Pour se rendre sur un site, au lieu de taper lesite.com il faudrait taper son adresse IP, par exemple : http://85.323.175.200/
Vous pouvez tout de suite remarquer quelque chose :
C’est chiant à taper et surtout : c’est impossible à retenir.
Nous humains, on préfère retenir des noms, des mots, des marques, des concepts. C’est beaucoup plus palpable que des chiffres.
Donc on a créé les noms de domaine. Un nom de domaine c’est ce que vous voyez tous les jours, par exemple : lesite.com.
Le problème, c’est que nous humains, on fonctionnaient avec des noms de domaine, mais les ordinateurs eux fonctionnaient avec des adresses IP. Parce que les ordinateurs, eux, les mots, les marques, les concepts tous ça, ça ne leur parle pas trop. Eux, ils veulent des chiffres.
Alors il a fallu trouver un truc qui fasse le lien entre le nom de domaine et l’adresse IP : le serveur DNS
Quand vous tapez lesite.com ce qu’il se passe, c’est :
Votre ordinateur dit au serveur DNS que vous voulez accéder à « lesite.com »
Et le serveur DNS dit à l’ordinateur que l’adresse IP du site c’est « 85.323.175.200 »
Comme ça tout le monde est content. L’être humain fonctionne avec des mots (noms de domaine), et l’ordinateur avec des chiffres (adresses IP).
Le serveur DNS c’est comme si vous étiez avec un ami bilingue qui se charge de faire la traduction entre vous et la personne avec qui vous essayez de communiquer. Votre ami vous parle français à vous, et il parle anglais à la personne avec qui vous essayez de communiquer et l’échange ce fait comme ça.
Pourquoi avoir un DNS de confiance ?
Peut-être que vous commencez à comprendre pourquoi il faut avoir un serveur DNS qui respecte la vie privée.
Votre ami qui fait la traduction, sait ce que vous dites à la personne avec qui vous essayez de communiquer.
Si vous dites à votre ami, de demander à la personne où se trouvent les toilettes, votre ami saura que vous cherchez à aller aux toilettes. Logique.
C’est exactement ce qu’il se passe avec un DNS.
Vous dites au DNS « Donne l’adresse IP de « lesite.com » à mon ordinateur ». Du coup le serveur DNS sait que vous accéder à « lesite.com »
Et il en sait même plus.
Un serveur DNS sait qui lui demande cette information (votre adresse IP), quand on lui a demandé (quelle date), à partir de quelle localisation (à partir de l’adresse IP⁾, et il reçoit même des metadata tel que la résolution de votre écran, la version de votre système d’exploitation etc…) (EDIT : en fait, non, pas de medata envoyé, merci Stéphane pour la correction)
Vous préférez avoir un traducteur de confiance ?
Alors vous préférez sans doute avoir un DNS de confiance.
ℹ️ Information
Même si des DNS de confiance sont mieux que les DNS de votre FAI. Ils ne sont pas à 100% sécurisés, comme l’explique cet article.
Si vous n’y comprenez pas grand chose : c’est quand même mieux d’utiliser la solution que je vous propose, que de laisser les DNS de votre FAI par défaut 🙂
Merci Stéphane pour la correction dans les commentaires
Par quoi remplacer ses DNS ?
Par défaut vous utilisez les DNS de votre fournisseur d’accès à Internet.
Je ne dirais pas que ce sont les DNS à qui il faut faire le plus confiance.
Surtout quand il y a une alternative meilleure à côté.
Je propose de remplacer vos DNS par ceux de FDN.
FDN (French Data Network) est un fournisseur d’accès à Internet associatif (loi 1901)
C’est même le plus vieux en France encore en activité ! (La création remonte à 1992)
Ils sont connus pour lutter pour Internet libre, en défendant par exemple la neutralité du net.
Et on ne peut pas en dire autant de tout le monde (je vous invite à chercher neutralité du net + le nom de votre FAI)
(pour les connaisseurs, ils ont aussi favorisé l’émergence de La Quadrature Du Net)
Si vous voulez en savoir plus sur FDN, je vous invite à regarder cette page et cette page.
Comment changer ses DNS sur Windows ?
1 Faites un clic droit sur l’icône du Wi-Fi (ou Ethernet) en bas à droite de l’écran
2 Cliquez sur « Ouvrir les paramètres réseau et internet » .
3 Cliquez sur « Modifier les options d’adaptateur » .
4 Faites un clic droit sur votre carte Wi-Fi, Clé Wi-Fi, ou sur « Ethernet »
5 Cliquez sur « Propriétés » .
6 Cliquez sur « Protocole Internet version 4 (TCP/IPv4) » .
8 Dans la même fenêtre, cliquez sur le bouton propriétés
9 Cliquez sur le petit rond à côté de la phrase « Utiliser l’adresse de serveur DNS suivante : » .
10 Saisissez 80.67.169.12 pour le serveur DNS préféré et 80.67.169.40 pour le serveur DNS auxiliaire
11 Cliquez sur « OK » .
Voilà, vous avez changé vos DNS !
(et vous pouvez fermer toutes les fenêtres)
Vos DNS sont-ils compromis ?
Comment mes DNS pourraient être compromis alors que je viens juste de les changer ?
Certain Fournisseurs d’accès à Internet utilisent une technique appelée « Transparent DNS proxies »
Cela permet de forcer votre ordinateur à utiliser les DNS de votre Fournisseur d’accès Internet même si vous avez configuré manuellement (comme on vient de le faire) d’autres DNS.
Pour voir si votre fournisseur d’accès Internet utilise cette technique :
1 Rendez-vous sur le site DNS Leak Test
2 Cliquez sur « Extented Test » .
3 Patientez que le test soit fini
4 Si vous avez ce résultat c’est ok. Votre FAI n’utilise pas de Transparent DNS proxies .
Si vous voyez le nom de votre FAI (Orange, Bouygue…) dans la colonne « ISP », ce n’est pas bon !
- Soit vous avez mal configuré vos DNS.
- Soit votre FAI utilise un Transparent DNS proxies.
Fin
Vous utilisez maintenant des DNS de confiance 🙂
Si vous avez des questions ou besoin d’aide, je suis disponible dans les commentaires pour vous répondre 🔧
J’aime bien l’exemple des toilettes.
Il y a quand même des erreurs assez énormes, qui nuisent à la crédibilité de l’article. 1) Dire « Au début d’internet, pour se rendre sur un site, au lieu de taper lesite.com il fallait taper son adresse IP » alors que le DNS existait bien avant le Web 2) « Un serveur DNS […] reçoit même des metadata tel que la résolution de votre écran » Mais où diable avez-vous lu cela alors que justement le protocole DNS ne laisse fuir que très peu d’informations sur le client ?
Je suggère aussi de corriger l’orthographe « vous taper lesite.com » -> tapez, « nous humain » -> humainS, « les ordinateurs eux fonctionnait » -> fonctionnaient, « vous commencer à comprendre » -> commencez, « où se trouve les toilettes » -> trouvent, « à partir de quelle location » -> lieu, je suppose, à moins qu’un ne fasse du DNS depuis AirBnb, « vous avez changez vos DNS » -> changé, « Certain Fournisseur d’accès » -> fournisseurS
Le conseil d’utiliser des résolveurs publics sur UDP est mauvais, pour les raisons expliquées en https://www.bortzmeyer.org/dns-resolveurs-publics.html et d’ailleurs vous en donnez une vous-même (le « transparent proxy »). Il faudrait plutôt suggérer du DNS sécurisé, sur TLS ou sur HTTPS.
Quant à l’explication du pourquoi du DNS (les adresses IP ne sont pas mémorisables), je sais qu’elle est présente partout mais ce n’est pas une raison pour la reprendre. En réalité, la motivation la plus importante est la stabilité https://www.bortzmeyer.org/pourquoi-le-dns.html
^^
Merci pour toutes vos corrections historique et techniques !
J’ai modifier/corriger un peu l’article pour le rendre plus correct.
« Un serveur DNS […] reçoit même des metadata tel que la résolution de votre écran » Mais où diable avez-vous lu cela alors que justement le protocole DNS ne laisse fuir que très peu d’informations sur le client ? »
-Sur la vidéo d’une personne qui fait des vidéos sur YouTube « Paf LeGeek » et qui est plus calé techniquement que moi : https://invidio.us/watch?v=S1f4NB72lMQ
Le conseil d’utiliser des résolveurs publics sur UDP est mauvais, pour les raisons expliquées en https://www.bortzmeyer.org/dns-resolveurs-publics.html et d’ailleurs vous en donnez une vous-même (le « transparent proxy »). Il faudrait plutôt suggérer du DNS sécurisé, sur TLS ou sur HTTPS.
-Le soucis, c’est que la solution optimale n’est pas accessible au plus grand nombre. Combien de personnes ont accès à une association qui distribue une brique internet clé en main ? Peu.
C’est une bonne solution, mais si je veut rendre le truc accessible au plus grand nombre, je dois faire des compromis. Utiliser les DNS de la FDN est toujours mieux qu’utiliser les DNS du FAI, c’est pas optimale, mais c’est quand même une amélioration.
Après, c’est pas pas dit que la brique internet, ne fasse pas le sujet d’un article dédié plus tard pour compléter cette article 🙂
Quant à l’explication du pourquoi du DNS (les adresses IP ne sont pas mémorisables), je sais qu’elle est présente partout mais ce n’est pas une raison pour la reprendre. En réalité, la motivation la plus importante est la stabilité
C’est un petit détail qui complique l’explication je trouve, même si c’est plus exacte. De toute manière, même sans cette histoire de stabilité on aurait été « forcé » d’utiliser des nom de domaine pour l’histoire de la simplicité.
On enregistre une personne dans les contacts de notre téléphone pour faire le lien facilement avec son numéro, une sorte de nom de domaine.
Pour les fautes d’orthographe, c’est corrigé aussi 😉
Merci encore !
Y’a pas un souci sur le 2ème octet au niveau de l’adresse « 85.323.175.200 », j’veux bien croire que c’est pour l’exemple mais quand même ! Sinon très bon article!
Je n’indique pas la dimension dans laquelle se passe mon exemple.
En l’occurrence l’exemple se passe en l’an 3650 et effectivement en 3650 le 2ème octet de l’adresse IP peux excéder 255. 😎
Merci à toi 🙂
Ahah ! J’adore ! En tout cas, au plaisir de pouvoir te lire! 🙂
J’ai juste feuilleté très vite fait mais mon attention a été immédiatement absorbée lorsque je suis tombé sur une adresse IPv5. Oui V5 ! : 85.323.175.200.
Pour rappel, les valeurs ne peuvent excéder 255. Aller, au boulot, il faut refaire toute les images ;D.
Vous allez me perdre avec votre rigueur technique 😂
Bonjour, j’ai plusieurs remarques à propos du contenu, mais avant tout je tiens à dire : merci, c’est encore un bel article de vulgarisation. 🙂
Cependant j’ai plusieurs remarques :
une coquille :
« Si vous dites à votre ami, de demander à la personne où se trouve les toilettes, votre ami sera que vous cherchez à aller aux toilettes. » Je pense que tu veux dire « saura ».
une erreur:
« à partir de quelle location, et il reçoit même des metadata tel que la résolution de votre écran, la version de votre système d’exploitation etc…) » La location (tu veux dire localisation ?) n’est pas fournie dans le lot de données, mais elle peut être estimée à partir de l’adresse IP. Cependant, le résolveur DNS ne reçoit jamais d’information relatives à la résolution de l’écran ni sur le système d’exploitation. Ce genre de données n’est pas transmises lors d’une requête DNS.
une suggestion:
« Vous préférez avoir un ami de confiance ? » je pense que dire « avoir un traducteur de confiance » serait plus parlant.
Merci
Bonjour 🙂
Effectivement, on m’a fait remonté ces petites erreurs, et j’ai corrigés l’article 😉
Bien vu, pour le « traducteur de confiance », je préfère aussi, je modifié !
(la faute d’orthographe a été corrigé aussi)
Merci à toi pour tes corrections et remerciement !
Superbe article ! A la portée de tous et tellement important !
J’essaye de simplifier au max 🙂
Merci à toi !
Moi aussi, le 323 m’a sauté aux yeux.
Mon cerveau m’a dit, en bon vieux BASIC :
SYNTAX ERROR : VALUE OUT OF RANGE
😀
Mise à part cette petite étourderie, j’ai bien aimé le contenu.
J’ai même envoyé l’adresse du site à un copain, pas geek du tout. Car ça explique très bien ce qu’est un serveur DNS, à quoi ça sert, d’où ça vient et pourquoi ça existe.
Ahah 😁
Cool, content que ça puisse aider !
Merci pour ton commentaire 🙂
« Au début d’internet, pour se rendre sur un site, au lieu de taper lesite.com il fallait taper son adresse IP, par exemple : http://85.323.175.200/ »
Le premier « DNS » (un simple fichier host centralisé) date de l’époque de l’ARPANET, soit l’ancêtre d’Internet.
Les serveurs DNS (années 80) ont été mis en place bien avant le web (années 90).
https://en.wikipedia.org/wiki/Domain_Name_System#History
Tu pourrais juste dire : « Une adresse sous forme numérique est chiant à taper et surtout : c’est impossible à retenir. »
Concernant l’adresse en 323, tu peux utiliser des adresses fictives : https://tools.ietf.org/html/rfc5737
Ces adresses sont conçues pour écrire de la documentation. Par exemple 203.0.113.1
Maintenant tu vas me dire : mais pourquoi être précis, pourquoi autant de « rigueur technique », c’est juste de la vulgarisation.
Justement, comme tu t’adresses aux débutants, ton article devient une information de référence pour eux. Il faut donc être trés précis pour éviter qu’ils ne partent sur de mauvaises bases.
En plus cet article semble avoir un certain succès. Donc raison de plus…
Pour le premier point, j’ai modifié l’article pour le rendre plus exact 😉
Merci pour l’outil, je vais garder ça de côté pour de futur exemple 😉
Non, c’est bien toutes ces corrections, ça permet de rendre l’article plus qualitatif 🙂
Après les détails historique, et techniques de l’adresse IP, c’est pas vraiment un truc qu’un complet débutant va faire attention ou même retenir et ça ne va pas gêner son utilisation ou la rendre moins sécurisé, c’est pour ça que je suis un peu plus cool là dessus. Je forme pas les gens sur la technique ou l’histoire, je veux juste essayer de rendre leur utilisation un peu plus « Privacy-Compliant »
Merci pour ton commentaire !
Merci. Remarquable vulgarisation pour le néophyte et pour qui veut aller plus loin dans cette connaissance.
Merci à toi d’avoir pris le temps de mettre ce commentaire sympa 🙂
Avec plaisir. La manip m’a l’air plus compliqué sur android. J’ai tenté l’opération sur une tablette et soit la connexion internet est coupé, soit un DNS du FAI apparaît toujours dans la liste après le DNS leak test. La passerelle est obligatoire pour pouvoir enregistrer les modification. Je n’ai encore rien trouvé sur le net pour résoudre le problème. Aussi, je suis preneur si tu as éventuellement une solution.
Merci
Oui, pas bête, il faudrait que je fasse un tuto sur Android si je trouve comment gérer ça.
Merci pour l’idée 🙂
Pour ma part, j’utilise l’application « Netguard » disponible sur F-Droid .
J’ai pris la décision de faire un don au développeur (7€, c’est pas la mort pour une vie 🙂 ). L’application fait office de VPN local (pas besoin de root) sur le téléphone et permet de changer facilement le DNS sans leaks (selon https://bash.ws/dnsleak).
A part ça, super article comme d’hab’! 🙂
Arf, ça passe en VPN ?
Le truc, c’est que j’utilise Blokada et c’est en VPN aussi. Et je préfère avoir Blokada que des DNS personnalisés…
C’est le problème avec Android avec ce genre d’app, tout passe en VPN, mais il peux y avoir seulement 1 seul VPN actif…
Merci 😊
Blokada te permet justement de choisir les DNS de l’asso FDN 🙂
Merci ! Je ne savais pas qu’on pouvait faire ça. Je ferai un tuto prochainement sur ça 🙂
Un tel article, je devais le lire. Tout ce qui m’aide à protéger ma navigation sur le net m’intéresse.
Donc merci.
Euh, juste un truc qui pique un peu, c’est utiliser Window’s …
« Microsoft ne mérite pas votre confiance » https://sebsauvage.net/wiki/doku.php?id=microsoft
Se protéger du rhume et côtoyer le choléra ?
Windows est clairement à proscrire.
Mais comme j’essaye de me mettre à la portée d’un débutant qui voudrait protéger sa vie privée, je suis obligé d’utiliser les outils qu’il utilise. En l’occurrence Windows.
Mais, c’est prévu de faire des articles sur Linux aussi 😉 !