C'est assez technique mais bon à savoir

prescripteur a écrit

surtout parce que un clone de Mozilla est souvent la porte d'entrée dans TOR.

Le tor browser n'est pas concerné. Donc aucune inquiétude à avoir là dessus.


Déjà, je résume l'article.

Quand vous visitez un site comme www.psychoactif.org, votre navigateur ne sait pas ce que c'est. Lui, il ne comprend que les addresses IP. Donc quand vous rentrez www.psychoactif.org dans votre barre d'URL (ou que vous cliquez sur un lien, c'est pareil), votre navigateur va d'abord interroger un Domain Name Server (DNS) qui est celui de votre fournisseur d'accès à internet et qui a pour fonction de convertir une url en addresse IP.

Votre navigateur, concrètement, interroge le DNS en lui demandant ou se trouve www.psychoactif.org, et le DNS lui répond "www.psychoactif.org se trouve à l'addresse 213.186.33.24". On appelle ça une résolution DNS et c'est une fois que la résolution a été faite que votre navigateur peut commencer à communiquer avec PA.



Le fait que les DNS soient contrôlés par les FAI a 3 implications :

- Le FAI peut savoir quels sites vous avez visité

- Le FAI peut interdire au DNS de procéder à la résolution de certaines URL. C'est de cette façon que des sites comme sci-hub sont bloqués

- Le FAI peut modifier les enregistrements des serveurs pour faire pointer les URL vers des ip mensongères. On appelle ça des DNS menteurs, ça a de très graves implications de sécurité, et si vous êtes chez SFR, vous êtes particulièrement concernés (Source 1, Source 2)



De plus, le traffic DNS n'est pas chiffré. Ca veut dire que n'importe quel intermédiaire entre vous et le serveur DNS peut aussi savoir quel site vous visitez.

L'idée de Mozilla, c'est de chiffrer le protocole DNS à travers le HTTPS, qui est chiffré. C'est une excellente idée en soi, sauf qu'elle a un problème : aujourd'hui, seuls les DNS de Cloudflare supportent le DNS over HTTPS. Ca veut dire qu'au lieu de faire confiance à vos fournisseur respectif, tout le monde fera confiance à un seul DNS. Et ça aussi ça pose un problème de sécurité : on appelle ça un point central de défaillance : si le serveur est compromis, tout le monde tombe ! Et la centralisation de la résolution DNS facilite l'espionage de masse par les agences gouvernementales.


Pourquoi le Tor browser n'est pas concerné ?

Déjà parce que la version actuelle du Tor browser utilise une version de firefox dans laquelle la fonctionnalité DNS over HTTPS n'est pas implémentée.

Et ensuite parce que le Tor browser éxécute la résolution DNS à travers le réseau Tor et c'est le relai de sortie qui se charge de la faire sur le DNS de son fournisseur.

Dernière modification par Yog-Sothoth (13 septembre 2019 à  02:14)

Yog-Sothoth a écrit

LemonIce a écrit

Aussi on peut librement et légalement se passer des DNS de son FAI et en choisir un autre ^^

Tootafay ! Et il est même possible d'installer un serveur DNS sur sa propre machine afin qu'elle effectue elle même la résolution DNS !

Voilà un petit tuto pour ceux que ça intéresse de changer de DNS :
https://www.numerama.com/tech/208908-co … ndows.html