Ajout 12/08/2010: des serveurs DNS non menteurs (contrairement à OpenDNS) et peu surchargés (contrairement à Level3) ? Vous pouvez utiliser des serveurs sans logs faisant partie d’OpenNIC Public DNS. Recommandation

Dans cet article, je vous explique brièvement pourquoi et comment changer les serveurs DNS utilisés pour votre connexion internet.

Les serveurs DNS, c’est quoi ?

Pour faire simple, ce sont eux les piliers du web: votre navigateur va demander à un serveur DNS « à qui appartient l’adresse www.fansub-streaming.eu ? » , celui-ci répond: « à 213.186.33.19 » (ce qui est vrai, cette adresse est chez OVH). Vous comprenez bien leur importance: grâce à eux, vous n’avez pas besoin de retenir l’adresse IP de Fansub Streaming (213.186…), juste « www.fansub-streaming.eu ». Plus simple, non ?

Problème: le système DNS utilisé par internet était prévu pour un réseau entre universités, internet à ses débuts quand il était un réseau de confiance. Les techniques de piratage de type DNS poisoning existent, récemment une nouvelle faille a été découverte et exposée en urgence aux éditeurs de systèmes d’exploitation et aux fournisseurs d’accès internet afin de la corriger le plus vite possible. Sauf que la faille a été rendue publique AVANT qu’ils aient tous pu s’adapter, générant un vent de panique. Oui, même les serveurs DNS de Mandarine, opérateur historique et premier FAI en France, n’étaient pas sécurisés au moment de la publication ! Si cette faille avait été exploitée, des millions de personnes auraient été escroquées.

Ainsi, en tapant par exemple « ebay.fr », vous auriez pu être dirigés vers le site d’un pirate qui aurait été fort content de connaitre votre numéro de carte bancaire.

Alors, que faire si on ne fait pas confiance aux serveurs DNS de son FAI ? utiliser OpenDNS ou les serveurs de Level 3.

Level 3 est l’un des gestionnaires de root servers, les « serveurs-maitres DNS » d’internet qui sont utilisés par les simples serveurs DNS quand ils connaissent pas une adresse. Mais tout le monde peut se servir de leurs serveurs DNS. Pour utiliser leurs serveurs DNS, mettez 4.2.2.1 et 4.2.2.2.

OpenDNS est un service à but non lucratif géré par des bénévoles et qui a été l’un des premiers à corriger la faille DNS de leurs serveurs. Ils peuvent agir en l’espace de quelques jours, alors que les FAI « trainent » avec la faille pendant des semaines. Utiliser OpenDNS n’est vraiment pas difficile: il n’y a pas besoin d’inscription ou un truc du genre. Inspirez-vous tout simplement de mes paramètres persos:

Comme vous pouvez voir, les serveurs DNS d’OpenDNS sont: 208.67.220.220 et 208.67.222.222. Vous trouvez d’autres explications sur le site d’OpenDNS. Vous pouvez même changer les DNS utilisés par votre routeur si celui-ci le permet (la Livebouse, par exemple, ne le permet pas et reste vulnérable si les serveurs DNS de Mandarine sont piratés).

Et si les serveurs d’OpenDNS ne marchent plus ?

Pas de panique, vous pouvez toujours ajouter le serveur DNS de votre FAI pour qu’il soit utilisé en cas de besoin.

Niveau performances, ça a un impact ?

Oui, positif même: les serveurs OpenDNS « disent » plus vite que les serveurs de votre FAI à quelle adresse IP correspond un nom de domaine. Mais c’est de l’ordre de la demi-seconde au pire: les serveurs DNS n’ont aucune influence sur votre vitesse de connexion.

Technique toute simple pour être un peu mieux protégé contre le fishing et contre la censure d’internet

Note: quand les serveurs d’OpenDNS ne connaissent pas une adresse, une page d’un moteur de recherche est affichée avec les résultats correspondants.