Entre confidentialité et sécurité

L’ idée d’ un billet (ambitieux) autour de la confidentialité et de la sécurité m ‘est venu à la suite de FireSheep, du firewall NAT de VyprVPN et du besoin grandissant du tout à chacun de protéger sa vie privée

La suite de ce billet n’est pour l’ instant qu’ hypothèse et demande à être vérifié sans a priori, je vous remercie par avance de votre participation. Si vous avez des infos, des expériences à nous faire partager au sujet des Anti-Virus, des pare-feu, des navigateurs et de leur options de sécurité, des certificats SSL et des logiciels pour effacer toutes traces de surf (comme CCleaner) alors n’ hésitez pas à commenter ce billet que j’ espère le plus efficient possible

Ce billet (à compléter au fur et à mesure grâce à mes recherches et à vos commentaires) voudrait avoir deux axes de développement

  • Différencier Sécurité et confidentialité. La sécurité s ‘entend par protection, empêcher toutes intrusions extérieures dans son réseau (wifi // ports, …) ou bien cacher son I.P réelle. Contrairement à une idée reçu un VPN  a besoin d’ être bien couplé à un Anti-Virus, Firewall et Routeur pour offrir le maximum de sécurité. La confidentialité concerne toutes les traces que notre activité sur le net laisse (cookies, historique de navigation, I.P sur les logs, ….), on peut la mettre en parallèle avec la notion de vie privée. Ainsi les VPN ont un rôle à jouer au niveau de l’ I.P car ces derniers empêchent toutes intrusions publicitaires par exemple ou bien permettent  simplement à tout internaute de ne pas lier ses habitudes de surf à son I.P.
  • Montrer que le VPN doit faire partie intégrante d’ une suite logicielle permettant d’ optimiser la sécurité d’ un réseau. Faire du VPN une partie d’ un tout. La meilleure preuve que seul un VPN ne rend pas votre réseau infaillible est la fonction NAT

NAT ? Le NAT effectue une traduction d’adresses entre votre réseau local (LAN) et le réseau internet, afin de « masquer » les machines du réseau local. Même si vous avez plusieurs ordinateurs connectés, vu d’internet on ne voit qu’une seule adresse IP: celle de votre box. Les modems-routeurs (fonction NAT) sécurisent en partie votre ou vos ordinateurs. Tous les ordinateurs de votre réseau local seront protégés contre les connexions entrantes, une première ligne de défense, mais ne contrôle absolument pas les connexions sortantes.

Lorsque vous êtes connecté à un VPN votre ordinateur est directement accessible depuis internet : N’importe qui peut essayer de s’y connecter à partir de votre IP publique. La majorité des fournisseurs VPN vous donnent une IP publique. Certains VPN  donnent une IP Privée de type 10.x.x.x ou 172.16.x.x ou 192.168.x.x. Lorsque le VPNfonctionne alors votre protection NAT cesse. Cette fonction NAT est donnée par votre modem routeur (Freebox , NeufBox, liveBox, …) qui attribue à chaque poste connecté une adresse adresse IP privée (10.x.x.x ou 172.16.x.x ou 192.168.x.x). La box en mode routeur agit comme intermédiaire entre votre réseau local et internet. La connexion directe d’internet vers votre ordinateur n’est plus possible, à moins de mettre en place une redirection de ports (port forwarding !!!). En mode routeur, votre réseau local (192.168.x.x) est isolé du réseau internet par le routeur qui contrôle les échanges.

Ip publique ou Ip privée ?

Non les IP publiques que donnent les serveurs VPN ne sont pas dangereuses. Ne courez pas après un VPN qui offre absolument une IP privée car souvent tous les clients du fournisseurs VPN partagent la même IP publique. Inconvénient important car si un utilisateur se fait blacklisté alors tous les utilisateurs (connecté avec une IP privée) de cette ip publique se font blacklister.

Les solutions ?

  • Prendre l’ option firewall NAT. Certains fournisseurs de VPN comme VyprVPN propose une sécurité supplémentaire à ses utilisateurs VPN : le pare-feu NAT. Protection facultative et proposée en option à 5 $ mensuel. Seules les connexions émanant de votre machine seront autorisées à entrer. Non seulement votre réseau est protégé des attaques entrantes mais en plus vous bénéficier des IP publiques dédiées qui ne sont pas blacklistés par les autres utilisateurs. Vous avez donc la protection du mécanisme NAT et une IP publique dédié

  • Installer un pare-feu personnel type Zone alarm, Sygate, Kerio. Pour les utilisateurs de Windows il existe le firewall intégré de l’ O.S. C’est la solution la moins couteuse et la plus simple. Un firewall bien configuré conviendra à la majorité des utilisateurs.
  • Protéger votre ordinateur avec un Anti-virus efficace et mis à jour régulièrement. On ne peut que vous conseiller AntiVir dans sa version gratuite. La version payante intègre quant à elle un ensemble d’ outils sécuritaire comme le firewall intégré, l’ antispyware, l’ antiphishing,…. la liste est longue. Avira AntiVir Premium V10 coûte 19.95 € pour UN An.
  • Installer votre VPN sur un routeur firewall. C’ est notre solution préférée sur le blog UN VPN n’ assure t-il pas ses fonctions de confidentialité et de sécurité qu’ implanter sur un routeur ?. Un routeur a deux avantages:
  1. En cas de déconnexions de votre vpn, votre I.P réelle ne réapparaît pas. Cela à l’ avantage de se passer d’ un logiciel tiers (comme VPNcheck) et d’ être quasi-infaillible (c ‘est du hardware !!!)
  2. Un routeur comme l’ Asus WNR3500L permet de rendre tous vos ports « STEALTH » ou  « MASQUÉ » , cela signifie que votre ordinateur est invisible pour des pirates venant d’Internet et protégé par un firewall ou tout autre logiciel similaire. Surtout même après l’ implantation de votre VPN, tous vos ports restent masqués. Vous rétablissez votre pare-feu NAT
Share

Méfiez-vous des points d’accès Wifi non sécurisés à cause de FireSheep

FireSheep l’ extension pour le navigateur Firefox est un vrai danger pour tous les internautes qui se connectent via un réseau Wifi sans fil non sécurisé à un certain nombres de sites comme Twitter, WordPress, Yahoo, Facebook. La liste complète des sites qui permettent à cette extension de montrer sa dangerosité est longue (Amazon, Basecamp, bit.ly, Cisco, CNet, Dropbox, Enom, Evernote, FaceBook, Flickr, FourSquare, Github, Google, Gowalla, Hacker News, Harvest, Windows Live, New York Times, Pivotal Tracker, ToorCon: San Diego, Slicehost, Tumblr, Twitter, WordPress, Yahoo, Yelp).

Le danger est omniprésent: Lorsque vous vous connectez à un de ses sites à partir d’ un réseau sans fil non sécurisé alors une personne extérieure qui a installé cette extension voit exactement tout ce que vous y faîtes et peut aussi hacker, voler votre compte.

Le principe est simple: Lorsque vous ouvrez une session sur un site tel que Facebook, celui-ci émet un cookie d’autorisation. En gros, ce cookie vous permet de naviguer d’une page à l’autre sur le site sans devoir constamment réinscrire votre mot de passe. Une personne qui utilise FireSheep récupérera votre cookie Facebook et ouvrira une session active sur votre réseau social favori. Les cookies de session pour maintenir la connexion de l’utilisateur sont évidemment utiles, mais il expose les utilisateurs à des problèmes de sécurité importants pour ceux qui accèdent le Web depuis un point d’accès Wifi non sécurisé.

Le résultat est impressionnant: J’avoue avoir été un peu sceptique lors de la sortie de ce plugin FireSheep. Cette méthode de « Session hijacking« , en interceptant les cookies de connexion émis sur des réseaux wifi non protégés, existe depuis longtemps et était réservée à des patriciens du hacking. FireSheep c’est la facilité à portée de main. En le testant moi même j’ ai été bluffé.

Les motivations de l’ auteur: E. Butler veut dénoncer le manque de sécurité que propose les sites Web . Les sites négligent cet aspect en ne fournissant pas de certificat SSL. Il veut pousser les sites à parfaire leur sécurité afin d’éviter que leurs utilisateurs fassent l’ objet d’ attaques inutiles. Le règne du SSL !!! Le concepteur du plugin ne veut pas dénoncer le Wifi non sécurisé mais le manque de connexion en HTTPS.

Solutions: L’ auteur en préconise trois (HTTPS-EverywhereForce-TLS — VPN) tout en montrant les limites de chaque solution.

Pour les VPN, il en souligne deux (en Anglais dans le texte et cité intégralement):

  • While we metnioned that VPNs and SSH tunnels can be helpful just above this, we want to emphasize that it’s just pushing the problem to that VPN or SSH endpoint. Your traffic will then leave that server just as it would when it was leaving your laptop, so anyone running Firesheep or other tools could access your data in the same way. These are solutions that require at least some understanding of networking and risks at hand. A blind suggestion of “Use a VPN” doesn’t really solve the problem and may just provide a false sense of security.En fait il pose le problème, récurrent, de la confiance que nous devons avoir vis à vis de notre fournisseur de VPN. C’est pourquoi il faut privilégier les VPN bien établis et sérieux comme VyprVPN

  • Another problem with VPNs is that they don’t work all the time. Sometimes they just disconnect, and your traffic is all routed over your normal interface without any notice. The built in VPN clients on OSX, the iPhone, and iPad are particularly bad at this. C’est pourquoi il faut privilégier l’ OpenVPN plus stable, privilégier des VPN qui assurent une technique et une stabilité de connexion quasi-irréprochable. Ne pas hésiter à installer GuizmoOVPN sur son iphone, ipad.

La sécurité et nous le rejoignons sur ce point ne peut être assurée seulement par un outils, un protocole, un logiciel, …. Les VPN, sujet sur le blog qui nous passionne, sont un outils qui doivent s’ intégrer, rejoindre s’ accumuler à un ensemble. Même si cet outils seul est déjà extrêmement efficace.

Lors de nos tests les résultats anti-FireSheep sont probants avec un VPN !!! On a utilisé VpnTunnel.Se et VyprVPN. Aucun soucis, la colonne latérale est restée vide, VyprVPN et Vpntunnel sont en plus deux VPN de confiance.

Share

Au sujet de l’ article: Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ? par bluetouff

L ‘excellent bluetouff sur son blog: http://bluetouff.com a récemment publié un article intitulé: Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ?

On voulait y apporter quelques remarques pour continuer le débat:

  • Bluettouff relève et insiste sur une contre vérité qui circule sur beaucoup de forums ou de blogs et qui se résume par ces formules: « Téléchargement anonymement derrière un VPN » ou encore « Votre surf est anonyme » …. C’est absolument faux, un VPN ne vous rend pas anonyme sur le net. Un VPN ne vous rend pas invisible sur le web. Un VPN est avant tout un procédé de sécurisation des données qui créé un tunnel chiffré entre vous et le VPN. C’est par conséquent le VPN qui vous attribue une autre adresse IP. L’ adresse IP du VPN est le pendant de ce système de sécurisation par un tunnel chiffré. Le VPN est une passerelle: le trajet entre vous et le vpn est chiffré. Entre le VPN et le web c’est ouvert. La nouvelle IP fait la jonction. Cette nouvelle IP est elle visible. Ainsi un VPN augmente votre confidentialité , protège votre vie privée et empêche toute surveillance ou intrusion du trafic entre le VPN et votre réseau. Un VPN est particulièrement efficace en WIFI contre toutes intrusions malhonnêtes de pirates, le Wifi public (Hotspots gratuits)  étant particulièrement sensible
  • Qui sont les VPN de confiance ? C’est une autre question que l’ article soulève. Je ne crois pas en la possibilité d’ un VPN créé par une entité comme Hadopi pour choper les méchants qui téléchargent le dernier album à la mode. Pour deux raisons:
  1. Sur le plan juridique je ne suis pas sûr de la légalité du système.
  2. Après quelques lettres envoyés (et même avant) le système sera obsolète et inefficace

Par contre il est important de connaître (et là je suis d’ accord) l’ origine du VPN car:

  1. Vous donnez des coordonnées bancaires (CB//paypal) à moins de payer par Ukash
  2. Il faut que la société derrière le VPN soit solide, bien implantée et sérieuse pour vous assurer un service technique et commercial de qualité
  3. La présence ou non, le contenu du « privacy policy » et du ‘T.OS » vont dépendre de l’ implantation géographique du VPN. La durée de conservation des logs dépendra elle aussi du pays du VPN et de la politique interne du VPN vis à vis des logs.
    En général les VPN interdisent (à juste titre) à peu près les mêmes activités qui sont entre autres:
  • Utilisation d’ un VPN à des fins d’activités pédophiles
  • Spamming
  • Pirater ou attaquer d’autres ordinateurs, serveurs, réseaux
  • Diffusion de virus, malwares ou autres spywares
  • Télécharger des fichiers soumis à copyright, droits d’auteurs

C’est pourquoi on vous conseille certains VPN qui sont des sociétés bien établies comme VPNTunnel.Se (qui a un numéro de TVA intra-communautaire) ou bien des serveurs Américains avec des mentions légales apparentes et claires (StrongVPN, VyprVPN Pro). Un article Qui se cache derrière les vpns ? (merci d’ avance à tripleJ) est en cours de rédaction.

  • Hadopi c’est une machine à réduire. Je finis cet article par là où Bluetouff le commençait à cause de cela: « motivées par une recrudescence de spams sur ce blog liés à l’exploitation du bruit autour d’HADOPI. ». Je le place à la fin car pour moi c’est la dernière roue du carrosse. On vous a déjà vanté les multiples avantages d’ utiliser un VPN. Hadopi a été un formidable accélérateur de la popularité de ce protocole de sécurisation. Mais sans Hadopi le VPN aurait connu un succès grandissant, le même qu’ il connaît à l’ étranger dans des pays qui censurent, filtrent, bloquent certains usages d’ Internet. Les VPN comme VyprVPN Pro qui communiquent autour des thèmes de la liberté, de la lutte contre la surveillance (DPI), du bridage votre ligne au nom de la Q.O.S ont bien compris où étaient les véritables enjeux des prochaines années: « reprenez votre internet »

Share

Test AceVPN

On vous propose aujourd’ hui ce test d’ AceVPN qui fait partie de nos partenaires du Blog du VPN en raison de ses qualités et de son sérieux. AceVPN propose un support technique ultra rapide et efficace. Via Mikogo, ils ont même pris le contrôle de notre pc pour vérifier une config L2TP

Vous trouverez aussi une série d’ aides en ligne sur: http://www.acevpn.com/contact-ace-vpn/

Tous les modes de paiements sont acceptés : CB, paypal

Sur le papier AceVPN propose deux niveaux de tarifs:

  • Premium VPN: $5 par mois. Ce forfait est limité à trois niveaux: – 50 GB de données – pas de P2P autorisé – les serveurs situés aux Canada, Suisse, Hollande, Italie, Espagne ne sont pas accessibles.
  • Ultimate VPN: $15 par mois. C’est le forfait sans limite de données ni d’ utilisation. 14 pays sont proposés ( États-Unis, Grande Bretagne, France, Canada, Suisse, Hollande, Italie, Espagne, Allemagne, Irlande, Luxembourg, Moldavie, Roumanie, Suède)

Techniquement AceVPN propose un pack OpenVPN, PPTP et L2PT (en Beta sur les serveurs Américains et Allemands) quelque soit votre environnement (Windows, Linux, MAC) et le support (Ordinateurs, Iphone, Routeurs, laptops, …) utilisé.

1- La configuration sous Windows Seven

PPTP: On vous renvoie au tuto réalisé lors de notre test d’ IpJetable. Le PPTP est facile à configurer. Si vous obtenez une erreur 800 avec l’ adresse par défaut: vpn.acevpn.com , contactez le support qui vous donnera une liste d’ IP au choix pour vous connecter (ne divulguez pas UNE IP sinon elle est blacklistée !!!)

OpenVPN: Il faut installer le logiciel pré-configuré par AceVPN. Il suffit de vous connecter à votre compte utilisateur pour l’ obtenir.

L2TP: Plus rares sont les serveurs VPN à proposer le protocole L2TP. Le protocole L2PT est disponibles sur tous les serveurs (les 9) d’ AceVPN.

Comme le PPTP , le L2TP est procédé de chiffrement (PPTP utilise pour cryptage MPPE, alors que L2TP utilise IPSec). IPSec est plus sûr que MPPE. On va pouvoir vous proposer ci-dessous un tutorial pour installer le L2PT sous Windows Seven.

– Première étape:

Vous configurer AceVPN en PPTP de façon standard. Au cas où je remets une aide rapide pour ceux qui en ont besoin

  1. Ouvrez le «  Panneau de configuration  » (Démarrer -> Panneau de configuration), puis cliquez sur «  Réseau et Internet « 
  2. Cliquez sur «  Centre Réseau et Partage  »  , puis  » Configurer une connexion ou un réseau  » .
  3. Sélectionnez «  Connexion à votre espace de travail  » et cliquez sur «  Suivant  » .
  4. Sélectionnez «  Utiliser ma connexion Internet (VPN)  » .
  5. Entrez l’adresse Internet du serveur
    ex: vpn.acevpn.com
    Entrez le nom que vous voulez dans «  Nom de la destination  » «  ex: ACEVPN  » , et cliquez sur «  Suivant  » .
  6. Entrez votre nom d’utilisateur et votre mot de passe et cliquez sur «  Créer  » .

– Deuxième étape:

* Vous configurer la connexion en L2PT dans les propriétés

* Onglet Options

* Paramètres PPP

* Onglet Sécurité

* Paramètres avancés: vous mettez cette clé: acevpn

2- Les autres supports comme les Routeurs et Smartphones

Ces tutos ci-dessous sont tous en phase de tests. Lorsque l’ on aura trouvé le bon routeur on validera ces tests. Le Linksys wrt54 gl nous a déçu niveau vitesse. On va recevoir un Netgear cette semaine. On vous renvoie à la lecture de nos articles:  Au sujet des routeursNetGear WNR3500L

AceVPN sur routeur DD-WRT en OpenVPN: http://www.vpnblog.net/linksys-wrt54gl-firmware-dd-wrt-acevpn-en-openvpn/

AceVPN sur routeur Tomato en OpenVPN: http://www.vpnblog.net/linksys-wrt54gl-firmware-tomato-acevpn/

AceVPN sur routeur DD-WRT en PPTP: http://www.vpnblog.net/linksys-wrt54gl-firmware-ddwrt-vyprvpn-pptp/

AceVPN sur Iphone en PPTP: http://www.vpnblog.net/wifi-iphone-vpn-pptp/

3- Usage de AceVPN

Avec 9 serveurs en PPTP et OpenVPN vous aurez le choix de connexions et d’ usages:

  • Les « switchs » ne sont pas limités ce qui permet de contourner les restrictions de téléchargements de données sur les sites d’ hébergements directs
  • Sur les sites de téléchargements directs, on a jamais été blacklisté par un autre utilisateur donc les ranges d’ IP’s sont assez importants
  • De bonnes vitesses ont toujours été atteintes lors de l’ association newsgroups // VPN. Avec Giganews couplé avec AceVPN , on a pu revoir une émission d’ Arte 🙄

* Sans VPN avec Speedio:

* Avec VPN sur l’ usenet de Giganews

Les vitesses sur plusieurs minutes ont été faîtes sur le serveur news.giganews.com en port SSL (sécurisé) 563 connecté au serveur US d’ AceVPN. Ces vitesses sont élevées, on perd 5-10% du max tout en étant irrégulières. Le maximum atteint étant 810 KB/s

  • Les restrictions géographiques classiques comme Hulu sont à une portée de main évidente. Notez la présence d’une UK adresse qui permet de voire, revoir et écouter la BBC
  • Le P2P est autorisé avec ces remarques:
  1. Le P2P est seulement autorisé avec le forfait ultimate à $15
  2. « Downloading or uploading copyrighted works without prior authorization is illegal in most countries. Acevpn do not condone copyright infringement. There are many legal uses of P2P. » => L’ application logicielle est à différenciée de l’ usage !!!
  3. « P2P and torrents are blocked on USA, Switzerland and UK servers. Please use France, Germany or Netherlands servers. »  Dans votre partie utilisateur, tout est prévu par AceVPN , il ne vous restera plus qu’ à vous connecter à « acevpn-ultimate-udp-faster-downloads » dans OpenVPN. Par contre on a toujours obtenu un Low Id lors de nos tests (Même avec le port 443 ouvert sur le routeur)

Lors d’ un essai du serveur Suisse on a été surpris par le niveau de filtrage pratiqué par ce pays. Un site comme Slyck.com est censuré !!! tout comme un certain nombre de blogs qui sont considérés comme faisant infraction à la loi !!!!

  • IP française

AceVPN a la particularité de proposer une IP française. C’est pourquoi nous conseillons ce serveur VPN pour:

Les résidents ou expats français qui vivent dans un pays qui censure l’ accès à certains sites comme FaceBook, Dailymotion et Youtube.  Ce n’est pas nécessaire en soi d’ avoir une IP de France pour accéder à certains sites. L’ excellent site http://www.bonjourchine.com donne ses avis sur les VPN depuis la Chine : accéder aux sites bloqués en Chine

Ceux qui vivent à l’ étranger et veulent  profiter des sites de Catch-Up français (sites TV de rattrapage) qui limitent leurs accès aux seules IP’s françaises

PLUZZ

Accès gratuit ( pendant 7 jours) à l’ ensemble des programmes du groupe France Télévision (France 2, France 3, France 4, France 5 et France Ô)

WAT.TV

Wat.tv est un site web d’hébergement des fichiers audio et vidéos semblable à Youtube ou à Dailymotion. Certains contenus sont limités géographiquement

M6Replay

Programmes de la chaîne M6 à revoir gratuitement pendant 7 à 15 jours

W9Replay

Programmes de la chaîne W9 à revoir gratuitement pendant 7 à 15 jours
TF1

Programmes de TF1

ArteTV

Les programmes d’ Arteà revoir gratuitement pendant 7 jours

Virgin17

ex-Virgin 17 devenue DirectStar

Canal Plus

Toutes les vidéos de CANAL+ juste après leur diffusion

 

Il existe beaucoup de plateforme de télévision de rattrapage ou site de Streaming, VOD qui pratiquent la limitation géographique aux seules IP’s françaises. Vous pouvez retrouver tous les programmes, les horaires et les liens de redirection sur: http://www.tv-replay.fr

Ceux qui visiblement en ont marre de subir le bridage des débits de la part des F.A.I français comme Free, veulent voire Youtube, et autres sites de CatchUp (sites TV de rattrapage) alors qu’ ils habitent en France !!!! Le comble. Presence-Pc apporte une explication que l’ on trouve judicieuse

4- Bilan:

Ultrapositif. Le support technique et l’ IP française sont deux atouts évidents que nous avons choisi de mettre en valeur. En fait à part le P2P qui n’est pas optimisé par un port forwading, tous les autres aspects d’un bon VPN sont présents: multiples protocoles de sécurisation, installation possible sur tous les supports, switch, 9 pays  de connexions différents, …. Vous pouvez faire confiance à AceVPN

Share

Les serveurs DNS Alternatifs

Qu’est-ce qu’un serveur DNS ?

DNS signifie Domain Name Service. Il s’agit d’un serveur qui fait correspondre un nom de serveur à une adresse IP.

Exemple : Tapez cette adresse IP dans la barre d’adresse : 173.194.36.104

Vous vous retrouverez directement sur la page d’accueil du moteur de recherche Google. C’est grâce au serveur DNS que le nom www.google.com est converti en adresse IP.

Qui fournit les adresses de ces serveurs ?

Les fournisseurs d’accès ont leur propres DNS qui vous sont automatiquement attribués lors de la connexion à Internet.

Liste des serveurs DNS des principaux FAI

DNS Alice

DNS Alice

212.216.212.112
212.216.172.62

DNS Bouygues Telecom

DNS Bouygues

194.158.122.10
194.158.122.15

DNS Dartybox

DNS Dartybox

212.99.2.8
195.167.224.150

DNS Free

DNS Free

212.27.40.240
212.27.40.241

DNS SFR

DNS SFR/Neuf Cegetel

109.0.66.10
109.0.66.20

DNS Numericable

195.132.0.132 ou 195.132.0.193
81.220.255.4 ou 80.236.0.68

DNS Orange

DNS Orange

80.10.246.2
80.10.246.129


Où les trouver et comment les changer ?

Il peut être utile de les connaître en cas de configuration manuelle de la connexion (dans le cas d’un réseau local par exemple) ou si vous préférez utiliser d’autres DNS que ceux de votre FAI.

Sous Windows :

Les DNS sont paramétrables dans la configuration TCP/IP de votre Connexion Réseau.

  • Cliquez sur le bouton Démarrer et séléctionnez le Panneau de Configuration ou encore Démarrer -> Paramètres -> Connexions réseau
  • Choisissez les Connexions Réseaux puis clic droit sur Connexion au réseau local
  • Dans Propriétés, cliquez sur Protocol TCP-IP puis de nouveau sur Propriétés
  • Par défaut, les adresses DNS sont choisies automatiquement.
  • Optez pour une configuration manuelle en remplissant les champs DNS Primaires et Secondaires avec les adresses de serveur de votre choix.

Sous Mac :

  • Ouvrez les préférences système, puis Réseau
  • Choisissez votre connexion internet dans la colonne de gauche (Airport = Wifi, Ethernet), puis cliquez sur Avancé
  • Selectionnez l’onglet DNS et dans la colonne de gauche vous pouvez voir les DNS utilisés actuellement
  • Pour les changer, il suffit de cliquer sur le symbole Plus et rentrer l’adresse des serveurs voulus.

Pourquoi vouloir changer ses DNS ?

En ayant ses propres serveurs DNS, votre FAI peut contrôler les sites que vous visitez. S’il souhaite interdire un site internet, il lui suffit de bloquer son nom de domaine, ainsi si vous voulez accéder à un fameux site de torrent et que vous tapez son adresse dans firefox, vous obtiendrez un jour un server not found. Toutefois ce blocage n’est pas parfait puisqu’il vous suffit de taper l’adresse ip du site pour pouvoir y accèder. Le contournement est donc simple mais cette technique est employée actuellement par certains FAI.

Exemple récent :

Regardez ces articles qui traitent du blocage d’un site de jeux en ligne qui n’a pas payé sa license pour pouvoir être légal en France :

http://bluetouff.com/2010/08/22/arjel-meme-pas-peur-du-ridicule/

http://www.pcinpact.com/actu/news/58727-stanjames-blocage-filtrage-arjel-efficacite.htm

Les DNS menteurs :

Lorsque vous tapez l’adresse d’un site qui n’existe pas, vous recevez un code d’erreur standard (NXDOMAIN, « ce domaine n’existe pas »). Mais les DNS menteurs, au lieu de renvoyer ce code d’erreur, amènent l’utilisateur vers une page de recherche sponsorisée  proposant des suggestions de noms de domaines valides. Bien souvent, ces systèmes sont avant tout mis en place pour pouvoir placer des liens publicitaires sur les pages d’erreurs.

Exemple chez SFR : http://www.pcinpact.com/actu/news/52873-sfr-dns-menteur-redirection-publicite.htm


Quelles sont les alternatives ?

Vous l’aurez compris, pour avoir la paix et ne pas être victime de filtrage ou de DNS menteur, mieux vaut prévenir que guérir. Voilà pourquoi il existe des serveurs DNS alternatifs et gratuit.

Le site Wikileaks fournit une liste assez importante : http://wikileaks.org/wiki/Alternative_DNS

ATTENTION :

Renseignez-vous bien sur le DNS choisi car tous ne sont pas recommandables, certains sont soupçonnés d’être des DNS menteurs, d’autres sont très lents, en sachant qu’aucun DNS alternatif ne sera plus rapide que les DNS des FAI. Il est aussi important de se demander quelle est la motivation de ces fournisseurs de DNS alternatifs.


Qu’en est t-il des VPNs ?

Les fournisseurs VPN sérieux utilisent eux aussi des DNS alternatifs et des serveurs DNS locaux, à l’interieur de leur réseau vpn, une sorte de cache au final.

Ex : Arethusa : 10.10.10.10 –> solveur DNS local

8.8.8.8 —> serveur DNS de google

Change-mon-ip : 208.67.222.222 & 208.67.220.220 –> serveurs OpenDNS

Ivacy : 1.254.2.2 & 1.254.2.3 –> Solveurs DNS locaux

Enfin, rien ne vous empêche de les changer si vous n’êtes pas satisfait de leur performance ou si vous ne leur faîtes pas confiance.


    Share