Mais, savez-vous que les FAI peuvent toujours voir toutes vos requêtes de DNS, leur permettant ainsi de savoir quels sites Web vous visitez ?
C’est pourquoi Google travaille sur une nouvelle fonctionnalité de sécurité pour Android qui pourrait empêcher votre trafic Internet une attaque par spoofing sur le réseau.
Par définition, le “Spoofing” est un terme anglais utilisé pour dénoter l’usurpation d’identité électronique. Il s’agit de se faire passer pour quelqu’un d’autre et de commettre des délits via Internet. Ainsi, selon le type d’adresse usurpée, on peut distinguer différents types de spoofing :
- L’e-mail spoofing consiste à envoyer des mails contenant un virus informatique en utilisant des adresses e-mail existantes, afin de mieux tromper le destinataire qui va propager involontairement un virus en ouvrant le mail. Une fois le virus propagé dans l’ordinateur de l’internaute, le pirate pourra extraire des données personnelles ou même maîtriser à distance l’ordinateur infecté.
- L’usurpation d’adresse IP (IP spoofing) consiste à envoyer des paquets IP en utilisant une adresse IP source qui n’a pas été attribuée à l’ordinateur qui les émet. Ce type de spoofing est largement utilisé par les cybercriminels, soit pour masquer leur identité lors d’une attaque informatique, soit pour utiliser l’identité d’un équipement existant du réseau pour avoir accès à des services spécifiques sur le réseau. Ceci peut déboucher sur la maîtrise totale de l’ordinateur par un attaquant qui agit à distance.
- Le smart-spoofing IP permet d’utiliser une application cliente quelconque avec une adresse IP source usurpée, offrant la possibilité de contourner les règles de sécurité du réseau. Associée à la translation d’adresse, cette technique peut neutraliser les pare-feux.
Maintenant, ce qu’il faut savoir, c’est que presque toutes les activités Internet commencent par une requête DNS, ce qui en fait un bloc de construction fondamental de l'Internet. Le DNS fonctionne comme un annuaire téléphonique d'Internet qui résout les adresses Web lisibles par l'homme, comme arobasenet.com, contre leurs adresses IP.
Des requêtes et des réponses DNS sont envoyées en texte clair (en utilisant UDP ou TCP) sans cryptage, ce qui le rend vulnérable à l'écoute et aux compromissions de la vie privée.
Les FAI résolvent par défaut les requêtes DNS (Domain Name System) de leurs serveurs. Ainsi, lorsque vous tapez un nom de site Web dans votre navigateur, la requête va d'abord sur leurs serveurs DNS pour trouver l'adresse IP du site, qui expose éventuellement ces informations (métadonnées) à vos Fournisseur d’Accès à Internet.
En outre, les extensions de sécurité DNS, largement connues sous le nom de DNSSEC, n'offrent que l'intégrité des données, et non la confidentialité.
Pour résoudre ce problème, l'année dernière, l'IETF (Internet Engineering Task Force) a proposé une fonctionnalité expérimentale appelée “DNS over TLS” (RFC 7858), qui fonctionne approximativement de la même manière que HTTPS.
Tout comme le protocole crypté TLS (Transport Layer Security) sécurise cryptographiquement les connexions HTTPS, “DNS-over-TLS” va améliorer considérablement la confidentialité et la sécurité avec les recherches DNS authentifiées de bout en bout.
Google a donc ajouté le support de "DNS over TLS" à Android Open Source Project (AOSP), actuellement à une étape expérimentale, pour permettre aux utilisateurs de smartphone d’activer ou désactiver la fonctionnalité "DNS over TLS" dans les options des paramètres développeur.
D’après Xda-developers :
En principe, si une telle option est ajoutée aux Options Développeur, cela veut dire que la fonctionnalité est en cours de test et pourrait arriver dans une prochaine version d’Android, telle que la version 8.1.
Toutefois, juste activer la fonctionnalité "DNS over TLS" ne pourrait pas empêcher votre FAI de savoir quels sites Web vous visitez.
En effet, l'Indication du Nom de Serveur ou Server Name Indication (SNI), une extension du protocole TLS, indique également aux fournisseurs d’accès à internet quel nom d'hôte est contacté par le navigateur au début du processus de connexion.
Notez que la couche DNS sur TLS (DNS over TLS) ne mènera pas à la confidentialité complète avec un bouton d’activation. Si un fournisseur de services DNS différent via lequel vous décidez de vous connecter choisit d'activer DNS over TLS, il verra votre trafic DNS en lieu et place de votre FAI.
Les requêtes DNS seront chiffrées, mais le serveur DNS over TLS pourra toujours voir votre trafic DNS, bien que seule une étape au-dessus pourrait être d’utiliser les serveurs de votre FAI sans DNS over TLS.
Au moins de cette façon, votre FAI ne sera pas en mesure d'attacher vos requêtes à l'adresse IP qui vous avez été assignée, et donc votre nom.
La liaison entre les serveurs via l'indication de nom de serveur (SNI) qui permet d'établir une connexion peut encore être vue par votre FAI (et il peut le connecter sous votre nom). Afin de vous cacher pleinement, alors, vous aurez besoin d'un VPN pour router les requêtes DNS, qui peuvent autrement être vues par votre FAI, vers un DNS sur le serveur TLS.
Aussi longtemps que vous faites confiance à votre fournisseur VPN, vous devriez maintenant être plus cachés que jamais sur Android.
Ainsi, alors que cette fonctionnalité ne vous permet pas d’être directement anonyme par le fait d’avoir un bouton de basculement vers DNS over TLS sur Android, il vous permet de masquer les requêtes DNS aux Fournisseurs d’Accès à Internet, et de cacher les requêtes et le trafic.
Par conséquent, pour renforcer l'anonymat, les utilisateurs sont toujours tenus d'utiliser un service VPN sécurisé approuvé en association avec le protocole DNS-over-TLS. A moins qu'Android ne fonctionne comme un véritable VPN.
Mais, cela concerne aussi la robustesse du DNS. TLS va rendre difficile pour les attaquants de pirater un DNS pour espionner des utilisateurs, ou pire, les rediriger vers des sites usurpés (fake sites) ou des pages de phishing.
