Anonymat & sécurité

Reboucher la fuite DNS

La fuite DNS est un problème pour tout utilisateur de VPN qui est à la recherche d’une connexion Internet aussi anonyme que possible, en tout cas jugeant important le respect de la vie. Cette faiblesse peut être corrigée. Comment réparer une fuite DNS ?

Reboucher la fuite DNS

Le DNS c’est quoi ?

Le DNS est la clé de voute du web. Il est utilisé pour traduire un nom de domaine en adresse IP directement utilisable pour l’acheminement des paquets de données. Il permet aux internautes de se connecter aux sites web en utilisant un nom de domaine.

DNS Quand le navigateur recherche le site web, il doit traduire ce nom en adresse réseau pour trouver le serveur sur lequel le site est hébergé. La solution est donc de changer le serveur DNS de référence qui contient l’annuaire de traduction de nom de domaine en IP. Par défaut c’est le DNS du fournisseur d’accès à Internet qui est utilisé. Si l’internaute utilise le serveur DNS de son fournisseur d’accès, celui-ci peut enregistrer la liste des demandes DNS et donc savoir les sites qu’il consulte.

En passant par un service VPN, le FAI devient normalement aveugle puisque les données sont chiffrés entre l’utilisateur et le serveur VPN. Le FAI n’a plus accès aux données en clair, et ne peut plus connaitre les sites demandés par l’intermédiaire du DNS. Mais il existe le cas de la suite DNS…

Qu’est-ce qu’une fuite DNS ?

Lorsque que l’internaute accède à Internet par un réseau ouvert comme le fournisseur d’accès, tout le trafic passe normalement par ce fournisseur d’accès, y compris toutes les requêtes DNS. Cela signifie que votre FAI peut surveiller toute l’activité Internet en collectant la plus simplement du monde les requêtes DNS. Lorsque l’internaute utilise un VPN, le VPN indique au système d’utiliser ses serveurs chiffrés pour les requêtes DNS plutôt que la valeur DNS par défaut. Toutefois, en raison d’une faille de sécurité liée au système d’exploitation Windows, le système peut utiliser ce DNS par défaut, même en utilisant un VPN. Cela expose l’adresse IP et s’appelle une fuite DNS. Il s’agit d’une question sérieuse car il ruine à néant un des intérêts principaux d’utiliser un VPN pour protéger l’anonymat et la vie privée. L’adresse IP est ainsi révélée, même en utilisant un VPN. Cela peut survenir à cause d’un retard dans la réponse d’un site Web particulier et oblige alors Windows à passer à la valeur par défaut non sécurisés DNS et ainsi corrompre l’anonymat et la vie privée de l’internaute.

Tester fuite DNS

Outil test fuite DNSSi vous utilisez un VPN et que l’anonymat est un paramètre clé de cette utilisation, n’hésitez pas à faire un test en ligne pour détecter les problèmes de fuite DNS. On peut facilement trouver des outils gratuits pour vérifier la présence de fuites si vous utilisez un service VPN. Il est prudent de vérifier avec un outil en ligne l’absence de fuites.

A noter que le site dnsleaktest.com propose un outil pour corriger de manière automatique ce problème sur Windows. C’est un petit exécutable Windows nommé dnsfixsetup.exe qui permet de réaliser cette correction de manière automatique.

 

Débloquer les sites web avec Le VPN

 

Reboucher une fuite DNS

Comment reboucher la fuite DNS ? On peut corriger manuellement le problème. Voici comment supprimer les serveurs DNS manuellement dans Windows.

Avant la connexion au VPN

Ouvrir un gestionnaire d’invite de commandes en administrateur

Exécuter la commande :

netsh interface show interface

Identifiez le nom de l’interface par laquelle transite le trafic réseau par défaut (souvent sous le nom « Connexion au réseau local »)

Connectez-vous au VPN

Afin de vider le cache DNS, exécutez la commande :

ipconfig /flushdns

Supprimez la configuration DNS pour l’interface correspondante en exécutant la commande :

netsh interface IPv4 set dnsserver "NOM DE L'INTERFACE" static 0.0.0.0 both

Après la déconnexion

Actions pour rétablir les paramètres par défaut après la déconnexion VPN.

Ouvrir un gestionnaire d’invite de commandes en administrateur

Exécutez la commande :

netsh interface IPv4 set dnsserver " NOM DE L'INTERFACE " dhcp

Afin de vider le cache DNS, exécutez la commande :

ipconfig /flushdns

 

Private Internet Access anonyme

11 réponses à Reboucher la fuite DNS

  • C’est vrai qu’il faut tout prendre en compte si on veut vraiment avoir un anonymat aussi sécurisé que possible.

  • C’est vrai que c’est un problème souvent méconnu. La notion de DNS leak correspond au fait que quand on utilise un VPN par exemple. Dans ce cas les demandes aux serveurs DNS ne passent pas par le VPN. Le serveur DNS est donc interrogé directement ce qui remet en cause la protection des données et de leur confidentialité. Quiconque écoute la connexion réseau peut donc voir ces demandes DNS en clair puisque hors du tunnel VPN et cela lui permet de savoir sans effort quels sont les sites consultés. De plus, c’est vrai que si on utilise le serveur DNS de son fournisseur d’accès, ce qui est quand même le cas par défaut quand on se connecte sur sa box Internet, ce fai peut enregistrer très facilement la liste des demandes DNS et donc là aussi savoir les sites que l’on souhaite consulter. Il n’a même pas besoin de mettre en place des dispositifs d’écoute puisque c’est l’utilisateur qui vient solliciter le serveur DNS du fai. Celui-ci n’a juste qu’à enregistrer les requêtes sur leurs serveurs DNS.

  • Bof, moi le vpn pour débloquer les chaines tv, pas pour être agent secret.

  • Oui attention ! Les pirates ont toutes les ressources nécessaires pour exploiter la faille DNS. Elle avait été décelée il y a plusieurs années par l’expert en sécurité, Dan Kaminsky, qui avait choisi de la tenir secrète le temps de créer un patch correctif. Il comptait en divulguer tous les détails pour corriger la faiblesse DNS à l’occasion de la conférence sur la sécurité Black Hat de Las Vegas. Mais il a été malheureusement devancé.

  • Comme quoi même avec un VPN ça craint…

    • Bah moi je préfère un risque avec un VPN que exposé sans VPN.
      Y’a pas photo comme dirait l’autre.
      Après, c’est à chacun de voir…

  • Merci pour ces explications. J’en avais entendu parler mais je ne savais spas trop quel était le problème. En tout cas, ceux qui cherchent l’anonymat doivent être prudents.

  • Mon fournisseur a patché la faille dans son logiciel VPN.
    Il faut utiliser un service consciencieux pour éviter les problèmes.

  • Bonjour,
    A l’heure actuelle il est impossible d’affirmer à 100% qu’une solution VPN garantie à 100% l’anonymat de ses utilisateurs abonnés. Le seul argument marketing faisant office de leurre commercial est le soit disant « politique no log », c’est une illusion !
    Tous les hackers et Geeks savent que les serveurs tierces DNS des solutions VPN gardent toutes les traces et historiques des navigations ! Il faut donc transiter par un service DNS privé cryptant toutes les communications vers les serveurs DNS du style DNSCrypt d’OpenDNS par exemple.

    Le souci est que certains éditeurs de VPN bloquent leurs abonnés VPN qui souhaitent installer par exemple DNSCrypt : loL!! 🙂

    L’idée est donc de choisir une solution sérieuse VPN qui autorise DNSCrypt par exemple. Cette méthode permet de dire approximativement sur l’on protège un peu mieux son anonymat relatif sur le Web 🙂

    Ensuite, il y a les fans de Linux qui prônent les louanges de cet OS. Certes ! Sauf que sans le savoir j’ai pu vérifier sur le Dark Web via le réseau Tor que des milliers de tentatives d’intrusion ont bien lieu notamment sur le port HTTPS 443 !! Tout ceci pour dire que ceux et celles qui croient fer comme dur être à l’abri de tout ce PLANTENT GRAVE !!!

    C’est pour cette raison que les crackers notamment se servent d’équipements, de softwares et de réseaux qui ne leur appartiennent pas ! Ils sont donc ANONYMES à 100% et INTROUVABLES jusqu’au jour où ils se font épingler par des services et « machines » spécialisées qui ont les moyens techniques de remonter jusqu’à eux…

    SVP, arrêtez de croire à l’utopie de l’anonymat !! C’est un leurre !! LoL! 🙂

  • Les vpns commerciaux sont typiquement des outils pour le grand public, pour débloquer les chaines tv ou débloquer les services de streaming. Ce sont pas des agents secrets ou des crackers qui ont besoin d’un anonymat absolu (qui n’existe de toute façon pas). Beaucoup de dramatisation avec tout ça, pour pas grand chose.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


*