Les FAI et le DNS Menteur

Dans ce tutoriel nous allons voir comment changer les DNS menteur de sa connexion internet et de son FAI sous MAC. Tout ceci afin de rendre un peu plus de liberté et de respect de notre vie privée à notre connexion Internet. La technique du DNS menteur est de plus en plus utilisée par les FAI car elle est rapide à mettre en place et peu couteuse.

Quelques explications sur la technique du DNS menteur

Par défaut toutes vos connexions Internet utilisent comme DNS votre Box 192.168.1.1 (généralement) et votre Box utilise les DNS de votre FAI. Même si nous ne sommes pas Chine, de plus en plus de FAI utilisent la technique du DNS menteur pour bloquer l’accès à un site web.

Quelques explications sur la technique du DNS menteur

Les DNS sont des serveurs qui servent à rediriger une requête sous forme d’adresse (par exemple quick-tutoriel.com) vers le serveur correspondant sous forme de chiffres (l’adresse IP 80.50.34.56). Sans les serveurs DNS votre surf serait très difficile car il est plus simple de se rappeler d’un nom que d’une suite de chiffres.

Utilisation du DNS menteur par les FAI

Un DNS menteur va alors vous rediriger vers une autre page que celle attendue, comme par exemple une page de publicité (comme le fait souvent OpenDNS) ou alors vers une page gouvernementale (les FAI Français sont touchés depuis peu avec l’application du décret n° 2015-125 du 5 février 2015 « relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique »).

Alors même si l’intention est louable afin de protéger les citoyens, le respect de la vie privée est un peu grignoté. Mais cela est un autre problème. Revenons à la technique.

Pour faire un test (non vous n’irez pas en prison), cliquer sur ce lien : https://uptobox.com/

Si vous arrivez sur une page d’erreur ou bien sur cette page, vous utilisez un DNS menteur et votre FAI peu manipuler vos DNS et vous rediriger ou vous faire croire que le site n’est plus disponible :

Utilisation du DNS menteur par les FAI

Si vous arrivez sur cette page, votre DNS est « propre et indépendant » :

Accéder à des sites Internet censurés grâce à des DNS Alternatifs

Attention!!! Même si après avoir changé de DNS vous arrivez toujours sur la même page, n’oublier pas de vider votre cache. Sous MAC le plus simple est d’utiliser le logiciel DNS Flusher. Si vous ne savez pas vider le cache DNS sous un MAC, je vous conseille mon tutoriel : Comment vider son cache DNS sous MAC.

Vider son cache DNS sous Mac avec DNS Flusher

Quels serveurs DNS alternatifs utiliser ?

Maintenant que vous savez ce qu’est un DNS menteur, vous l’aurez compris, il suffit de changer de DNS pour faire sauter ce blocage. Oui mais lequel utiliser ?

OpenDNS est un serveur menteur

Beaucoup de tutoriels existent sur le web pour vous vanter la sécurité, la rapidité, allant même jusqu’à la neutralité de leurs serveurs DNS.

Des tutoriels conseillent les DNS de Google ou de OpenDNS, le premier est discutable sur le respect de la vie privée et le deuxième est menteur.

Heureusement vous avez une alternative :

  • 9.9.9.9 et 149.112.112.112, fourni par Quad9
  • 84.200.69.80 et 84.200.70.40, fourni par DNS.WATCH
  • 80.67.169.12 et 80.67.169.40, fourni par FDN

Liste de serveurs DNS alternatifs sur le site OpenNIC Public Servers

Vous pourrez aussi trouver sur ce site : OpenNIC Public Servers une liste de serveurs DNS alternatifs près de chez vous. Voici un exemple pour la France.

Changer ses DNS sous Mac

Changer ses serveurs DNS sous Mac

Sous MAC pour changer vos DNS, il suffit d’aller dans Préférences Système -> Réseau -> Ethernet/Wi-Fi -> Avancé -> DNS.

Supprimer tous les DNS existants et rajouter ceux ci-dessus, vider votre cache et à vous la liberté.

Vous pouvez vérifier, aussi en console que vous utilisez bien ces serveurs DNS, avec la commande nslookup.

#nslookup quick-tutoriel.com

dns_menteur_8

Vous utilisez bien maintenant les bons DNS. Alors même si vous perdez quelques microsecondes lors de vos recherches, vous êtes à peu près sûr d’être plus tranquille avec ces serveurs DNS.

Changer ses DNS sous Android

Il n’est pas facile sous Android de changer ses DNS. Il faut passer par une connexion statique pour pouvoir modifier ses DNS.

Changer ses DNS sous Android avec DnsChanger

Voici donc un utilitaire gratuit et sans pub, qui permet de modifier rapidement et simplement ses DNS sous Android pour éviter la censure. Vous pouvez télécharger l’app sur le Play Store : DnsChanger

Cette application est un changeur dns qui supporte le WIFI, les connexions mobiles, Ethernet et IPv6. 

S’il est assez facile de régler les serveurs DNS utilisés par votre appareil lorsque vous utilisez le wifi, Android n’offre pas la possibilité de changer les serveurs DNS utilisés lorsque vous utilisez une connexion mobile (2G/3G/4G etc.).

Cette application crée une connexion VPN locale (aucune donnée ne quitte votre téléphone en utilisant cette connexion VPN) pour utiliser vos serveurs DNS configurés à la fois sur les réseaux wifi et mobile sans avoir besoin des autorisations root. Ipv4 et Ipv6 sont tous deux utilisables, une fonctionnalité qui n’est pas prise en charge sur de nombreux téléphones (même Android ne propose pas de configuration DNS IPv6 dans vos paramètres wifi).

Pour les autres systèmes, voici des liens qui vous expliquent comment changer vos DNS :

Même si l’intention est bonne de bloquer des sites indécents ou dangereux, le blocage déborde souvent sur des sites sans rapport avec la cible, cela se nomme le surblocage. Un vrai sujet de société.

Une autre technique pour contourner le blocage des FAI via le DNS commence à émerger, c’est le DoH (Dns Over Https). Vous pouvez consulter cet article qui vous explique comment le mettre en place : Utiliser le DNS over HTTPS ou DoH.

Signature manuelle Guillaume

8 Potins

  1. bonjour comment faire pour ceux qui n’ont pas de mac mais travaillent sous windows ??
    merci
    par ailleurs quand je clique sur les liens des différents sites de streaming ( du moins sur une grande majorité car seuls quelques uns s’ouvrent ) une fenêtre s’affiche :
    Ce site est inaccessible
    uptobox.com n’autorise pas la connexion.
    Voici quelques conseils :

    Vérifier la connexion
    Vérifier le proxy et le pare-feu
    ERR_CONNECTION_REFUSED

  2. Bonjour,

    J’ajoute une correction à mes précédents propos.

    DOH et DOT ne chiffrent que les flux entre la machine et le résolveur DNS configuré et éventuellement entre les résolveurs. Le détenteur du/des résolveurs connaît par conséquent toutes vos demandes.

    Pour ce qui est de DOQ (protocole Quick en cours d’implémentation), il prévoit de chiffrer les échanges entre la machine et la résolveur mais à terme aussi les échanges avec les serveurs faisant autorité.. (https://www.bortzmeyer.org/9250.html)

    Cordialement

  3. Merci pour ce complément d’information.
    Cdt

  4. Bonjour,
    Pour être le plus précis possible, il faudrait indiquer qu’il existe deux types de DNS :

    – ceux qui font autorité .fr, .com, .org, .eu….
    – ceux qui agissent comme résolveur et éventuellement « cache »

    Ce sont ces derniers qui sont mis en œuvre par les FAI et peuvent faire office de résolveurs « menteurs »

    Faire appel à un autre résolveur que celui du FAI, qui en Europe respecte le RGPD, nécessite de pouvoir lui faire confiance, ainsi qu’à l’État dont il dépend.

    La chaîne est la suivante :

    DOH, DOT, DOQ
    PC → résolveur local —————————→ résolveur FAI (cache) → DNS faisant autorité

    Sachant que les « DNS sécurisé DOH, DOT, DOQ » tant vantés par les divers articles de l’Internet, ne sécurisent les flux qu’entre le PC et le résolveur. Entre le résolveur et les DNS faisant autorité, tous est EN CLAIR !!

    Donc, en mettant, 1.1.1.1, 8.8.8.8 ou 9.9.9.9, on donne toutes nos recherches à l’organisme qui gère le résolveur et qui appliquent les règles que son État lui impose (USA, Suisse…)

    En l ‘état, seul l’hébergement de son propre résolveur apporte un peu de liberté au pris de la même sécurité. Avec son propre résolveur, en utilisant la technique du « DNS menteur », on peut se faire son ANTI-TOUT : anti-censure, anti-malware et anti-pub !! Il faut y ajouter un blocage des résolveurs DOH, DOT et DOQ !!

    Et pour cela, il y a Unbound dont le paramétrage avec des DNSBL est facile, ou AdguardHome voire PiHole.
    Pour ces deux derniers, il faut modifier le paramétrage par défaut, car ils envoient tout à un résolveur en DOH (Cloufalre, Google, Quad9….).

    C’est le cas aussi des navigateurs lorsqu’on paramètre un « DNS sécurisé » !! Ils envoient tout à un DOH qui était Cloudflre au début pour Firefox, avant que sous la pression, ils mettent une liste de choix et la possibilité de mettre son propre résolveur !

    La combinaison pfSense + Unbound/AdGuardHome permet de faire tout cela

    Cordialement

  5. Bonjour , comment changer de dns sur iphone ?

  6. Bonjour,
    Effectivement, j’ai mis à jour cet article et j’ai oublié d’enlever le site de test que j’utilisais à l’époque. La coquille est corrigée.
    Bonne journée.

  7. Pourquoi le lien uptobox pointe vers http://islamic-news.info/ ?

  8. Le fait que votre lien pointe vers islamic-news.info plutôt que uptobox.com ne fait a priori pas partie de votre propos, étrange…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *