Qu’est-ce qu’une fuite DNS ?
Même si vous utilisez un ou , si la gestion du DNS est négligée, des indices sur les noms de domaine auxquels vous avez essayé de vous connecter peuvent sortir par un autre chemin.
C’est ce qu’on appelle une fuite DNS.
Une fuite DNS est un peu différente d’un problème où le contenu même de la communication serait lu. Le problème tient à l’indice qu’elle donne sur le site que quelqu’un a tenté de consulter.
Par exemple, même si vous pensez avoir modifié le trajet de communication avec un VPN, si seules les requêtes DNS sont envoyées au résolveur DNS de votre FAI habituel, le FAI peut parfois voir les noms de domaine demandés.
Cet article explique ce qui devient visible lors d’une fuite DNS, le lien avec les VPN et Tor, et les points à regarder lors d’une vérification.
Le DNS est le mécanisme qui recherche la destination
Le DNS est le mécanisme qui associe les noms de domaine aux adresses IP.
Quand on ouvre un site web dans un navigateur, on utilise un nom de domaine. Mais pour communiquer réellement sur le réseau, l’adresse IP de la destination est nécessaire.
L’appareil ou le navigateur interroge donc un résolveur DNS pour rechercher l’adresse IP correspondant au nom de domaine.
| Étape | Ce qui se passe | Point à regarder pour l’anonymat |
|---|---|---|
| 1 | Le navigateur utilise un nom de domaine | Le nom du site auquel se connecter apparaît |
| 2 | Il interroge un résolveur DNS | Le résolveur interrogé devient important |
| 3 | Une adresse IP est renvoyée | La communication vers cette adresse IP devient possible |
| 4 | Il se connecte au site web | Avec HTTPS, le corps de la page est protégé par le chiffrement |
Une requête DNS n’est pas le contenu de la page ni le contenu d’un formulaire. Cependant, le nom de domaine qui a été recherché devient un indice fort pour déduire la destination consultée.
Quel est le problème avec une fuite DNS ?
Le problème d’une fuite DNS est que, même si vous pensez avoir changé le trajet de communication, seules les requêtes DNS sortent par un autre chemin.
Par exemple, supposons que l’objectif d’un VPN soit de rendre la destination plus difficile à voir directement pour le FAI. Dans ce cas, même si le trafic web va vers le serveur VPN, si seules les requêtes DNS partent du côté du FAI, celui-ci peut parfois voir les noms de domaine demandés.
Autrement dit, même si le contenu du site de destination est difficile à lire grâce à HTTPS, l’étape DNS peut encore laisser une trace du domaine que quelqu’un a voulu consulter.
| État | Visibilité du trafic web | Visibilité du DNS |
|---|---|---|
| Connexion normale | Le FAI peut voir l’IP de destination et des informations similaires | Le DNS côté FAI est souvent utilisé |
| VPN fonctionnant correctement | Le FAI voit la connexion VPN | Les requêtes passent par le DNS côté VPN ou par le DNS défini |
| Fuite DNS présente | Le trafic web passe par le VPN | Seul le DNS part du côté du FAI |
| Utilisation de Tor Browser | La résolution de noms dans Tor Browser est traitée via Tor | À distinguer des navigateurs ordinaires et des autres applications |
Une fuite DNS se rate facilement si l’on suppose : « puisque j’utilise un VPN, la destination n’est pas visible ».
Pour l’anonymat, le trajet du trafic web et celui des requêtes DNS doivent être vérifiés séparément.
À surveiller surtout avec un VPN
Les fuites DNS sont particulièrement prises en compte lors de l’utilisation d’un VPN.
Un VPN crée un canal de communication entre l’appareil et le serveur VPN, puis communique vers l’extérieur par l’intermédiaire de ce serveur. Pour le site web de destination, l’utilisateur semble venir de l’adresse IP du serveur VPN, et non de l’adresse IP de son domicile.
Cependant, si les paramètres des requêtes DNS n’ont pas été modifiés pour correspondre au VPN, seul le DNS peut sortir par le réseau habituel.
Dans cet état, même si l’adresse IP visible par le site de destination est celle du serveur VPN, les noms de domaine demandés restent du côté du résolveur DNS.
| Cause | Ce qui se passe | Ce qu’il faut vérifier |
|---|---|---|
| Mauvais réglage DNS du VPN | Seul le DNS sort par la connexion habituelle | Serveur DNS pendant la connexion VPN |
| DNS fixé côté OS | Les paramètres de l’OS passent avant le VPN | Paramètres réseau |
| DNS propre au navigateur | Le navigateur utilise un autre DNS | Paramètres DNS du navigateur |
| Fuite lors de la déconnexion du VPN | Retour à la connexion habituelle après la déconnexion | Kill switch et réglages de reconnexion |
Si vous utilisez un VPN, vérifiez aussi le DNS, pas seulement l’adresse IP. Le simple fait que l’adresse IP visible par la destination ait changé ne prouve pas l’absence de fuite DNS.
Relation avec Tor
Avec Tor Browser, la manière de penser diffère de la navigation web ordinaire.
Tor Browser est conçu pour faire passer les communications par le réseau Tor. La résolution de noms pour les sites consultés dans Tor Browser doit donc être envisagée séparément de celle d’un navigateur ordinaire.
Cependant, si des applications autres que Tor Browser ou votre navigateur habituel communiquent par la connexion ordinaire, leurs requêtes DNS restent un problème distinct.
Autrement dit, même si vous utilisez Tor, tout le trafic de l’appareil entier ne passe pas automatiquement par Tor. Vous devez vérifier de quelle application provient la communication que vous voulez anonymiser.
Informations visibles et non visibles lors d’une fuite DNS
Pour bien comprendre les fuites DNS, il faut distinguer ce qui est visible de ce qui ne l’est pas.
| Information | Visible lors d’une fuite DNS ? | Explication |
|---|---|---|
| Nom de domaine | Peut être visible | Devient un indice sur le site qui a été recherché |
| Heure de la requête | Peut être visible | Devient un axe de comparaison avec d’autres journaux |
| Corps de la page | Pas visible par le DNS seul | Question distincte du contenu HTTPS |
| Chemin et chaîne de requête de l’URL | Généralement non visibles dans le DNS | Le DNS traite principalement les noms de domaine |
| Contenu saisi dans un formulaire | Non visible par le DNS | Relève du contenu de la communication HTTP |
Une fuite DNS n’est pas un problème où tout le contenu d’une page fuit. Mais pour l’anonymat, le seul fait de savoir vers quel domaine quelqu’un a tenté d’aller peut déjà être un indice important.
En particulier, lorsqu’il est combiné à l’heure, à l’adresse IP, aux journaux de connexion VPN, à l’heure de publication et au comportement du compte, il devient un matériau de corrélation.
Ce qu’il faut vérifier
Pour vérifier une fuite DNS, comparez les informations visibles avant et après la connexion au VPN.
Si vous utilisez un site externe de test de fuite DNS, regardez si le serveur DNS affiché correspond au côté FAI habituel, au côté VPN ou à un DNS propre au navigateur.
Cependant, ne concluez pas à une sécurité complète sur la seule base des résultats d’un site de test. Les résultats varient selon la portée du test, le navigateur, les paramètres de l’OS, l’application VPN et le moment de la connexion.
| Point de vérification | Raison de regarder |
|---|---|
| Serveur DNS pendant la connexion VPN | Vérifier si le DNS côté FAI est visible |
| Paramètres DNS du navigateur | Vérifier si le DNS propre au navigateur est intentionnel |
| Comportement lors de la déconnexion du VPN | Voir si la connexion habituelle reprend lors de la déconnexion |
| Gestion d’IPv6 | Vérifier si seul IPv6 passe par un autre trajet |
| Plusieurs navigateurs | Voir si les résultats se mélangent entre navigateur anonyme et navigateur habituel |
DNSLeakTest est un site de vérification qui permet de consulter les informations du résolveur DNS vues de l’extérieur. Comparer les résultats affichés avant et après la connexion au VPN aide à vérifier si les requêtes DNS empruntent le trajet prévu.
URL : https://www.dnsleaktest.com/
Pour une activité anonyme à haut risque, ne vous rassurez pas avec la seule vérification de fuite DNS. Vérifiez aussi séparément les cookies, l’état de connexion, le fingerprinting du navigateur, le contenu des publications et les métadonnées des fichiers.
Résumé
Une fuite DNS signifie que les requêtes DNS sortent par un trajet non prévu, alors que vous pensez avoir modifié le trajet de communication.
Le DNS n’est pas un mécanisme qui traite le corps des pages. Cependant, les noms de domaine demandés deviennent des indices sur le site auquel quelqu’un a tenté de se connecter.
Même avec un VPN, si seul le DNS part du côté du FAI, il reste des éléments permettant de déduire la destination. Avec Tor Browser également, il faut considérer séparément les communications des applications hors Tor Browser ou d’un navigateur normal.
Pour l’anonymat, vérifiez ensemble non seulement l’adresse IP, mais aussi le DNS, les cookies, l’état de connexion, le navigateur et le contenu des publications. Les mesures contre les fuites DNS sont importantes, mais elles ne suffisent pas à rendre l’anonymat complet.
Outils liés
WhatIsMyIP
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
DNSLeakTest
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
BrowserLeaks WebRTC
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Proton VPN
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://protonvpn.com/
Mullvad VPN
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://mullvad.net/