DNSCrypt

Introducing DNSCrypt

Background : La nécessité d’une meilleure sécurité du DNS

Le DNS est l’une des composantes fondamentales d’Internet. Il est utilisé chaque fois que vous visitez un site Web, envoyez un courriel, avez une conversation IM ou faites quoi que ce soit d’autre en ligne. Alors qu’OpenDNS offre depuis des années une sécurité de classe mondiale en utilisant le DNS, et qu’OpenDNS est le service DNS le plus sûr disponible, le protocole DNS sous-jacent n’était pas assez sûr pour notre confort. Beaucoup se souviendront de la vulnérabilité Kaminsky, qui a eu un impact sur presque toutes les implémentations DNS dans le monde (mais pas sur OpenDNS).

Cela dit, la classe de problèmes auxquels la vulnérabilité Kaminsky se rapportait était le résultat de certaines des bases sous-jacentes du protocole DNS qui sont intrinsèquement faibles – en particulier dans le « dernier kilomètre ». Le « dernier kilomètre » est la partie de votre connexion Internet située entre votre ordinateur et votre fournisseur d’accès. DNSCrypt est notre façon de sécuriser le « dernier kilomètre » du trafic DNS et de résoudre (sans jeu de mots) toute une série de problèmes de sécurité graves liés au protocole DNS. Alors que la connectivité Internet mondiale devient de plus en plus mobile et que de plus en plus de personnes se connectent à plusieurs réseaux WiFi différents en une seule journée, le besoin d’une solution se fait de plus en plus sentir.

Il y a eu de nombreux exemples de falsification, ou d’attaques man-in-the-middle, et d’espionnage du trafic DNS au dernier kilomètre et cela représente un risque de sécurité sérieux que nous avons toujours voulu résoudre. Aujourd’hui, nous le pouvons.

Pourquoi DNSCrypt est si important

De la même manière que le SSL transforme le trafic web HTTP en trafic web crypté HTTPS, DNSCrypt transforme le trafic DNS ordinaire en trafic DNS crypté qui est sécurisé contre les écoutes et les attaques man-in-the-middle. Il n’est pas nécessaire de modifier les noms de domaine ou leur fonctionnement, il s’agit simplement d’une méthode permettant de crypter en toute sécurité les communications entre nos clients et nos serveurs DNS dans nos centres de données. Nous savons cependant que les affirmations seules ne fonctionnent pas dans le monde de la sécurité, c’est pourquoi nous avons ouvert la source de notre base de code DNSCrypt et elle est disponible sur GitHub.

DNSCrypt a le potentiel d’être l’avancée la plus impactante en matière de sécurité Internet depuis SSL, améliorant de manière significative la sécurité et la confidentialité en ligne de chaque internaute.

Note : Vous recherchez une protection contre les logiciels malveillants, les botnets et le phishing pour les ordinateurs portables ou les appareils iOS ? Consultez Umbrella Mobility d’OpenDNS.

Téléchargez maintenant:

Téléchargez DNSCrypt pour Mac
Téléchargez DNSCrypt pour Windows

Foire aux questions (FAQ):

1. En langage clair, qu’est-ce que DNSCrypt ?

DNSCrypt est un logiciel léger que tout le monde devrait utiliser pour renforcer la confidentialité et la sécurité en ligne. Il fonctionne en cryptant tout le trafic DNS entre l’utilisateur et OpenDNS, empêchant ainsi tout espionnage, usurpation ou attaque de type man-in-the-middle.

2. Comment puis-je utiliser DNSCrypt aujourd’hui ?

Nous avons ouvert la source de notre base de code DNSCrypt et elle est disponible sur GitHub. Les interfaces graphiques ne sont plus en développement ; cependant, la communauté open source fournit toujours des mises à jour non officielles de l’aperçu technique.

Conseils :
Si vous avez un pare-feu ou un autre intergiciel qui manipule vos paquets, vous devriez essayer d’activer DNSCrypt avec TCP sur le port 443. Cela fera en sorte que la plupart des pare-feu pensent qu’il s’agit d’un trafic HTTPS et le laisseront tranquille.

Si vous préférez la fiabilité à la sécurité, activez le fallback vers un DNS non sécurisé. Si vous ne pouvez pas nous joindre, nous essaierons d’utiliser vos serveurs DNS attribués par DHCP ou configurés précédemment. Il s’agit cependant d’un risque de sécurité.

3. Qu’en est-il du DNSSEC ? Cela élimine-t-il le besoin de DNSCrypt ?

Non. DNSCrypt et DNSSEC sont complémentaires. Le DNSSEC fait un certain nombre de choses. Premièrement, il fournit une authentification. (L’enregistrement DNS pour lequel je reçois une réponse provient-il du propriétaire du nom de domaine sur lequel je m’interroge ou a-t-il été falsifié). Deuxièmement, DNSSEC fournit une chaîne de confiance pour aider à établir la confiance que les réponses que vous obtenez sont vérifiables. Mais malheureusement, le DNSSEC ne fournit pas réellement de cryptage pour les enregistrements DNS, même ceux signés par le DNSSEC. Même si tout le monde utilisait le DNSSEC, la nécessité de crypter tout le trafic DNS ne disparaîtrait pas. De plus, le DNSSEC représente aujourd’hui un pourcentage quasi nul de l’ensemble des noms de domaine et un pourcentage de plus en plus faible des enregistrements DNS chaque jour à mesure que l’Internet se développe.

Cela dit, le DNSSEC et le DNSCrypt peuvent parfaitement fonctionner ensemble. Ils ne sont pas en conflit de quelque manière que ce soit. Pensez à DNSCrypt comme un emballage autour de tout le trafic DNS et à DNSSEC comme un moyen de signer et de fournir une validation pour un sous-ensemble de ces enregistrements. Il y a des avantages au DNSSEC que le DNSCrypt n’essaie pas d’aborder. En fait, nous espérons que l’adoption de DNSSEC se développe afin que les gens puissent avoir plus de confiance dans l’ensemble de l’infrastructure DNS, pas seulement le lien entre nos clients et OpenDNS.

4. Est-ce que cela utilise SSL ? Quelle est la crypto et quelle est la conception ?

Nous n’utilisons pas SSL. Bien que nous fassions l’analogie que DNSCrypt est comme SSL dans la mesure où il enveloppe tout le trafic DNS avec le cryptage de la même manière que SSL enveloppe tout le trafic HTTP, ce n’est pas la bibliothèque crypto qui est utilisée. Nous utilisons la cryptographie à courbe elliptique, en particulier la courbe elliptique Curve25519. Les objectifs de conception sont similaires à ceux décrits dans la conception du forwarder DNSCurve.

Leave a Reply