NextDNS tire parti du chiffrement des DNS d’iOS 14

Mathieu Fouquet |

Connaissez-vous le DoH ? Non, rien à voir avec Homer Simpson : cette technologie dont l’acronyme signifie DNS over HTTPS se propose plutôt de chiffrer les requêtes DNS qui circulent d’ordinaire en clair. Pour rappel, un DNS (ou Domain Name System) établit le lien entre un nom de domaine internet (par exemple macg.co) et l’adresse IP du site en question.

L’intérêt de chiffrer ces données ? Protéger l’utilisateur d’éventuelles oreilles indiscrètes, puisqu’il suffit d’intercepter les requêtes DNS pour obtenir l’historique de navigation d’un internaute. C’est d’ailleurs pour cette raison que Mozilla a ajouté cette fonctionnalité à Firefox.

Image Apple.

Soucieuse comme souvent du respect de la vie privée, Apple a elle aussi ajouté le support natif du DoH (et de son petit cousin le DoT, DNS over TLS) dans iOS 14 et macOS Big Sur, ce qui permet potentiellement de naviguer en protégeant mieux son identité. Cette implémentation a d’ailleurs fait l’objet d’une session à la WWDC 2020, si vous désirez creuser le sujet.

Pour ce qui est du support de cette nouvelle fonctionnalité système, le résolveur de DNS NextDNS est sans doute le seul à l’heure actuelle à employer la solution DoH native d’iOS 14. Auparavant, cette application utilisait une astuce à base de VPN pour chiffrer les DNS.

Pour profiter de cette navigation plus anonymisée, il faudra vous rendre dans Réglages > Général > VPN et réseau > DNS puis sélectionner NextDNS comme fournisseur DNS. Vous pourrez ensuite l’activer depuis l’application NextDNS. N’oubliez pas de bien revenir aux réglages précédents si jamais vous changez d’avis !

👉 Si vous désirez en apprendre plus à ce sujet et bien d'autres, n'hésitez pas à consulter notre dernier livre, Les nouveautés d'iOS 14 !

avatar oboulot | 

Du coup, si on possède déjà un VPN cela risque de faire double usage avec celui ci ou bien d’en diminuer l’efficacité ?

avatar R-APPLE-R | 

@oboulot

Je ne pense pas car une fois sélectionné c’est le VPN qui prend le relais et j’imagine que ça fait la même chose si l’on a un DNS différent comme ceux de Google ou de Cloudfare...

avatar R-APPLE-R | 

Quelqu’un pourrait expliquer plus clairement et si ont peut se fier à cette application ? Merci d’avance 🙂
Édit : Le fournisseur DNS sélectionné peut surveiller et enregistrer
les noms et les adresses des sites web et des serveurs que
vous consultez.
C’est censé protéger la vie privée mais j’ai l’impression que c’est comme les claviers de tierces parties... je ne sais pas quoi en penser 🤔

avatar Adodane | 

@R-APPLE-R

Tout comme les dns de Google, cloudflare où je sais plus quoi ... c’est du siphonnage de données 💁‍♀️

DNS c’est celui de son isp et c’est tout.

avatar R-APPLE-R | 

@Adodane

Ha bon ? Et vous pensez que votre opérateur ne siphonne pas vos données ? J’imagine que en plus il doivent ( tout les opérateurs ) travailler avec l’état...
Mais a qui se fier ? Les VPN ? Personne ne sais non plus se qu’ils font derrière...

avatar Adodane | 

@R-APPLE-R

DNS de l’opérateur ou pas, ils savent déjà tout ce qu’on fait sur internet puisque ce sont nos opérateurs. Donc autant faire en sorte que les requêtes dns ne soit pas données à des entreprises externes ( en plus étrangères ) 💁‍♀️

avatar R-APPLE-R | 

@Adodane

Si je passe par un VPN ils ne peuvent pas savoir ce que fait... et j’imagine que en changeant de DNS pour ceux de Google ou Cloudfare comme vous dites c’est impossible pour eux de savoir ou l’on va et se que l’ont fait...
Franchement je résonne de la manière suivante :

Si mon opérateur me traque et qu’il vend mes données il peut le faire a une assurance ou d’autres choses peut importe qui travaille bien sur en France et qui le jour J ou j’aurais besoin d’un service de la part de cette entreprise je pourrait me voir refuser se service par ce que j’aurais était fiché justement...

C’est pas parce que ça reste en France que ça vous assure quoique ce soit ! J’irai même jusqu’à dire le contraire !

Si c’est Google qui me traque c’est de la publicité ciblée, ok c’est reloue mais si c’est mon opérateur qui envoie les données a ma banque et que le jour ou je veut contracter un près ma banque me le refuse...

Comme vous voyez c’est deux poids deux mesures et ça peut très vite rentrer dans la vie privé bien plus que de la simple publicité !

avatar Adodane | 

@R-APPLE-R

Le business model des VPN c’est le siphonage des données, les abonnements à prix cassé ne sont que poudre aux yeux ...

Je ne pense pas que le croisement de données personnelles sans consentement soit légal en France, faudrait demander à la CNIL.

Après chacun fait ce qu’il veut, les entreprises étrangères de collecte de données sont bras ouverts ! 💁‍♀️

avatar MarcMame | 

@R-APPLE-R

"Si c’est Google qui me traque c’est de la publicité ciblée, ok c’est reloue mais si c’est mon opérateur qui envoie les données a ma banque et que le jour ou je veut contracter un près ma banque me le refuse..."

———-
D’une part, qu’est-ce qui t’interdit d’imaginer que Google ne vend pas les informations te concernant à ta banque ?
D’autre part, même si tu as un doute sur ton FAI, tu n’en as aucun concernant Google.
Les modèles économiques ne sont pas les mêmes et si ton FAI se fait choper, les conséquences seront autrement plus désastreuses.
En l’occurrence, à ma connaissance et pour le moment, aucun FAI ne s’est fait chopé pour l’exploitation et la revente des données de leurs clients et c’est interdit par la CNIL.
Donc dans cette attente je ferais bien moins confiance à Google qu’à mon FAI.

avatar bidibout | 

@Adodane

C'est la raison pour laquelle je n'utilise ni vpn ni dns tiers.

avatar kadelka | 

@R-APPLE-R

« A priori » tu peux leur faire confiance.
L’appli est faite par 2 français ayant de sacré connaissances réseaux.
Ils ont des logs - que tu peux désactiver -, tu peux choisir le lieu du serveur DNS et notamment la Suisse, très regardante en terme de vie privée.

J’utilise depuis quelques mois et je suis comblé.

Puisque je ne l’ai pas dit, NextDNS est un bloqueur au niveau DNS, ils sont très efficaces contre les pubs, les trackers et autre.
Je dirais que ça s’adresse plutôt à des utilisateurs d’un niveau au-dessus de novice.

avatar R-APPLE-R | 

@kadelka

D’accord je comprends un peut mieux mais où doit ont changer les réglages dont vous parlez ?
Je n’est rien trouvé dans l’application...

avatar kadelka | 

@R-APPLE-R

Ça se fait directement sur le site my.nextdns.io, vous créez un compte et vous aurez par la suite une configuration (6 caractères alphanumériques) à entrer dans l’app afin que cette dernière utilise votre configuration.

avatar R-APPLE-R | 

@kadelka

Ha oui ... donc la du coup ils seront donc encore mieux tous se que je fait puisque adosser au compte que j’aurais créé... 🧐

avatar kadelka | 

@R-APPLE-R

En fait votre compte leur sert à rien établir un quota de requêtes bloquées.
Une fois le quota dépassé, le bloquage est désactivé jusqu’au mois suivant sauf si vous payez.

En revanche les logs ne sont sauvegardés que le temps que vous configurez (il est possible qu’il y ait un stockage anonymisé après, mais je ne suis pas sûr).
Si vous choisissez la Suisse, il n’y aura jamais de transfert avec les États Unis.

avatar R-APPLE-R | 

@kadelka

D’accord c’est plus clair maintenant merci 😊

avatar instantcook | 

Sinon il y a des fédérations / associations françaises respectueuses du droit à la vie privée, qui proposent des résolveurs DNS. ;-)

avatar YuYu | 

J’ai testé l’app pendant sa phase de bêtas cet été et j’en ai été globalement très satisfait : pas de latences particulières.
Par contre j’ai remarqué un truc assez pénible : à partir du moment où l’on clique sur une URL qui donne sur trop de redirections (exemple de certains liens Google), le site visé n’est jamais atteint (impossible de se connecter à xxxxxxxxx.xx, le serveur est introuvable)

avatar dodomu | 

Plus précisément si les dns ne sont pas chiffrés, on peut savoir quels sites vous voulez visiter, mais pas plus, on ne saura pas l’historique complet, car une fois que l’on à l’adresse ip du site que l’on veut visiter, les visites sur ce site passent par un autre protocole que le dns, le protocole http, qui lui aussi dispose d’une version chiffrée, https.

Pour obtenir votre historique complet, il faudrait donc aussi surveiller le trafic http. Et si celui-ci est chiffré, ceux qui surveillent le trafic peuvent toujours savoir quel site vous visitez (cette partie là n’est pas chiffrée, normal il faut bien pouvoir acheminer la demande jusqu’au site destinataire), la date du trafic et la taille des donnés échangées, mais il ne pourront pas voir le détail (quelles pages sont visitées, quelles données vous fournissez, etc).

C’est pour cette raison qu’un vpn grand public est inutile même pour les connexions sur des réseaux ouvert, si les sites que vous consultez sont en https, trop peu d’informations utiles seront visible en clair, et ne seront pas utiles pour des visites ponctuelles sur ce genre de réseaux.

Ce qu’il reste d’informations non chiffrées en https est impossible à chiffrer totalement, car indispensable à la bonne marche du web. Quand vous utilisez un vpn, vous encapsulez à nouveau tout votre trafic internet dans un autre protocole, le protocole du vpn, ce faisant votre opérateur ne verra que la connexion au vpn, la date et la taille des données échangées, mais ne vera comme unique destinataire que la compagnie du vpn. Cela dit, la compagnie vpn aura accès au données https qui transitent, donc choisissez le avec soins, avec au moins autant de soin, sinon plus, que votre opérateur internet...

avatar reborn | 

@dodomu

+1

avatar scanmb | 

Pardon, mais je n’ai pas bien compris
C’est une fonction dans iOS14 ou bien est-ce nextdns qui filtre ?
C’est un vpn ?
Sinon, l’app nextdns est gratuite ?
Comment gagnent t ils des sous ?
Cordialement

avatar 1Er0ck | 

La vie privée on s’en fiche pas mal, les dns chiffrés sont en pratique utilisés pour accéder à tous les sites censurés en france, dont la liste s’allonge tous les jours et ceci en toute opacité puisque les décisions de justice sont cachées du grand public. On peut retrouver Libgen, scihub, une palanquée de sites pirate et même des sites neonazies.

avatar David Finder | 

@1Er0ck

Et est-ce gênant que des sites neo nazis soient censurés ?

avatar 1Er0ck | 

C'est provocateur pour ouvrir le débat entre bonne et mauvaise censure. En tout cas le blocage DNS est un coup d'épée dans l'eau, et l'approche américaine avec saisie du serveur par la CIA/FBI me semble plus efficace.

avatar David Finder | 

@1Er0ck

Ok, je comprends mieux.

avatar Chrismen78 | 

Moi, actuellement j’utilise « AdGuard » ( bloqueur de publicité). Puis-je utiliser « NextDns » en même temps ? N’y aura t-il pas de conflit ? Merci d’avance pour vos réponses !

avatar LaurentR | 

Bonsoir. Je ne trouve pas la configuration dans iPados 14

avatar Chrismen78 | 

@LaurentR

Je ne trouve pas la configuration non plus sur iOS. Dans l’article, il est dit d’aller dans « Général », puis « Vpn et réseaux » ( ce que je ne trouve pas ). Il existe bien « Vpn » ( pas Vpn et réseaux). Mais, il faut ajouter un Vpn manuellement, il n’est apparemment pas possible de sélectionner ( comme il est précisé dans l’article) « NextDns ». Et, lorsqu’on sélectionne le mode d’ajout automatique, on nous demande une Url. Pas si simple que décrit dans l’article et de plus, mal expliqué dans l’article. Et le terme décrit dans l’article « Vpn et réseaux » n’existe apparemment pas !

avatar bidibout | 

@Chrismen78

Je pense que ce que l'article dit c'est que iOS 14 est compatible et non pas qu'il intègre la fonction nativement.

Pour activer la fonction comme indiqué dans l'article il faut au préalable installer l'application dont il est question.

avatar Chrismen78 | 

@bidibout

Merci pour cette réponse. Mais, l’article explique clairement qu’il faut aller dans les réglages de l’iPhone, puis dans « Vpn et réseaux » ( qui n’existe pas, seul « Vpn » existe), puis sélectionner ensuite « NextDns ».
Puis ensuite, installer l’application « NextDns » et l’activer.
Dans le doute, j’ai tout de même installé l’application « NextDns », mais cela ne change absolument rien ! Aucun nouveau réglage n’apparaît, suite à l’installation de l’application.
Pour moi, l’article manque de clarté !

EDIT:
Je reviens sur ce que j’ai dit précédemment.
En effet, une fois l’application installée, « Vpn et réseaux » apparaît bien dans les réglages.
Nous pouvons sélectionner « NextDns », puis activer enfin l’application.
Mais, l’article aurait dû préciser qu’il fallait absolument installer l’application avant d’aller dans les réglages de l’iPhone.
Tout aurait été plus simple pour tout le monde !

avatar xtyou | 

@LaurentR

Il faut installer l’application NextDNS pour avoir le menu dans les réglages

avatar LeFilsDeTimCook | 

Faut aller sur le site https://nextdns.io/ c’est gratuit les sept premiers jours

avatar LaurentR | 

@xtyou Nickel. Merci

avatar LaurentR | 

@LeFilsDeTimCook en fait c'est gratuit jusqu'à 300000 requêtes dns par mois, ce qui me paraît suffisant pour pas mal d'usage, si je ne me trompe pas.

avatar juliuslechien | 

Du coup par rapport à l’appli 1.1.1.1 c’est un complément ou c’est en remplacement ?

avatar Brice21 | 

@juliuslechien

Tu dois choisir l’un ou l’autre. Perso je tourne mes propres DNS, comme ça ma navigation ne regarde que moi.

avatar juliuslechien | 

@Brice21

Tes propres DNS ? Tu as un serveur chez toi pour le faire ?

avatar Brice21 | 

@juliuslechien

Oui un MacOS Server (Snow Leopard) sur MacMini depuis plus de 10 ans. Ça tourne comme une horloge et je ne pardonnerai jamais à Apple d’avoir abandonné MacOS Server.

avatar Gregoryen | 

Je l'ai installé, seulement quand je fais une recherche sur Google, par exemple une cafetière, et que je clique sur les liens style Boulanger, Darty, le navigateur ne l'ouvre pas ! Il le bloque à cause des trackeurs !
Donc je l'ai enlevé car ça rend inutilisable la navigation..

CONNEXION UTILISATEUR