La résolution de nom de domaine est le système de traitement distribué qui permet de connaître l’adresse IP (numérique) d’un site web ou d’un service, à partir de son nom, comme www.fnac.com.
Inventé il y a 35 ans, le système a prouvé sa remarquable évolutif. Toutefois, il n’a pas été conçu pour la sécurité, ni pour la confidentialité.
Cloudflare, l’un des premiers réseaux de diffusion de contenu du monde, lance un service gratuit de résolution de nom de domaine : 1.1.1.1.
Comme cette adresse IP4 n’est pas toujours correctement identifiée par des systèmes et des matériels qui lui attribuent parfois une signification spéciale, on peut également essayer 1.0.0.1.
Cette offre s’adresse d’abord aux particuliers, puisque les entreprises, pour des raisons de confidentialité et de sécurité, utilisent en général leurs propres serveurs DNS.
En général, un internaute utilise le serveur de DNS de son fournisseur d’accès, la box configurant automatiquement les adresses des serveurs de DNS du fournisseur.
Avec une telle configuration, le fournisseur d’accès peut voir, pour chaque client, et selon la législation et ses conditions d’utilisation, traiter, sauvegarder ou revendre, tous les sites web et toutes les adresses IP consultés par un navigateur web, un ordinateur, une tablette ou une DNS.
Si la connexion est chiffrée, il ne peut lire ce que contient la page web, ou l’échange d’information d’une application. Il sait en revanche toujours quel site ou quelle adresse est consultée, quel jour, à quelle heure, souvent à partir d’où : ces métadonnées peuvent déjà en dire beaucoup sur l’internaute, ses goûts, ses envies, ses besoins.
L’avantage numéro un de l’utilisation de 1.1.1.1 serait donc la préservation de la vie privée, Cloudflare s’engageant à ne conserver aucune trace de la résolution de nom de domaine. Le service suit l’état de l’art (RFC7816, DNS Query Name Minimisation to Improve Privacy) contrairement à de nombreux autres serveurs, en ne fournissant à un serveur de résolution uniquement la portion d’information dont il a besoin pour fournir une réponse.
La seule réserve est que pour utiliser une adresse si prestigieuse et facile à retenir (1.1.1.1), Cloudflare a conclu un accord de projet de recherche avec l’APNIC, le registre Internet qui administre les adresses pour l’Asie-Pacifique.
Ce dernier promet de détruire toutes les données DNS dès qu’une analyse statistique sur le flux de données est effectuée.
Pendant 5 ans, l’APNIC attribue les adresses 1.1.1.1 et 1.0.0.1 à Cloudflare. Passé ce partenariat, l’APNIC pourrait allouer ces deux adresses de façon permanente à Cloudflare.
Cloudflare opère son service de résolution de nom de domaine également sur les adresses IP6 2606:4700:4700: : 1111 et 2606:4700:4700: : 1001.
Le deuxième avantage du service serait la vitesse. D’après les statistiques de Cloudflare, son service serait environ six fois plus rapide que le serveur d’un fournisseur d’accès, et deux à trois fois plus rapide que les services alternatifs de Google (8.8.8.8) et de Cisco.
Le troisième avantage du service est qu’il est conçu avec l’avenir en tête, en étant déjà compatible avec des normes de confidentialité comme DNS-over-HTTPS et DNS-Over-TLS, ainsi qu’avec le protocole DNSSEC, pour la vérification de l’authenticité d’un nom de domaine.
Le lecteur intéressé trouvera les instructions de configuration de son système sur https://1.1.1.1 ou https://1.0.0.0.1.