Cloudfare lance 1.1.1.1, son résolveur DNS rapide, sécurisé
Et respectueux de la vie privée

Le , par Stéphane le calme, Chroniqueur Actualités
Hier, Cloudflare a amorcé le lancement de son propre service DNS grand public et promet d'accélérer votre connexion Internet tout en la gardant privée. Baptisée 1.1.1.1. C’est par le biais de son PDG, Matthew Prince, que la société a annoncé la disponibilité de ce service.

Pourquoi 1.1.1.1 ? Parce que le service a été lancé le 1er avril (4/1 en anglais - les mois étant présentés avant les jours - que l’on peut donc lire comme étant 4 fois 1 - et donc quatre 1 -).

Le DNS est un « système de noms de domaine » (Domain Name System), une immense base de données qui contient tous les noms de domaine enregistrés dans le monde, et l’adresse IP associée à chaque nom. Quand vous tapez l’adresse d’un site dans un navigateur, votre appareil se connecte d’abord à un serveur DNS pour connaître l’IP correspondante, puis accède au serveur associé à cette IP pour récupérer le contenu.

Le DNS est donc incontournable dès lors que l’on se connecte à Internet puisqu’il « traduit » les noms de domaine d’Internet en adresses numériques IP (Internet Protocol). Ce mécanisme est généralement chapeauté par le FAI. Il existe toutefois déjà des alternatives avec des services de redirection DNS tels que celui d’OpenDNS. Google est aussi présent dans ce domaine avec Google Public DNS lancé en 2009.

Mais Cloudfare veut mettre l’accent sur la vie privée.

Prince explique que : « Le problème est que ces services DNS sont souvent lents et ne respectent pas la vie privée. Ce que de nombreux internautes ne réalisent pas, c'est que même si vous visitez un site web crypté – avec le petit verrou vert dans votre navigateur – cela n'empêche pas votre résolveur DNS de connaître l'identité de tous les sites que vous visitez. Cela signifie que, par défaut, votre FAI, chaque réseau wifi auquel vous êtes connecté et votre fournisseur de réseau mobile ont une liste de tous les sites que vous avez visités lors de leur utilisation. »

Et de rappeler que « Les opérateurs de réseaux se léchaient les babines depuis longtemps à l'idée de prendre les données de navigation de leurs utilisateurs et de trouver un moyen de les monétiser. Aux États-Unis, cela a été plus facile il y a un an quand le Sénat a voté pour éliminer les règles qui empêchaient les FAI de vendre les données de navigation de leurs utilisateurs. Avec toutes les inquiétudes suscitées par les données que des entreprises comme Facebook et Google collectent sur vous, il nous faut maintenant ajouter des FAI comme Comcast, Time Warner et AT & T à la liste. Et, ne vous méprenez pas, ce n'est pas un problème uniquement réservé aux États-Unis – les FAI du monde entier voient la même occasion d'envahir la vie privée. »

L’entreprise se veut rassurante et promet que les données personnelles collectées par le service ne seront pas utilisées à des fins commerciales et elles ne seront conservées que pendant 24 heures, exclusivement pour un usage interne et technique.

En effet, Prince assure que « L'activité de Cloudflare n'a jamais été basée sur le pistage des utilisateurs ou de la vente de publicité. Nous ne considérons pas les données personnelles comme un atout, nous le voyons comme un actif toxique. Alors que nous avons besoin d'une connexion pour éviter les abus et les problèmes de débogage, nous ne pouvons pas imaginer une situation où nous aurions besoin de cette information plus de 24 heures. Et nous voulions mettre notre argent là où nous étions, alors nous nous sommes engagés à retenir KPMG, la firme d'audit bien respectée, pour vérifier notre code et nos pratiques chaque année et publier un rapport public confirmant que nous faisons ce que nous avons dit. »

L'entreprise affirme « Nous ne vendrons jamais vos données, elles ne seront pas utilisées pour des publicités ciblées. Point. » Plus loin, elle rappelle que « Nous ne voulons pas savoir ce que vous faites sur Internet, ce ne sont pas nos affaires, et nous avons pris les mesures techniques nécessaires pour nous assurer que nous ne le pouvons pas. »


Du côté de la rapidité, si l’on se fie aux mesures proposées par le site spécialisé DNSPerf, le DNS fourni par CloudFlare est plus rapide que celui de Google, qui était auparavant l’option gratuite la plus rapide sur le marché.


Essayer 1.1.1.1

Source : annonce 1.1.1.1, DNSPerf

Et vous ?

Que pensez-vous de ce service ?

Voir aussi :

Un service d'hébergement doit-il être tenu pour responsable des médias piratés partagés sur sa plateforme ? Cas de Cloudfare contre ALS Scan
Des pirates s'emparent du compte Cloudfare de Coinhive pour détourner la cryptomonnaie de milliers de sites, Coinhive promet des remboursements


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Etre_Libre Etre_Libre - Membre éclairé https://www.developpez.com
le 03/04/2018 à 8:55
Bonjour,

Par curiosité j'ai testé 1.1.1.1 en DNS mais il ne résoud aucun nom d'hôte testé...

Par contre Quad9 (9.9.9.9) oui.

Vous aussi ?

Edit : tests supplémentaires : 1.1.1.1 ok depuis connexion OVH, mais KO depuis connexion SFR Câble.
2ème Edit : 1.0.0.1 OK (Cloudflare aussi) en DNS depuis SFR Câble.
Avatar de Spleeen Spleeen - Membre du Club https://www.developpez.com
le 03/04/2018 à 15:38
C'est marrant parce que la différence est minime avec Google DNS mais j'ai l'impression effectivement que mes pages arrivent plus vite... pourtant c'est affaire de qq ms.
Avatar de MiaowZedong MiaowZedong - Membre extrêmement actif https://www.developpez.com
le 03/04/2018 à 16:10
Gratuit, c'est bien.
Ne pas collecter des données, c'est bien.

Mais quand est-ce qu'ils se font de l'argent? C'est presenté comme un service public, mais Cloudflare est une société privée...
Avatar de earhater earhater - Membre confirmé https://www.developpez.com
le 03/04/2018 à 16:29
Mais quand est-ce qu'ils se font de l'argent? C'est presenté comme un service public, mais Cloudflare est une société privée...
Je suppute qu'ils souhaitent démocratiser leur solution de manière la plus large possible pour que les entreprises prennent leur offre pro (d'une excellente qualité et des services gratuits ou au moins peu cher au passage !)
Avatar de Pierre Louis Chevalier Pierre Louis Chevalier - Expert éminent sénior https://www.developpez.com
le 03/04/2018 à 17:04
C'est ça, ils font du buzz avec leurs services gratuits pour attirer l'attention sur leur marque, mais ils vendent aussi des services payants.
Avatar de Jipété Jipété - Expert éminent sénior https://www.developpez.com
le 03/04/2018 à 19:00
Citation Envoyé par Spleeen Voir le message
C'est marrant parce que la différence est minime avec Google DNS mais j'ai l'impression effectivement que mes pages arrivent plus vite...
Quand elles arrivent... Ce matin vers 11 h le truc était incapable de résoudre les noms ! DDOS ? Impossible de savoir, j'ai viré ça de mon /etc/resolv.conf, relancé le navigateur et c'était bon.
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 08/06/2018 à 11:16
Cloudfare étoffe 1.1.1.1, son offre de service DNS grand public qu'il vante comme étant respectueux de la vie privée,
d'un résolveur sur le réseau Tor

Le 1er avril, Cloudflare a amorcé le lancement de son propre service DNS grand public et promet d'accélérer votre connexion Internet tout en la gardant privée. Baptisée 1.1.1.1. C’est par le biais de son PDG, Matthew Prince, que la société a annoncé la disponibilité de ce service.

Prince a alors expliqué que : « Le problème est que ces services DNS sont souvent lents et ne respectent pas la vie privée. Ce que de nombreux internautes ne réalisent pas, c'est que même si vous visitez un site web crypté – avec le petit verrou vert dans votre navigateur – cela n'empêche pas votre résolveur DNS de connaître l'identité de tous les sites que vous visitez. Cela signifie que, par défaut, votre FAI, chaque réseau wifi auquel vous êtes connecté et votre fournisseur de réseau mobile ont une liste de tous les sites que vous avez visités lors de leur utilisation. »

Et de rappeler que « Les opérateurs de réseaux se léchaient les babines depuis longtemps à l'idée de prendre les données de navigation de leurs utilisateurs et de trouver un moyen de les monétiser. Aux États-Unis, cela a été plus facile il y a un an quand le Sénat a voté pour éliminer les règles qui empêchaient les FAI de vendre les données de navigation de leurs utilisateurs. Avec toutes les inquiétudes suscitées par les données que des entreprises comme Facebook et Google collectent sur vous, il nous faut maintenant ajouter des FAI comme Comcast, Time Warner et AT & T à la liste. Et, ne vous méprenez pas, ce n'est pas un problème uniquement réservé aux États-Unis – les FAI du monde entier voient la même occasion d'envahir la vie privée. »

L’entreprise a promis que les données personnelles collectées par le service ne seront pas utilisées à des fins commerciales et elles ne seront conservées que pendant 24 heures, exclusivement pour un usage interne et technique.

Cette fois-ci, l’entreprise a présenté un service expérimental qui accompagne son offre 1.1.1.1 : le résolveur caché. Bien entendu, il faut préciser qu’à cause de son état, il n’est pas conseillé de s’en servir en production ou pour des usages critiques avant que des tests plus rigoureux n’aient été fait.

Un service lancé sur Tor

Mahrud Sayrafi, qui s’est chargé de la présentation du service, a d’abord tenu à rappeler brièvement ce qu’est Tor et ce que sont les services en oignon Tor.

Qu’est-ce qu’un service en oignon Tor ?

Pour fournir l'anonymat aux éditeurs de contenu, Tor dispose de services en oignon. Il s’agit de nœuds Tor qui annoncent leur clé publique, codés en tant qu'adresse avec .onion TLD, et établissent des connexions entièrement au sein du réseau Tor:


Comment résolvez-vous un domaine en utilisant Tor ?

Le processus de renvoi d'une adresse IP avec un nom de domaine est appelé résolution DNS. Étant donné que Tor utilise toujours les adresses IP, vous devez toujours effectuer une résolution DNS pour parcourir le Web sur Tor. Il existe deux méthodes courantes pour résoudre un nom de domaine lors de l'utilisation de Tor :
  1. Résolvez le nom directement, puis appelez l'adresse IP via Tor;
  2. Demandez à un relais de sortie Tor pour résoudre le nom publiquement, puis connectez-vous à l'adresse IP.

    En clair, la première option transfère votre adresse IP à votre résolveur DNS et, à moins que votre client n'utilise DNS-over-HTTPS ou DNS-over-TLS, votre FAI peut parvenir à voir votre nom de destination. Ce qui est moins évident, c'est que la deuxième option peut vous ouvrir à des attaques de manipulation telles que l'empoisonnement DNS ou sslstrip par de mauvais relais. C'est ici que le nouveau service de Cloudfare intervient :
  3. Demandez à un service de résolveur .onion !

Comment fonctionne le résolveur caché Cloudflare ?

En quelques mots, le service de résolveur basé sur .onion est un service en onion Tor qui transmet toutes les communications sur les ports DNS vers les ports correspondants du 1.1.1.1, d'où l'IP du client apparent est une IP interne plutôt que la vôtre. Mahrud explique qu’en réalité c’est bien plus que cela.


Le résolveur caché est-il sécurisé ?

Mahrud précise que l’une des différences flagrantes entre l'utilisation de 1.1.1.1 et ce service est que l'adresse .onion est "dns4tor" plus 49 caractères alphanumériques apparemment aléatoires (dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion). En fait, cette longue chaîne de 56 caractères contient une clé publique complète Ed25519 qui est utilisée pour sécuriser la communication avec le service d'oignon. Cela pose un certain nombre de défis en matière de sécurité utilisable:

Comment les utilisateurs peuvent-ils faire pour se rassurer qu’ils ont entré la bonne adresse ? « Nous avons simplement acheté un certificat avec tor.cloudflare-dns.com comme nom de sujet et l'adresse .onion comme nom alternatif. De cette façon, si vous êtes au bon endroit, vous devriez voir ceci »


Comment les utilisateurs peuvent-ils se souvenir de cette adresse ?

« Nous ne pensons pas que vous devriez avoir besoin de vous souvenir de cette adresse. Idéalement, tout ce que vous avez à faire est d'aller sur https://tor.cloudflare-dns.com et de demander au navigateur de router votre requête vers l'adresse .onion. Cela est possible en utilisant l'en-tête HTTP "Alt-Svc" qui est un en-tête facultatif notifiant au navigateur que les ressources peuvent être accédées à partir d'un emplacement réseau alternatif, éventuellement en utilisant un protocole différent. Grâce à Mozilla, l'utilisation des adresses .onion en tant que services alternatifs est désormais possible dans Firefox Nightly.

« Pensez à cette fonctionnalité comme à une méthode de chiffrement opportuniste : une fois que votre navigateur reçoit un en-tête Alt-Svc indiquant qu'une adresse .onion est disponible pour tor.cloudflare-dns.com, s'il sait que les adresses .onion sont accessibles (par exemple via un SOCKS proxy), il tente de vérifier que le service de remplacement dispose d’un niveau de sécurité identique, voire supérieur. Cela inclut de s'assurer qu'il est possible de se connecter au service oignon en utilisant le même certificat et le même nom de serveur. Si c'est le cas, le navigateur utilise plutôt le service alternatif, garantissant ainsi que vos futures requêtes ne quitteront pas le réseau Tor ».

Source : blog Cloudfare

Et vous ?

Que pensez-vous de ce service supplémentaire ? Allez-vous l'essayer ?

Voir aussi :

Mozilla prévoit de lancer un Shield Study de DNS over HTTPS sur Firefox Nightly, mais la forme suscite la controverse même au sein de ses équipes
Un service d'hébergement doit-il être tenu pour responsable des médias piratés partagés sur sa plateforme ? Cas de Cloudfare contre ALS Scan
La Russie travaille à la mise sur pied d'une infrastructure DNS à l'usage des BRICS, regards braqués sur août 2018
Des pirates s'emparent du compte Cloudfare de Coinhive pour détourner la cryptomonnaie de milliers de sites, Coinhive promet des remboursements
Android : Google implémente le support du DNS sur TLS, pour empêcher l'écoute et la falsification des requêtes DNS sur un réseau
Contacter le responsable de la rubrique Accueil