Chiffrer ses requêtes DNS pour une navigation plus sécurisée https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Reproduction interdite @ PC Astuces - http://www.pcastuces.com Page 1 sur 10

Chiffrer ses reque tes DNS pour une navigation plus se curise e

Par Clément JOATHON Dernière mise à jour : 10/11/2017

Vous avez beau passer par du HTTPS pour chiffrer vos communications entre votre machine et un

site Internet, les requêtes DNS, qui servent à faire la correspondance entre les noms de domaines et

adresses IP des serveurs, sont toujours envoyées en clair. Elles peuvent donc être interceptées par un

système d'analyste de paquets (DPI) ou par un pirate (avec des attaques de type spoofing DNS ou

Man In The Middle).

Développé par le service de redirection DNS OpenDNS (qui appartient à Cisco), DNSCrypt est un outil

gratuit qui va vous permettre d'ajouter une couche supplémentaire de sécurité à votre ordinateur en

chiffrant le trafic DNS.

Notez que vous allez devoir remplacer le serveur DNS de votre FAI et utiliser un serveur DNS

supporté par le service, comme OpenDNS ou un des 40 autres compatibles (voir la liste1). Cela vous

permettra de passer outre le filtrage DNS (sites bloqués, erreurs personnalisées, …) de votre FAI et

ses éventuelles lenteurs.

DNSCrypt va fonctionner sous la forme d'un serveur proxy installé sur votre ordinateur. Toutes les

requêtes DNS qui passeront par votre carte réseau passeront à la moulinette du serveur proxy et en

ressortiront chiffrées et sécurisées.

Télécharger DNSCrypt

DNSCrypt est un logiciel gratuit créé par OpenDNS (qui appartient maintenant à Cisco).

1. Rendez sur le site de l'éditeur de DNSCrypt.

1 https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv

Chiffrer ses requêtes DNS pour une navigation plus sécurisée https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Reproduction interdite @ PC Astuces - http://www.pcastuces.com Page 2 sur 10

2. Cliquez sur le bouton DNSCrypt clients for Windows.

3. Cliquez sur dnscrypt-proxy pour télécharger la version "service" du programme qui fonctionnera en arrière-plan du système.

4. Affichez la page de téléchargement en cliquant sur Download. Cliquez ici si elle n'apparaît pas2.

5. Si vous êtes sous un Windows 64 bits, cliquez sur le fichier dnscrypt-proxy-win64-full-1.x.x.zip où la date du fichier est la plus récente. Si vous êtes sous un Windows 32 bits, cliquez sur le fichier dnscrypt-proxy-win64-full-1.x.x.zip où la date du fichier est la plus récente.

2 https://download.dnscrypt.org/dnscrypt-proxy/

Chiffrer ses requêtes DNS pour une navigation plus sécurisée https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Reproduction interdite @ PC Astuces - http://www.pcastuces.com Page 3 sur 10

6. Ouvrez le fichier téléchargé.

7. Cliquez sur Extraire tout.

8. Choisissez d'extraire les fichiers dans le dossier C:\dnscrypt et validez.

Chiffrer ses requêtes DNS pour une navigation plus sécurisée https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Reproduction interdite @ PC Astuces - http://www.pcastuces.com Page 4 sur 10

Installer DNSCrypt

DNSCrypt va fonctionner sous la forme d'un serveur proxy installé sur votre ordinateur. Toutes les

requêtes DNS qui passeront par votre carte réseau passeront à la moulinette du serveur proxy et en

ressortiront chiffrées et sécurisées.

1. Dans le champ de recherche de Windows, saisissez la commande cmd.

2. Cliquez avec le bouton droit de la souris sur le programme Invite de commandes et cliquez sur Exécuter en tant qu'administrateur.

3. Saisissez alors la commande suivante puis validez par Entrée. Pour un Windows 64 bits :

cd "C:\DNSCrypt\dnscrypt-proxy-win64"

Pour un Windows 32 bits :

cd "C:\DNSCrypt\dnscrypt-proxy-win32"

4. Choisissez un serveur DNS compatible dans cette liste3 qui se trouve également dans le fichier dnscrypt-resolvers.csv. Dans notre exemple, nous allons choisir le serveur dont le nom est cisco qui est le serveur officiel d'OpenDNS4.

3 https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv 4 https://www.opendns.com/

Chiffrer ses requêtes DNS pour une navigation plus sécurisée https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Reproduction interdite @ PC Astuces - http://www.pcastuces.com Page 5 sur 10

5. Saisissez alors la commande suivante en remplaçant cisco par le nom du serveur DNS à utiliser. Validez par Entrée.

dnscrypt-proxy.exe --resolver-name=cisco --resolvers-list="dnscrypt-resolvers.csv" --test=0

6. Le service proxy vient d'être testé avec le serveur DNS distant.

7. Si vous souhaitez essayer un autre serveur DNS, recommencez l'opération avec un autre nom. Par exemple :

dnscrypt-proxy.exe --resolver-name=dnscrypt.org-fr --resolvers-list="dnscrypt-resolvers.csv" --test=0

Chiffrer ses requêtes DNS pour une navigation plus sécurisée https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Reproduction interdite @ PC Astuces - http://www.pcastuces.com Page 6 sur 10

8. Une fois que vous avez trouvé le serveur DNS qui vous convient, saisissez la même commande que précédemment en remplaçant --test=0 par --install.

dnscrypt-proxy.exe --resolver-name=dnscrypt.org-fr --resolvers-list="dnscrypt-resolvers.csv" --install

9. Une fois l'installation du proxy DNS finie, vous voyez les messages [INFO] The dnscrypt-proxy service has been installed and started et [INFO] Now, change your resolver settings to 127.0.0.1:53. Vous allez devoir configure Windows pour lui dire de passer par le serveur que vous venez d'installer pour les requêtes DNS.

Utiliser DNSCrypt

Il ne vous reste plus qu'à rediriger le trafic DNS de votre ordinateur vers DNSCrypt.

1. Cliquez avec le bouton droit de la souris sur l'icône réseau de la barre des tâches. Cliquez sur Ouvrir les paramètres réseau et Internet.

2. Cliquez sur Ethernet (ou WiFi si vous êtes connecté sans fil).

Chiffrer ses requêtes DNS pour une navigation plus sécurisée https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Reproduction interdite @ PC Astuces - http://www.pcastuces.com Page 7 sur 10

3. Cliquez sur Modifier les options d'adapteur.

4. Cliquez avec le bouton droit de la souris sur votre carte réseau et cliquez sur Propriétés.

Chiffrer ses requêtes DNS pour une navigation plus sécurisée https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Reproduction interdite @ PC Astuces - http://www.pcastuces.com Page 8 sur 10

5. Double cliquez sur l'élément Protocole Internet version 4 (TCP/IPv4).

6. Sélectionnez l'option Utiliser l'adresse de serveur DNS suivante :.

7. Saisissez alors l'adresse 127.0.0.1 dans le champ Serveur DNS préféré. Si une adresse est déjà présente, notez là pour le jour où vous voudrez revenir en arrière.

8. Cochez la case Valider les paramètres en quittant et validez par OK.

Chiffrer ses requêtes DNS pour une navigation plus sécurisée https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Reproduction interdite @ PC Astuces - http://www.pcastuces.com Page 9 sur 10

DNS et IPv6

Si vous utilisez une connexion IPv6, double cliquez sur l'élément

Protocole Internet version 6 (TCP/IPv6) et saisissez ::1 dans le

champ Serveur DNS préféré.

9. Votre connexion DNS est désormais chiffrée et vos requêtes ne peuvent pas être interceptées ni modifiées. Un analyseur de paquets réseau comme Wireshark5 ne verra rien.

10. Pour retrouver vos réglages d'origine, retrouvez dans les paramètres TCP/IPv4 et sélectionnez l'option Utiliser les adresses des serveurs DNS automatiquement (ou remplacez l'IP locale par l'IP de votre box ou que vous avez précédemment notée). Ouvrez de nouveau une fenêtre d'invite de commandes avec les droits d'administration et utilisez la commande suivante pour désinstaller le proxy de DNSCrypt.

Chiffrer tout le trafic DNS à la maison ou au bureau

Si vous avez plusieurs appareils, vous pouvez chiffrez directement

tout le trafic DNS de vos ordinateurs, tablettes, téléphones, … en

utilisant un routeur compatible avec DNSCrypt. C'est le cas des

routeurs avec un firmware Tomato (DNSCrypt y est installé) ou

OpenWRT (à installer) par vos soins. Vous pouvez également tout

à faire utiliser un Raspberry Pi pour créer votre propre proxy pour

toute la maison.

5 https://www.wireshark.org/

Chiffrer ses requêtes DNS pour une navigation plus sécurisée https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Reproduction interdite @ PC Astuces - http://www.pcastuces.com Page 10 sur 10

Pour aller plus loin

Des remarques, des questions ? Fiche mise à jour et commentaires

disponibles en ligne sur PC Astuces à l'adresse suivante :

https://www.pcastuces.com/pratique/securite/chiffrer_dns/page1.htm

Conditions d'utilisation

Ce document peut librement être utilisé à but informatif dans un cadre personnel, scolaire ou

associatif. Toute autre utilisation, notamment commerciale est interdite. Il ne peut pas être modifié,

vendu, ni distribué ailleurs que sur PC Astuces.

A propos

PC Astuces est un site d'entraide informatique entièrement gratuit.

- Des milliers d'astuces et de guides pratiques détaillés pas à pas.

- Téléchargez gratuitement des logiciels et des applications testées par nos soins.

- Personnalisez votre Bureau avec des milliers de fonds d'écran.

- Tous les jours, une newsletter par email avec du contenu inédit.

- Un problème ? Posez vos questions sur notre Forum et obtenez rapidement des solutions

efficaces.

http://www.pcastuces.com