var Phenix = function () {
Troll du Web depuis 1996

OpenDNS, des DNS pas si open que ça !

23 mai 2013 par Phenix dans Comptoir du Troll

Le site OpenDNS propose des serveurs DNS soi-disant plus rapides et plus sécurisés que les autres.

Ça tombe bien, j’aime bien les serveurs DNS alternatifs qui contournent les DNS des FAI souvent censurés par les états.

Mais, dans ce cas-ci, franchement, il vaut mieux éviter de l’utiliser !

L’idée de faire des serveurs DNS alternatifs est, en soit, une bonne idée, mais la mise en pratique par OpenDNS me laisse dubitatif et me fait croire qu’on ne peut vraiment pas leur faire confiance. Ils fournissent un « service » douteux.

Première chose que vous noterez : ils interceptent vos URL pour rediriger les « ratés » vers un moteur de recherche à leur sauce :

OpenDNS : un moteur de recheche ?

Je ne sais pas pour vous, mais moi, je trouve ça moyen. Surtout que ça me gêne beaucoup puisqu’il prend la place de DuckDuckGo...

Mais je leur laisse une chance. Il propose de s’inscrire sur leur site pour avoir accès à plus d’options. Soit, je ne sais pas encore comment cela fonctionne, mais si cela marche, pourquoi pas.
Cela dit, je ne vois qu’une seule possibilité pour mettre ça en place : l’identification par IP, ça me fait déjà peur.

Déjà le formulaire d’inscription, c’est pas glop :

OpenDNS : Et ma mastercard aussi ?

Même si la plupart des champs sont optionnels, la majorité des gens remplissent complètement ce genre de formulaire de nos jours...

Et puis le clou du spectacle : pour pouvoir retrouver vos préférences, il faut installer un logiciel qui détecte votre IP et l’envoie à OpenDNS :

OpenDNS : je suis un mouchard et je ne me cache même pas<small class="fine d-inline"> </small>!

Pour la sécurité de vos données, on repassera... Je résume pour ceux qui n’ont pas encore fait l’association, nous avons :

  • Des gens qui savent sur quel site vous allez de façon sure à 100% grâce aux DNS.
  • Ils peuvent faire le lien entre votre IP et un compte sur leurs serveurs. Compte que vous avez alimenté en données personnelles très précises.
  • Il ne leur reste plus qu’à faire un lien avec les log de leurs serveurs DNS pour se retrouver avec un gros tas de données qui valent leur pesant de cacahuètes... Google a bâti tout un modèle économique autour de ça, hein...

Il y a une entreprise derrière OpenDNS : http://www.umbrella.com qui doit résister tous les jours à la tentation de vendre ces données... Ou pas, je vous laisse seul juge. Moi, je suis retourné sur les DNS de Google, mais ce n’est sûrement pas beaucoup mieux, mais, au moins, je ne suis pas pisté aussi facilement.

Alors, oui, je n’ai aucune preuve de ce que j’avance dans cet article, peut-être que ce sont des gens très bien, ou peut être pas, alors dans le doute, il vaut mieux passer son chemin.

Visiblement, je ne suis pas le seul à penser comme cela.

3 Messages

  • OpenDNS, des DNS pas si open que ça !

    Le 23 mai 2013 à 21:53 par Frank

    La redirection vers le moteur de recherche peut etre desactivee.
    Il faut aller dans « Customization » puis decocher « Enable NX Domain Redirection ».

    Tu as la possibilite de filtrer certains domaines et categories, et d’afficher une page personnalisee quand un truc est bloque. Pour cela, il faut faire le lien entre ta requete DNS et ton compte.
    Il y a plusieurs moyens de faire ce lien. L’adresse IP en est une.
    Si ton adresse IP est dynamique, il faut bien un moyen de dire a OpenDNS « voici ma nouvelle IP, applique mes reglages a celle-ci desormais ». C’est ce que le « OpenDNS updater » fait. Tu n’es pas oblige de l’installer. Si ton adresse IP ne change pas, tu n’en as pas besoin. Si tu ne veux pas configurer quoi que ce soit et avoir les reglages par defaut, tu n’en as pas besoin non plus.
    Tu peux aussi utiliser dnscrypt a la place : http://dnscrypt.org

    On ne se sert pas des donnees collectees pour de la revente a des spam^H^H^H^Hentreprises de marketing ou pour de la pub, contrairement a Google dont c’est la premiere source de revenus.

    On s’en sert uniquement pour avoir un apercu en temps reel de ce qu’il se passe sur internet et y detecter des malware, botnets, phishing, spam et autres activites frauduleuses.

    C’est ce qui nous permet d’offrir un service de securite en plus d’un simple service de DNS. Tu peux jeter un coup d’oeil a cette presentation pour un apercu de ce que l’on fait avec ces donnees : http://www.slideshare.net/jedisct1/preso-20946801 ainsi que notre blog http://labs.umbrella.com/blog/

    Pour le formulaire d’inscription, on est d’accord, il est naze.
    Répondre à ce message
    • OpenDNS, des DNS pas si open que ça !

      Le 23 mai 2013 à 23:26 par Phenix

      Je vois que l’on fait bien sont travail de veille chez OpenDNS.

      La redirection vers le moteur de recherche peut etre desactivee.
      Il faut aller dans « Customization » puis decocher « Enable NX Domain Redirection ».

      J’ai cherché cette option super longtemps et l’intitulé du menu n’est pas hyper clair, n’y mis en valeur.

      Tu as la possibilite de filtrer certains domaines et categories, et d’afficher une page personnalisee quand un truc est bloque. Pour cela, il faut faire le lien entre ta requete DNS et ton compte.

      J’ai donc la possibilité d’utiliser volontairement un DNS menteur ? Alors que c’est justement ce que je cherche à fuir ? Qui me dis qu’il n’est pas menteur par défaut ?

      Si ton adresse IP est dynamique, il faut bien un moyen de dire a OpenDNS « voici ma nouvelle IP, applique mes reglages a celle-ci desormais ».

      Je ne devrait pas avoir à régler quoi que ce soit, je fais une requête DNS, le serveur me répond, et ça s’arrête là.

      On ne se sert pas des donnees collectees pour de la revente a des spam^H^H^H^Hentreprises de marketing ou pour de la pub, contrairement a Google dont c’est la premiere source de revenus.

      Pour Google, je suis d’accord, mais comme je ne navigue pas avec mon compte connecté, le lien est plus difficile à faire.
      Par contre, me dire que ce n’est pas votre modèle économique me fait rire, de quoi vivez-vous donc ?
      Qu’arrivera t’il le jour ou votre modèle économique ne fonctionnera plus et que la seul solution pour sauver vos emplois sera de vendre nos données à des tiers ?

      On s’en sert uniquement pour avoir un apercu en temps reel de ce qu’il se passe sur internet et y detecter des malware, botnets, phishing, spam et autres activites frauduleuses.

      Donc en plus d’avoir des DNS potentiellement menteur, vous êtes des délateurs ? Est-ce le rôle d’un serveur DNS de jouer la police ? Et la neutralité du net ?

      Pour le formulaire d’inscription, on est d’accord, il est naze.

      On est enfin d’accord sur quelque chose !

      Répondre à ce message
      • OpenDNS, des DNS pas si open que ça !

        Le 24 mai 2013 à 00:19 par Frank

        Tu as la possibilite d’utiliser volontairement un DNS menteur. Certains s’en servent pour bloquer la pub. Des ecoles et parents l’utilisent pour bloquer du contenu inapproprie (control parental). Des points d’acces WiFi publics ne veulent pas que toute la bande passante soit utilisee pour telecharger des warez, des films ou le dernier album de Justin Bieber. Certaines entreprises ne veulent pas que leurs employes passent leurs journees a regarder des videos de chats. Certaines ecoles ne veulent pas que les eleves puissent acceder a des sites de fraude academique. C’est du blocage, mais il y a parfois de bonnes raisons de le faire. Tout comme utiliser AdBlock.

        Si tu utilises le service gratuitement, tu as la pub, qui est desactivable, et qui ne rapporte pratiquement rien. Ce n’est pas notre modele economique.

        Si tu paies, tu n’as plus de pub nulle part, tu as acces a un service de VPN, une integration Active Directory et des stats sur ce qu’il se passe sur ton reseau (optionnel, desactive par defaut). Et surtout, le DNS menteur peut etre utilise pour bloquer le contenu malveillant : phishing, malware, botnets. C’est une solution complementaire aux antivirus. C’est notre produit et notre modele economique.

        Regarde http://www.umbrella.com et « Products and pricing ». Le service de DNS n’est meme plus mentionne. Au lieu de ou en complement de logiciels type firewalls, antivirus et proxy de controle parental, tu peux utiliser OpenDNS. Le protocole standard DNS est utilise au lieu d’avoir a installer des logiciels proprietaires utilisant des protocoles proprietaires.

        Si l’on trouve un site web qui distribue des virus, on propose de le bloquer pour les clients qui ont active l’option « bloquer les virus ». Si on trouve un faux site Paypal, on le bloque pour les clients qui ont active l’option « bloquer les phishing ».

        Maintenant, il faut les trouver, ces sites. On utilise les requetes DNS que l’on observe pour cela. Si un site xzwqwnueice.ru totalement inconnu, sans aucun traffic jusqu’ici et enregistre la veille recoit d’un coup un enorme traffic en provenance du monde entier, et que l’on constate que les adresses IPs qui ont charge ce site envoient par la suite une enorme quantite de spam, on va regarder de plus pres ce que xzwqwnueice.ru contient. S’il s’avere distribuer des virus, on va l’ajouter a notre liste de sites distribuant des virus, pour le bloquer pour ceux qui le souhaitent.

        Si ce n’est pas le service que tu recherches, et que tu souhaites juste un service de DNS basique, OpenDNS n’est pas forcement la meilleure reponse a ce que tu recherches.
        Répondre à ce message