Le prefetching DNS et le pillage de vos données personnelles

J’avais publié un article en 2012 sur la manière de désactiver le prefetching DNS dans Firefox. Le prefetching DNS consiste, au niveau de votre navigateur, à faire une requête DNS sur tous les noms de domaines présents dans la page, en anticipant sur la probabilité que vous cliquiez sur l’un des liens de la page. Ce serait sensé accélérer votre navigation.

Ça, c’est pour la version des gens heureux au pays des bisounours. La vérité est ailleurs ! Le prefetching DNS est devenu une arme utilisée par Google pour connaître à peu près tout de la navigation d’abrutis notoires qui utilisent ses DNS publics (8.8.8.8 et 8.8.4.4). Pour ceux d’entre vous qui utilisent OpenDNS racheté par Cisco, ce n’est pas beaucoup mieux ! J’ai moi-même utilisé, un temps, OpenDNS. Nul n’est parfait. ;+) 

Désactiver le prefetching dans Firefox

A partir de la barre d’adresses, tapez about:config et passez les options aux valeurs suivantes par double-clic :

Le prefetching DNS et le pillage de vos données personnelles

Message aux utilisateurs de Google Chrome ou de Chromium

A tous les utilisateurs de Google Chrome ou de Chromium, il serait peut-être temps, pour vous, de comprendre la nature liberticide de l’utilisation des logiciels fournis par Google. Tapez chrome://dns à partir de la barre d’adresses de l’un de ces logiciels tout pourri qui vous pille vos données personnelles à l’insu de votre plein gré. Pour éviter dans Google Chrome ou Chromium le pillage perpétré par le prefetching DNS, allez dans Paramètres -> Confidentialité et décochez toutes les options de confidentialité pour minimiser le tracking perpétré par la firme de Mountain View :

Le prefetching DNS et le pillage de vos données personnelles

Collecter le contenu du cache DNS sous Windows en PowerShell

Ce script PowerShell vous permet d’extraire les domaines présents dans le cache DNS à l’intérieur du fichier c:\windows\dnscache.txt. Je vous recommande d’en planifier l’exécution, durant 24 h 00, toutes les minutes, à l’aide du planificateur de tâches intégré à Windows !

$file='c:\windows\dnscache.txt'
$exe='c:\windows\system32\ipconfig.exe' 
$cmd=&$exe /displaydns
[string[]]$domaines=@()
ForEach($ligne in $cmd)
{
    If($ligne -match "Nom d'enregistrement. : (.*)$")
    {
        $domaines+=$Matches[1]
    }
}
$domaines|Sort -Unique|Add-Content $file
Get-Content $file|Sort -Unique|Tee $file

Tracking  / Chromium Données personnelles Firefox Formateur Sécurité informatique Google Chrome Sécurité informatique Vie privée 

Commentaires

Salut,
Intéressant, je ne savais pas que Firefox pratiquait cela aussi …
Par contre je n’ai pas la clef suivante (Firefox 46/Ubuntu): network.dns.disablePrefetchFromHTTPS

Sinon, quels DNS utilises-tu du coup ?

Bonjour,

ou mieux, installer bind9 :)

@Clèm

Sauf si tu utilises des redirecteurs.

@pafzedog

Dnscrypt : http://www.dsfc.net/search/dnscrypt

Bonjour,
Merci Denis, j’ai vérifié pour voir et ces valeurs sur mon Firefox sont bien sur « true et false » comme indiqué…je choisi peut-être bien mes extensions ? le seul truc de Google que j’utilise c’est Gmail (uniquement en Mail fourre tout…)merci

« Abrutis notoires », tu sais t’adresser à ton public en tous cas

Je ne suis pas sûr que préconiser la désactivation du prefectching soit très pertinente. Il suffisait d’expliquer aux gens comment utiliser les resolveurs de FDN ou bien ceux d’OpenNIC (https://www.opennicproject.org/) (si déjà ils ont fait le changement vers 8.8.8.8, c’est qu’il savent comment modifier leur paramétrage DNS).

De plus, indiquer aux gens de désactiver toutes les options de ton screen me rend assez perplexe. La dernière, par exemple, n’induit aucun tracking (c’est tout le contraire de la fonction, même). Celle de protection contre les malwares peut parfois sauver la vie des néophytes qui cliquent trop vite (expérience vécue, la page rouge a bien fait son effet chez mes parents, pour un domaine qui était bien vérolé).

My 2 cents.

Bonjour
Merci pour ces conseils et pour ma part, je n’ai jamais utilisé Google Chrome…une sorte de répulsion !
Ceci dit, j’essaie de ma débarrasser du moteur de recherche Google et depuis peu j’ai installé Ecosia.
Un autre sujet de mécontentement : la localisation ET la proposition de retenir mes mots de passe.
S’il y a une solution, je suis preneur, merci.

@Harvester

J’ai l’impression de m’être classé dans la catégorie des « abrutis notoires » également, ayant utilisé par le passé les DNS publics d’OpenDNS. Je préfère ne pas qualifier l’internaute qui surferait avec Google Chrome en utilisant les DNS publics made in Google. Là, je risquerais de te fâcher.

La protection contre les malware, c’est une requête qui est envoyée chez Google avant d’aller sur le site. Si ce n’est pas du tracking, alors je m’appelle sœur Thérèse !

-> http://google.com.au/safebrowsing/diagnostic?site=
-> http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=

Je n’ai jamais dit que la requête pour les malwares n’était pas du tracking, juste que ton conseil de décocher aveuglément toutes les cases est pour le moins aberrant. Je préfère de loin voir des gens filer leurs requêtes à Google mais ne pas contribuer à la propagation de malwares. Le jour ou on aura le même service libre, on pourra peut-être commencer à gueuler.

C’est toujours fascinant de voir les gens gueuler contre l’atteinte à la vie privée opérée par Google, alors que c’est la boîte qui a le plus fait pour la sécurité ces dernières années. Oui, parce qu’on peut voit ce service comme un truc positif aussi, c’est pas interdit. Tout comme leur implication de le développement d’outils performants pour catcher les bugs et failles de sécu dans les compilos (beaucoup de sanitizers de LLVM ne seraient pas là si les ingés de Google en avait pas eu l’utilité, just sayin’). Ou comme leur implication dans la sécurité du net en général en poussant à la démocratisation de TLS. Ou du HTTP 2.0. Ou comme le lancement du langage Go (qui bien que moins safety-oriented que Rust, reste un apport majeur depuis le C).

On aurait pas un Internet dans l’état de sécurité dans lequel il est aujourd’hui si Google n’avait pas été là, c’est un fait.

D’autant plus que Google ne log quasiment rien via son service DNS, et ne fait pas de correlation entre les sites visités et ton compte Google : https://developers.google.com/speed/public-dns/privacy#what_we_log (oui, ça n’engage que ceux qui y croit, c’est sûr. En attendant, des discours similaires au tien, qu’utiliser les DNS Google c’est le mal absolu parce qu’ils savent tout de toi blabla, j’en ai vu plein. Des preuves du supposé tracking, jamais.)

Même en terme de fonctionnalités, ce n’est pas un DNS menteur, il valide DNSSEC, et propose du DNS over HTTPS, ce qui rend le supposé tracking encore plus hypothétique.

Et pour en revenir au sujet de l’article, et un point sur lequel tu n’as pas fait de commentaire, c’est sur la pertinence de désactiver le prefetching quand on utilise pas de DNS alternatif. Il n’y a aucun intérêt à le faire, si ce n’est à perdre en confort de surf (parce que la on touche directement à la vitesse ressentie par l’utilisateur) lorsqu’on utilise des DNS « normaux ».

@Harvester

Je te conseille la lecture d’un article que j’ai écrit en 2014 et je clos le débat ! D’ailleurs, je n’ai vraiment pas envie de débattre. Je risque franchement de m’énerver.

Google Chrome : multitudes et beaufitude

Effectivement, quand tu sauras lire les CGU du service DNS, et le livre blanc sur le fonctionnement du système, on en reparlera :)

Allez, un petit hint : https://www.google.com/intl/fr/chrome/browser/privacy/whitepaper.html#malware

Et puis après ça, tu pourras lire ça : http://arxiv.org/pdf/1407.6981v2.pdf

Après, que visiblement tu ne saches pas configurer Chrome (ou Chromium) pour qu’il ne soit pas bavard (dans le sens qu’il ne transmet pas de données permettant de faire une corrélation entre toi et lesdites données), c’est ton problème, mais pas la peine de transmettre ça à tes lecteurs :)

D’autre part, ton ancien article est full de bullshit. Les vraies stats des CVE sont ici : https://www.cvedetails.com/product/3264/Mozilla-Firefox.html?vendor_id=452 et https://www.cvedetails.com/product/15031/Google-Chrome.html?vendor_id=1224

Je sais pas comment tu interprètes ça, mais si tu veux rire un coup, tu regardes le score CVSS qui exprime la sévérité d’une faille : https://www.cvedetails.com/top-50-product-cvssscore-distribution.php

Il y a juste plus de deux fois plus de failles très critiques (9+) sur FF que sur Chrome. Bref, tu as raisons, arrêtons là, ça devient gênant pour toi :)

@Harvester

De 2009 à 2016 inclus : Google Chrome = 1248 ; Firefox = 993. Pour rappel, les stats CVE, pour Firefox, concernent la période 2003-2016. Chrome est sorti en 2008. Il faut savoir comparer ce qui est comparable. Oui, Chrome est bien la poubelle des navigateurs en matière de sécurité informatique.

Tu disais dans ton commentaire précédent que cela allait être gênant pour moi ? T’es sûr ?

@Harvester, et moi (je ne suis en aucun cas un dev ou ingé etc.)juste un p’tit dépanneur…)je préfère ne refiler aucunes « requêtes » à notre ami Google et être plus « perméable » aux Malwares, chose qui est absente de mes Pc depuis toujours ! et également chez mes clients ou famille ou encore amis…Os/navigateur bien réglé, choix des extensions et enfin un bon AV/firewall bien réglé…nous n’attrapons rien et préservons un peu (ou beaucoup selon…)de notre vie privée, question de choix ! j’ai fait le miens et encourage à faire de même plutôt que de tout refiler à nos amis Google/Crosoft and co.

Oui c’est toujours aussi gênant pour toi, même en comparant sur les même périodes (2009-today)

https://www.cvedetails.com/cvss-score-charts.php?fromform=1&vendor_id=&product_id=3264&startdate=2009-01-01&enddate=2016-05-04&groupbyyear=1

https://www.cvedetails.com/cvss-score-charts.php?fromform=1&vendor_id=&product_id=15031&startdate=2003-01-01&enddate=2016-05-04&groupbyyear=1

Moi ce que je vois, c’est que Firefox a plus de failles critiques que Chrome. Tu peux comparer le nombre total si tu veux, je préfère plus de failles moins critiques (et donc plus difficilement exploitables) que moins de failles, mais critiques.

@Jean
Si tu avais lu le lien que j’ai posté plus haut, sur le fonctionnement du système de détection des malwares, tu aurais vu que tu ne refiles rien à Google. C’est très facile de crier au loup sans se renseigner sur comment les choses marchent. La vérité est autrement plus complexe est beaucoup moins romantique que « nous résistons à la toute puissance de Google en désactivant ces fonctions ».

C’est faux parce que, par design, tu ne filais pas de données à Google, et en plus tu réduis ta sécurité (et pareil pour le service de prédiction des URL, tout se fait en local, tu ne files rien à Google). Où est le bénéfice au final ?

C’est comme mentionné au dessus, décocher bêtement les cases sans même se renseigner sur la mode de fonctionnement de ces fonctionnalités, ça n’apporte rien à personne, si ce n’est ce temporaire sentiment de « résistance à l’oppresseur ».

@Harvester, par principe (ben oui j’en ai, personne n’est parfait)je ne fais aucune « confiance » à Google/Crosoft and co. pour nous expliquer réellement ce qu’ils font/récoltent à travers leurs « services », là aussi question de choix…

De nombreux scandales par le passé (et surement à venir)ont été publiés ( par ex.le mode « private » de Chrome)sans parler des autres « services » ça me suffit…
je me répète mais mes machines (et moi même) fonctionnent très très bien sans ces « services » et c’est cela qui est important à mes yeux, tu as de sérieux arguments j’en convient mais j’ai choisi une autre voie, celle de ne faire confiance à Google et co.

Firefox fait aussi du Safebrowsing check (téléchargement et domaines visités)
Le principe est de télécharger une liste noire chez Google et de chercher le hash du fichier télécharger/nom de domaine dans cette liste en local.
Donc c’est anonyme dans le sens où la liste noire est assez grande pour ne pas cibler précisément ce que tu visites.

@Tuxicoman

J’en ai déjà parlé dans un billet précédent.

Laisser un commentaire

(requis)

(requis)