Comment créer un point d'accès sécurisé avec un DNS personnalisé

Guides Android » Appareils Android » Comment créer un point d'accès sécurisé avec un DNS personnalisé

Si vous utilisez vos données mobiles pour tout et que vous partagez fréquemment votre connexion Internet avec votre ordinateur portable, votre tablette ou votre console de jeux, transformer votre téléphone portable en un point d'accès Wi-Fi performant avec DNS personnalisé et chiffré C'est l'un de ces réglages qui font toute la différence. Pas besoin d'être ingénieur réseau : en comprenant quelques notions de base et en modifiant deux ou trois options, vous pouvez améliorer votre vitesse, renforcer votre confidentialité et réduire considérablement l'espionnage de votre fournisseur d'accès Internet ou des réseaux Wi-Fi publics.

Il est également naturel de se demander si l'activation du point d'accès mobile étend réellement cette protection aux autres appareils connectés. En réalité, cela dépend de la configuration que vous avez choisie. DNS sur AndroidiPhone, ordinateurs, routeurs et applicationsLa protection peut se limiter à votre appareil mobile ou, moyennant certaines modifications, s'étendre à d'autres appareils. Examinons la situation dans son ensemble de manière claire et concrète, en évitant le jargon technique, afin que vous sachiez précisément à quoi vous attendre et ce que vous devez configurer.

Qu'est-ce que le DNS et pourquoi devriez-vous vous en soucier ?

Le DNS, acronyme de Domain Name SystemCela fonctionne comme un annuaire internet : vous saisissez un nom facile à retenir comme « google.com », et en coulisses, le système doit le traduire en une adresse IP numérique pour atteindre le serveur approprié. Cette « traduction » est effectuée par des serveurs spécialisés, et presque toutes les connexions commencent par une requête à un serveur dédié. Serveur DNS dont l'adresse IP correspond à un domaine.

Par défaut, votre téléphone portable, votre routeur ou le Wi-Fi du bar utilisent le DNS que l'opérateur leur fournit automatiquement.Normalement, vous n'avez rien à faire et tout fonctionne correctement, mais attention : les requêtes sont généralement en clair et constituent un journal assez détaillé de toutes vos visites. Votre fournisseur voit les domaines que vous interrogez, même si le site web lui-même utilise HTTPS.

De plus, le DNS est utilisé dans de nombreux pays et réseaux d'entreprise pour bloquer l'accès à certaines pagesIl suffit que le serveur DNS cesse de résoudre un certain domaine pour que, pour l'utilisateur, le site web apparaisse inaccessible ou introuvable. Aucun message de censure n'est affiché ; le site ne répond tout simplement pas.

Si vous contrôlez les serveurs DNS que vous utilisez et la manière dont votre appareil communique avec eux, vous pouvez Améliorez les performances, renforcez considérablement votre confidentialité et contournez certains filtres.Et, au passage, transformez votre téléphone portable en un point d'accès Wi-Fi beaucoup plus sécurisé que celui fourni « en usine ».

Inconvénients du DNS classique et risques réels

Le DNS traditionnel présente un défaut de conception majeur : Les requêtes ne sont ni chiffrées ni authentifiées.Dans un réseau normal, toute personne qui contrôle l'infrastructure (un attaquant, le propriétaire du réseau) Accès Wi-Fi gratuit dans les hôtels, les aéroports ou les cafés) peuvent voir les domaines que vous consultez, modifier les réponses à la volée ou vous rediriger vers de faux sites sans que vous vous en aperceviez.

Vous avez probablement déjà vu l'exemple typique du Wi-Fi gratuit dans les hôtels, les aéroports ou les cafés où, au lieu d'ouvrir directement le site web que vous avez saisi, il apparaît d'abord une page de connexion ou de publicitéCela se fait en modifiant la réponse DNS pour qu'elle pointe vers une autre adresse IP. Entre les mains d'une personne malveillante, cette même technique pourrait avoir des conséquences bien plus graves.

Un simple changement dans votre réponse pourrait suffire à un cybercriminel pour vous envoyer vers une page d'hameçonnage qui imite votre banque ou votre courrielou vers un site qui télécharge des logiciels malveillants. Votre navigateur voit une adresse apparemment correcte, mais l'adresse IP qu'il atteint n'est pas la bonne.

Le contrôle DNS est également utilisé pour filtrer ou censurer le contenuLes entreprises, les universités et les gouvernements bloquent des domaines de téléchargement entiers, des sites web indésirables ou des services spécifiques. Comme l'utilisateur perçoit seulement que « cette page ne se charge pas », il s'agit d'une forme de censure très subtile.

N’oubliez pas l’aspect commercial : avec un historique complet des requêtes DNS, votre fournisseur peut pour établir des profils assez détaillés de vos habitudesLes centres d'intérêt et les disponibilités. Ces informations peuvent servir à cibler la publicité, à vendre des données agrégées ou à appliquer des pratiques marketing très agressives.

Avantages du changement de serveur DNS

Choisir ses propres serveurs DNS pour son téléphone portable, son PC ou son routeur n'est pas réservé aux experts en informatique. Cela permet d'améliorer sa connexion. vitesse, confidentialité, sécurité et accès au contenuNe vous attendez pas à des miracles en passant de l'ADSL à la fibre, mais vous pouvez vous attendre à des performances plus fluides et à un meilleur contrôle.

En termes de performances, de nombreux résolveurs publics disposent d'une infrastructure hautement optimisée, avec des nœuds répartis dans le monde entier, ce qui se traduit par Réponses plus rapides lorsqu'on pose des questions sur un site webGagner quelques millisecondes sur chaque requête peut sembler insignifiant, mais dans un environnement de navigation avec des dizaines de requêtes par page, cela fait toute la différence.

En matière de protection de la vie privée, plusieurs fournisseurs de services publics promettent des politiques de conservation des données plus strictes que celles de l'opérateur. Cloudflare, par exemple, affirme purger rapidement les journaux et ne pas monétiser les requêtes. Quad9, quant à elle, se targue de ne collecter que l'essentiel afin de se concentrer sur la sécurité.

En matière de protection, il existe des services comme Quad9, certains profils OpenDNS ou NextDNS qui s'intègrent. listes noires de logiciels malveillants, de phishing, de botnets et de publicités hautement intrusivesLorsque vous tentez d'accéder à un domaine connu pour être dangereux, le DNS bloque directement la résolution et empêche le chargement du site web.

Enfin, en utilisant un DNS tiers hors du contrôle de votre fournisseur ou de votre pays, vous pouvez contourner une grande partie des blocs DNSCela ne fonctionnera pas toujours à 100 %, mais sur de nombreux sites web « mystérieusement hors service », il suffit de changer de résolution.

Si vous souhaitez optimiser au maximum les paramètres, vous pouvez essayer plusieurs fournisseurs et utiliser des outils comme DNSPerf ou Mesurez la vitesse de votre réseau en temps réel pour voir Lequel répond le mieux dans votre région ?L'idéal serait de combiner un logiciel très rapide avec un logiciel très respectueux de la vie privée.

Serveurs DNS recommandés pour la vitesse, la confidentialité et la sécurité

Lors du choix d'un fournisseur, il n'y a pas de solution idéale : votre localisation, vos priorités en matière de confidentialité et le niveau de filtrage souhaité sont autant de facteurs importants. Néanmoins, plusieurs services gratuits réputés méritent d'être pris en considération, tels que : DNS personnalisé pour votre point d'accès.

L'un des services les plus anciens est Google Public DNS, avec IPv4 8.8.8.8 et 8.8.4.4et ses équivalents IPv6. Il est rapide, stable et prend en charge le chiffrement via DNS-over-TLS et DNS-over-HTTPS avec le nom d'hôte. DNS.googlec'est exactement le format requis pour les paramètres DNS privés d'Android.

Cloudflare est une autre entreprise majeure, célèbre pour son 1.1.1.1Ses adresses IPv4 sont 1.1.1.1 et 1.0.0.1, et pour Android avec DNS privé, les noms d'hôtes tels que un.un.un.un o 1dot1dot1dot1.cloudflare-dns.comElle met fortement l'accent sur la confidentialité et figure souvent en tête des sites de référence comme DNSPerf.

Si votre priorité absolue est la sécurité, Quad9 est une alternative très intéressante, avec d'excellents indices de protection IP. 9.9.9.9 et hôte dns.quad9.net pour le ministère des Transports. Ce projet assure la maintenance Il répertorie les domaines malveillants et bloque l'accès avant même que le navigateur ne charge quoi que ce soit.faisant office de bouclier dans la résolution même des noms.

Il existe également des services configurables comme OpenDNS (Cisco) ou NextDNS, qui vous permettent de configurer filtrage des profils, contrôle parental, blocage des publicités et journaux d'activité détaillésElles sont idéales si vous recherchez des règles très précises pour les outils de travail ou les équipements utilisés par les enfants.

Si vous souhaitez optimiser au maximum les paramètres, vous pouvez essayer plusieurs fournisseurs et utiliser des outils comme DNSPerf ou d'autres tests de latence pour observer les résultats. Lequel répond le mieux dans votre région ?L'idéal serait de combiner un logiciel très rapide avec un logiciel très respectueux de la vie privée.

DNS sécurisé : DoH, DoT, DNSCrypt et « DNS privé » d’Android

Quand on parle de DNS sécurisé, on fait en réalité référence à... canal par lequel transitent les requêtes Entre votre appareil et le résolveur, au lieu de transmettre des données en clair, des protocoles comme DNS-over-HTTPS (DoH), DNS-over-TLS (DoT) ou DNSCrypt ajoutent un chiffrement et, dans certains cas, une authentification du serveur.

Avec DNS-over-HTTPS, les requêtes DNS sont encapsulées dans Connexions HTTPS normales via le port 443Cela rend plus difficile pour un opérateur ou un système de censure de distinguer et de bloquer le trafic DNS sans perturber également une grande partie du reste de la navigation.

DNS-over-TLS, en revanche, utilise le protocole TLS spécifiquement pour les requêtes DNS, en maintenant un canal chiffré entre votre appareil et le serveurAndroid utilise DotT lorsque vous configurez le fameux « DNS privé », donc ce que vous faites en réalité, c'est forcer ce type de canal sécurisé au niveau du système.

DNSCrypt est une autre solution de chiffrement et d'authentification, bien qu'elle ait perdu de son importance au profit de DoH et DoT. Elle reste néanmoins très répandue dans les installations domestiques, les résolveurs personnalisés et les configurations utilisateur avancées. Ils ont mis en place leur propre infrastructure DNS. à domicile ou sur des serveurs distants.

Sous Android 9 et versions ultérieures, l'option DNS privé aurait été plus claire si elle s'était appelée « DNS sécurisé » : vous ne configurez pas votre propre serveur, vous… Vous spécifiez un fournisseur qui prend en charge DoT Vous forcez le système à communiquer avec lui en utilisant le chiffrement. Si le serveur ne prend pas en charge ce protocole, la connexion échoue, précisément pour éviter un retour à un DNS non chiffré à votre insu.

DNS sécurisé et VPN : des alliés, pas des substituts

L'activation du DNS chiffré améliore considérablement la situation, mais Ce n'est pas la même chose que d'utiliser un VPNAvec DoH ou DoT, seules les requêtes DNS sont protégées ; le reste du trafic (sites web, vidéos, téléchargements) continuera de dépendre du HTTPS et du fonctionnement de chaque application.

Un VPN crée un tunnel chiffré entre votre appareil et un serveur distant, de sorte que tout ce qui quitte votre téléphone (ou presque, selon l'application) transite par un serveur distant. crypté de bout en bout jusqu'au VPN et avec une adresse IP sortante différenteDe nombreux services commerciaux intègrent leur propre DNS protégé au sein du tunnel afin d'empêcher les fuites vers l'opérateur.

Certains fournisseurs de VPN vous permettent de choisir si vous souhaitez… Utilisez votre DNS, un autre DNS public ou votre propre DNS.Cela permet de combiner DNS domestique et VPN pour un contrôle très poussé. D'autres utilisateurs ignorent tout simplement les paramètres DNS privés d'Android et utilisent ses résolveurs internes.

Idéalement, si la protection de votre vie privée vous tient vraiment à cœur, vous devriez Combinez un DNS sécurisé avec un VPNLes requêtes sont chiffrées au niveau du système, et lorsque vous vous connectez au VPN, tout le trafic, y compris ces requêtes, transite par le tunnel. Ceci est particulièrement recommandé sur les réseaux publics ou lors de vos déplacements.

Malgré tout, si vous débutez, le passage du DNS traditionnel au DNS moderne peut s'avérer complexe. Le DNS chiffré est déjà énorme.C'est un changement rapide à mettre en œuvre qui réduit considérablement la capacité des tiers à vous espionner ou à manipuler vos décisions.

Comment modifier les DNS sur Android : versions récentes et anciennes

Sur Android, la procédure de personnalisation des DNS dépend en grande partie de la version de votre téléphone et des interfaces personnalisées du fabricant. À partir d'Android 9 (Pie), vous avez la possibilité de : DNS privé au niveau systèmeCela s'applique aussi bien au Wi-Fi qu'aux données mobiles, et affecte donc également le point d'accès que vous créez à partir de ce téléphone.

Sur de nombreux téléphones portables, le chemin standard est quelque chose comme Paramètres > Réseau et Internet (ou Connexions) > DNS privéSur les appareils Samsung récents, cette option se trouve généralement dans Paramètres > Connexions > Paramètres de connexion supplémentaires > DNS privé. Vous y trouverez plusieurs options : Désactivé, Automatique et Nom d'hôte du fournisseur.

En mode automatique, le système tente d'utiliser DNS chiffré avec le serveur qui fournit le réseauMais si cela ne fonctionne pas, le système bascule silencieusement vers un DNS non chiffré. Pour plus de sécurité, choisissez « Nom d'hôte du fournisseur DNS privé » et saisissez le domaine du service (par exemple, DNS.google o un.un.un.un).

Il est important de garder à l'esprit que dans ce domaine Android Il n'accepte pas les adresses IP numériques telles que 1.1.1.1 ou 8.8.8.8Utilisez toujours le nom d'hôte fourni par votre fournisseur d'accès Internet. Si vous le saisissez incorrectement ou si le serveur cesse de répondre, aucun site Web ne se chargera, même avec les données mobiles ou le Wi-Fi ; repassez simplement en mode désactivé ou automatique pour rétablir la navigation.

Si votre appareil fonctionne encore sous Android 8 ou une version antérieure, cette option globale ne sera pas disponible. Dans ce cas, vous ne pourrez que… modifier manuellement le DNS de chaque réseau WiFiAllez dans Paramètres > Wi-Fi, appuyez sur le réseau connecté, choisissez Modifier le réseau et changez la configuration IP de DHCP à Statique pour déverrouiller les champs DNS 1 et DNS 2.

Transformez votre appareil Android en point d'accès Wi-Fi sécurisé avec un DNS personnalisé.

Lorsque vous activez le point d'accès Wi-Fi ou de partage de connexionVotre téléphone portable se comporte comme un mini routeur : il attribue des adresses IP privées via DHCP aux clients (ordinateur portable, tablette, console) et leur indique comment s'y prendre. Quels serveurs DNS doivent-ils utiliser ?En règle générale, ces serveurs DNS sont ceux fournis par le réseau mobile au téléphone.

Si vous avez configuré un DNS privé sur Android 9 ou version ultérieure, les requêtes effectuées par votre téléphone seront chiffrées et envoyées à votre fournisseur. Le problème est que De nombreux modèles ne propagent pas cette configuration aux appareils connectés au point d'accès.mais ils continuent à annoncer le DNS de l'opérateur dans les réponses DHCP.

Cela signifie que votre smartphone navigue en toute sécurité, mais portable qui pend de son point d'accès Vous pouvez continuer à interroger les serveurs DNS de l'opérateur comme si rien n'avait changé.Du point de vue du fournisseur d'accès Internet, la différence est minime par rapport à une connexion directe de l'ordinateur portable.

Pour obtenir une protection uniforme, l'option la plus fiable est généralement Configurer un DNS personnalisé sur chaque appareil clientSous Windows, macOS ou Linux, vous pouvez accéder aux propriétés de la connexion WiFi (celle vue par le point d'accès mobile) et saisir manuellement les serveurs tels que 1.1.1.1 / 1.0.0.1, 8.8.8.8 / 8.8.4.4 ou celui que vous préférez.

Sur iPhone ou iPad, accédez à Réglages > Wi-Fi, appuyez sur le « i » correspondant au point d’accès Android, puis modifiez « Configurer le DNS » en mode manuel pour ajouter vos adresses. C’est un peu fastidieux si vous avez plusieurs appareils, mais c’est le seul moyen de garantir que… Votre téléphone portable et vos appareils connectés passent tous deux par des résolveurs que vous contrôlez..

Accès au DNS domestique, à AdGuard Home, à Pi-hole et au point d'accès Wi-Fi

Si vous possédez un serveur à domicile (NAS, mini PC, Raspberry Pi…), vous avez peut-être déjà configuré un DNS local personnaliséCe service est accessible via une adresse IP de type 192.168.xx, et votre routeur le diffuse par DHCP. Il fonctionne généralement sans problème sur les ordinateurs Windows, Linux et Mac, mais Android ignore parfois ces serveurs DNS locaux ou n'autorise pas leur utilisation comme serveur DNS privé.

Le paramètre DNS privé d'Android prend uniquement en charge Noms d'hôtes publics qui utilisent DoTLes adresses IP internes ne sont pas prises en charge. Si vous tentez d'y saisir l'adresse IP de votre serveur DNS domestique, la vérification échouera et affichera des messages d'erreur tels que « connexion impossible ». Par conséquent, ce menu n'est pas adapté à la connexion d'un résolveur DNS situé uniquement sur votre réseau local.

La manière la plus simple de tirer parti de solutions comme AdGuard Home ou Pi-hole est Configurez-les comme serveurs DNS du routeur.Cela permet à tous les appareils connectés en Wi-Fi ou par câble, y compris les appareils Android, d'utiliser la même résolution au sein de votre domicile. Ce système offre un filtrage centralisé des publicités, un blocage des logiciels malveillants et un contrôle parental.

Si vous souhaitez continuer à utiliser votre DNS domestique lorsque vous êtes en déplacement et en faire bénéficier votre point d'accès mobile, deux options principales s'offrent à vous : exposer votre DNS domestique sur Internet via DoH/DoT ou configurer un VPN personnel (WireGuard, OpenVPN, etc.) à votre réseau domestique.

La publication de votre DNS en externe nécessite l'ouverture de ports sur votre routeur, l'utilisation de certificats valides, et s'assurer que le service est bonCar elle deviendra accessible partout dans le monde. C'est un outil puissant, mais risqué si vous ne maîtrisez pas vos actions.

L'option VPN, quant à elle, garantit que lorsque vous vous connectez depuis votre appareil mobile, tout le trafic, y compris les requêtes DNS, voyagez à travers votre réseau local Vous pouvez ensuite utiliser AdGuard Home ou Pi-hole comme si vous étiez chez vous. Cela nécessite une configuration initiale plus poussée, mais votre serveur de résolution n'est pas exposé à Internet.

DNS, contrôle du contenu et blocage des fuites sur les réseaux Wi-Fi

Dans les environnements d'entreprise, les réseaux invités ou les solutions de type WifiCloud, le DNS est également utilisé comme mécanisme de filtrage de contenuDes serveurs DNS personnalisés sont configurés sur le WAN de l'appareil et des règles de pare-feu sont appliquées pour empêcher l'utilisateur de modifier ses serveurs DNS pour d'autres serveurs publics tels que 8.8.8.8 et de contourner les filtres.

Une stratégie typique consiste à autoriser uniquement le trafic DNS (port 53) vers les adresses IP des résolveurs autorisés et bloquer toute autre requête au niveau du pare-feu. Ainsi, même si quelqu'un tente de configurer manuellement 8.8.8.8 sur son ordinateur portable, ces requêtes n'atteindront pas Internet et l'utilisateur ne pourra pas naviguer.

Cette approche illustre que, tout comme vous pouvez utiliser un DNS personnalisé pour gagner en confidentialité, Les administrateurs réseau peuvent imposer l'utilisation de serveurs DNS spécifiques. renforcer les politiques de contrôle parental, la sécurité ou la conformité réglementaire.

Si vous êtes de l'autre côté, en tant qu'utilisateur configurant votre propre point d'accès Wi-Fi, votre objectif est exactement inverse : vous assurer que ni votre fournisseur d'accès Internet ni aucun réseau Wi-Fi intermédiaire ne contourne votre configuration. C'est pourquoi c'est si important. Utilisez des protocoles chiffrés (DoH/DoT) et, le cas échéant, un VPN. qui englobe tout le trafic.

En considérant l'ensemble du système, il apparaît clairement que le DNS est bien plus qu'un simple traducteur de noms : c'est un élément stratégique de votre connexion. En configurant des paramètres DNS sécurisés et personnalisés sur votre téléphone Android et en les complétant par des modifications sur votre iPhone, vos ordinateurs et votre routeur, vous vous assurez que votre navigation quotidienne et votre partage de connexion mobile fonctionnent de manière optimale. Vous bénéficiez ainsi d'un meilleur équilibre entre vitesse, liberté et sécurité, sans complications inutiles.