La lutte contre la pub et les trackers : Les solutions de filtrage DNS
Premier post d'un duo qui s'accompagnera de la version auto-hébergement.
50%... C'est l'estimation du trafic web mondial dédié aux services de publicité et de tracking... 50% des énergies électriques, hydrauliques, nucléaires, fossiles du web, c'est de la pub et de l'espionnage... Bloquer tout ce trafic ne rendra pas le web plus écolo mais il permettra de surfer plus sereinement et de limiter l'impact de la pub et du capitalisme de surveillance sur nos vies.
Dans ce guide qui, je l'espère, sera accessible aux débutant.es, je vais essayer de vous expliquer comment nous pouvons réduire notre exposition à la publicité et au tracking des géants du net avec des solutions de filtrage DNS.
C'est quoi le DNS ?
Je pense que la manière la plus simple d'expliquer l'utilité du DNS est de faire une analogie avec le carnet d'adresse téléphonique. Imaginons que votre carnet d'adresse téléphonique ne comporte qu'une suite de numéro sans correspondance avec des informations facilement mémorisable comme un nom, un prénom ou un surnom. Vous seriez obligé.es de retenir le numéro de tous vos contacts par cœur et de les taper à chaque envoi de SMS ou à chaque coup de fil. Impossible ! C'est pour ça qu'on a inventé le carnet d'adresse ! Et bien figurez-vous que le DNS c'est la même chose mais pour internet, en un peu plus évolué cela dit. Lorsque vous tapez www.duckduckgo.com, ce qui se passe dans l'arrière boutique c'est que votre ordinateur n'a aucune idée de où se trouve www.duckduckgo.com. Lui il ne comprend que les adresses IP. Il va donc demander à un serveur DNS de lui donner l'adresse IP qui se cache derrière www.duckduckgo.com, la récupérer, interroger cette adresse IP, récupérer la page web demandée et vous l'afficher dans votre navigateur. Tout ça en quelques millisecondes. Bon en réalité c'est un peu plus complexe que ça mais c'est l'idée.
Pourquoi filtrer du DNS ?
Du coup, vous vous dites sûrement que filtrer des requêtes DNS c'est une très mauvaise idée puisque tout internet se base dessus. Vous avez pas tord et on est souvent les premier.es à pester quand notre gouvernement demande à nos fournisseurs d'accès d'appliquer des règles de blocage DNS à l'échelle nationale, ou quand une dictature coupe tout un pan d'internet à sa population grâce, entre autre, à du blocage DNS.
Retournons à notre navigateur. On a vu comment fonctionne le protocole DNS dans les grandes lignes avec l'analogie du carnet d'adresse. Maintenant, imaginez que le service que vous cherchez à joindre vous envoi le numéro d'une entreprise de spam en plus de votre demande. C'est là que le filtrage DNS joue un rôle. Vous avez tapé www.leparisien.fr (quelle horreur) mais dans sa réponse, ce site dit à votre navigateur que, pour s'afficher "correctement", il faudrait aussi aller récupérer du contenu sur cloudfront, akamai, dailymotion, google et sectigo... bref, majoritairement de la pub et du tracking qui ne change rien à l'affichage de la page www.leparisien.fr. Notre outil de filtrage DNS peut bloquer ces requêtes et rendre le surf un peu plus serein.
Mais j'ai déjà un bloqueur de pub sur Firefox
C'est très bien. Félicitations ! Le bloqueur de pub sur le navigateur va également bloquer certaines de ces requêtes DNS et va même plus loin en scrutant le contenu des pages. Sauf que pour le trafic web qui ne se fait pas via le navigateur et bien le bloqueur il ne peut rien faire. Et du trafic il y en a plein ! smartphone, "smart" TV, consoles de jeux, boîtier TV, réfrigérateur connecté (qui a ça sérieusement...) et autres appareils électroménagers avec une connexion wifi...
Les solutions disponibles
Avant de présenter les solutions, petit disclaimer : je ne suis sponsorisée par aucun de ces services. Je les ai tous testés et tous ont répondu au besoin élémentaire demandé, à savoir bloquer des pubs. Utiliser ces services implique de placer votre confiance dans les personnes qui vous fournissent ce service...
Les solutions adaptatives : NextDNS & Controld
NextDNS a ce côté pratique de vous expliquer pas à pas comment connecter l'ensemble de vos appareils à ses services et de vous laisser la possibilité de choisir quelles règles de filtrages vous voulez ou non. La première étape est de se rendre sur https://my.nextdns.io/start
A partir de là, il est recommandé de s'inscrire pour éviter de perdre la configuration que l'on va faire. La première page nous informe déjà sur la configuration disponible
La première chose à faire, si vous avez une adresse IP domestique fixe, c'est de "lier mon IP" au service ce qui permettra de reconnaître tous les appareils qui ne peuvent se connecter qu'en "DNS brut" et pas en DNS-over-TLS ou DNS-over-HTTPS comme une TV ou une console de jeu par exemple.
Pour les autres types d'appareils, NextDNS est sympa et vous fourni des tutoriels :
Ici le guide explique comment configurer votre smartphone android pour qu'il utilise NextDNS en DNS-over-TLS. Il existe aussi des guides pour iOS, Windows, Linux, Chrome, Firefox, votre box...etc.
Dans l'onglet sécurité vous pouvez activer ou désactiver la navigation sécurisée de google. Pour les autres options je vous recommande de laisser par défaut. Intéressons-nous à l'onglet confidentialité car c'est ici que l'on va pouvoir choisir nos listes de blocage, sorte d'annuaires géants de contenu à bloquer. En cliquant sur "ajouter une liste de blocage" vous tombez sur une liste géante et un peu effrayante. Je vous recommande de rechercher les listes "hagezi" et d'ajouter la Multi Pro++.
Il en existe d'autres spécialisées dans le flux TV, les contenus FR, les trackers Windows...etc. L'onglet suivant "contrôle parentale" permet de bloquer l'intégralité d'un service comme Facebook, Amazon, X ou TikTok. C'est aussi une option si vous ne voulez plus rien voir de ces plateformes de milliardaires fascistes. Les onglets de statistiques et de logs permettent de vérifier le fonctionnement du filtrage, ce qui passe et ce qui bloque. Si vous n'aimez pas l'idée que des logs de toutes vos requêtes DNS soient accessibles vous pouvez les désactiver dans l'onglet paramètre. NextDNS promet de respecter cette option et de ne rien loger de son côté mais les promesses... Attention également à bien sélectionner la localisation UE si vous gardez les logs. Ça serait dommage que votre historique DNS se retrouve dans un datacenter États-unien...
Il existe une alternative équivalente qui s'appelle controld. La différence avec NextDNS est que controld est payant immédiatement quand NextDNS l'est au delà de 300.000 requêtes par mois.
Les solutions clé en main : Quad9, DNS0...etc
Les solutions que j'appelle "clé en main" sont des dispositifs partageant le même principe que NextDNS ou ControlD mais sur lesquels vous n'avez pas la main sur ce qui est filtré ou non. On vous donne une adresse, on vous dit qu'elle filtre soit les malwares, soit la pub, soit les trackers, soit tout ça à la fois et c'est comme ça. Voici un tableau des différents services :
| Nom | Pays | Logs | Malwares | Pub | Trackers |
|---|---|---|---|---|---|
| Quad9 | Suisse | anonymisés | oui | non | non |
| ControlD freeDNS | Canada | non | oui | oui | oui |
| dns0.eu | Luxembourg | anonymisés | oui | oui (version kid) | non |
| AdGuard DNS | Chypre | anonymisés | oui | oui | oui |
Tous ces services proposent des tutoriels d'installation et de configuration sur les liens que j'ai mis dans le tableau.
La solution spécifique android : RethinkDNS
Pour les possesseurs de téléphones Android, il existe une application permettant, entre autre, de filtrer les requêtes DNS de manière assez fine et qui s'appelle RethinkDNS. Le principe de fonctionnement est que l'application va monter une simulation de VPN local pour capter tout le trafic entrant/sortant du téléphone, y appliquer les règles de blocage sélectionnées et transférer le tout en DNS-over-HTTPS par défaut.
La première ouverture de l'application ressemble à ceci :
Pour sélectionner les listes de filtres à appliquer il suffit d'aller sur "DNS" puis de sélectionner parmi la liste disponible (les listes vertes ne cassent rien, les oranges peuvent rendre certains contenu illisibles, les rouges cassent pas mal internet) :
Une fois la sélection faite, il suffit d'appliquer puis d'appuyer sur "commencer". L'application va vous demander l'autorisation de monter un tunnel VPN et c'est parti.
C'était un petit tour rapide, et j'espère utile, de ce qu'il est possible de faire en matière de filtrage DNS. N'oubliez pas que ces outils ne remplacent pas votre bloqueur de pub du navigateur et votre vigilance sur le web.