Listes de blocage DNS

Le filtrage DNS est un moyen simple pour bloquer une majorité de publicités, traqueurs et sites malveillants avec un minimum d'efforts. La mise en place est rapide et facilement réversible.

Pour être franc, c'est le genre de chose que j'installerais d'office chez tous les amis et la famille, que ce soit sur ordinateur ou smartphone. Cela réduit notablement le pourrissement des machines (publicité, spyware, malware, tracking...).

Avantages du filtrage DNS

• Filtre une très grande quantité de publicités/tracking/malware sans logiciel à ajouter (Exception: Sous Android il faut ajouter un logiciel).
• Fonctionne sous tous les OS (Windows, Linux, MacOSX...)
• Fonctionne dans toutes les applications (et pas seulement dans le navigateur).
• Sous Android, permet d'éliminer d'un coup la quasi-totalité des publicités et traqueurs, y compris dans les applications.
• Applicable poste par poste, ou sur un réseau complet si vous le configurez dans votre routeur (pi-Hole, pfSense, etc.)
• Très facile à mettre en place.
• Rapide.

Inconvénients

• Ne filtre pas tout.
• Il n'est pas impossible que certaines applications se chargent de faire elles-mêmes la résolution DNS, contournant ainsi votre blocage DNS.

Pas d'inquiétude à avoir, la mise en place est facilement réversible.

À titre d'exemple, une page de Clubic qui fait 2 Mo se réduit à 594 ko en activant juste cette liste. Cela permet donc un chargement plus rapide des pages et une réduction de la consommation de votre forfait, même si vous utilisez un navigateur qui n'est pas capable de filtrer.

Liste

URL à utiliser: https://sebsauvage.net/hosts/hosts

Cette liste est disponible dans 3 formats différents (fichier hosts, filtre AdGuard/uBlockOrigin, ou liste brute). Voir ci-dessous.

Que bloque cette liste ?

• Publicités web (smartadserver.com, doubleclick.net, googleadservices.com, googlesyndication.com, tradedoubler.com, adbrite.com, yimg.com(YahooAds)...)
• Malvertising (adshufffle.com, conduit.com...)
• Publicité dans les applications mobiles (admob.com, inmobi.com, mopub.com, adinfuse.com...)
• Analytics/statistiques/marketing/tendances web (google-analytics.com, scorecardresearch.com, quantserve.com...)
• Analytics/statistiques d'applications mobiles (crashlytics.com, applovin.com, flurry.com...)
• Analytics/tracking des fabricants de téléphone (nmetrics.samsung.com, sdkconfig.ad.xiaomi.com, tracking.intl.miui.com...)
• Services de tracking (canvas fingerprinting, evercookies...).
• Trackers first-party.
• Badges et boutons sociaux (addthis.com, badges.instagram.com, badge.stumbleupon.com...)
• Compteurs de sites web (sitemeter.com, free-counter.co.uk, webcounter.com, statcounter.com...)
• Sites frauduleux ou distribuant des malwares (goggle.com, googfle.com, antivirus-scanner.com, adblock.fr, audacity.fr, myfuncards.com...)
• Sites liés aux campagnes de phishing (amazon-assistance.fr, ameli-assurances-vitale.fr, ame1ie.fr, amendes-gouvfr.fr, espace-impots-gov.fr...)
• Sites qui vous enferment dans une boucle de popups.
• Sites de téléchargement non fiables (softonic.com...)
• Sites liés à des campagnes de spam (buy-viagra.go.to, cheap-valium.polybuild.ru, forex-market.hut1.ru, norton-antivirus-trial.searchservice.info...)
• Sites conçus pour choquer (goatse, 2girls1cup...)
• Domaines liés au reporting/tracking Windows 10 (reports.wes.df.telemetry.microsoft.com, feedback.microsoft-hohm.com, telemetry.appex.bing.net, statsfe2.ws.microsoft.com...)

Sources

Cette liste de blocage est une agrégation des listes suivantes:

• https://adaway.org/hosts.txt
• https://someonewhocares.org/hosts/hosts
• https://winhelp2002.mvps.org/hosts.txt
• https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=1&mimetype=plaintext
• https://hostfiles.frogeye.fr/firstparty-only-trackers-hosts.txt
• https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
• https://justdomains.github.io/blocklists/lists/easylist-justdomains.txt
• https://justdomains.github.io/blocklists/lists/easyprivacy-justdomains.txt
• https://justdomains.github.io/blocklists/lists/adguarddns-justdomains.txt
• https://justdomains.github.io/blocklists/lists/nocoin-justdomains.txt
• https://dbl.oisd.nl/basic/
• https://blocklistproject.github.io/Lists/phishing.txt
• https://blocklistproject.github.io/Lists/ransomware.txt
• [https://dl.red.flag.domains/red.flag.domains.txt](https://dl.red.flag.domains/red.flag.domains

Pas d'inquiétude à avoir, la mise en place est facilement réversible.

À titre d'exemple, une page de Clubic qui fait 2 Mo se réduit à 594 ko en activant juste cette liste. Cela permet donc un chargement plus rapide des pages et une réduction de la consommation de votre forfait, même si vous utilisez un navigateur qui n'est pas capable de filtrer.

Listes

J'ai l'habitude d'utiliser l'ensemble des listes suivantes:

• https://adaway.org/hosts.txt
• https://someonewhocares.org/hosts/hosts
• https://hosts-file.net/ad_servers.txt
• https://mirror.cedia.org.ec/malwaredomains/immortal_domains.txt
• https://www.malwaredomainlist.com/hostslist/hosts.txt
• https://mirror.cedia.org.ec/malwaredomains/justdomains
• http://winhelp2002.mvps.org/hosts.txt
• https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=1&mimetype=plaintext

Ce sont des sources réputées qui existent depuis longtemps et qui font les choses bien.

Pour simplifier les choses, j'ai consolidé les sources précédentes en un unique fichier (suppression des doublons, résolution en 0.0.0.0):

Linux / MacOSX

Vous pouvez coller le contenu de la liste à la fin de votre fichier ''hosts'' qui est situé là : ''/etc/hosts''

Note: Certaines distributions exigent d'avoir en début de fichier hosts ''127.0.0.1 nomDeLaMachine''. Vous pouvez coller la liste de blocage à la suite de ces lignes.

Windows

Sous Windows, il semblerait que le service "Client DNS" pose problème. >C'est juste un cache DNS. Allez dans les services (''services.msc'') et désactivez le service (clic droit > Propriétés > Type de démarrage: Désactivé) puis redémarrez avant d'installer cette liste. \ Gag: À partir de Windows 10, même en administrateur, vous n'avez plus le droit de couper le service. Dans ce cas, lancez ''regedit'' et mettez la valeur ''4'' (=disabled) dans ''HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Start'' et redémarrez.

Vous pouvez coller le contenu de la liste à la fin de votre fichier ''hosts'' qui est situé là: ''C:\Windows\System32\drivers\etc\hosts''

Si la modification n'est pas prise en compte essayez ''ipconfig /flushdns'' dans un terminal.

Android

Il existe plusieurs applications capables de d'aller chercher une liste de filtrage et l'appliquer. Notez que ces applications utilisent la fonctionnalité VPN d'Android, car c'est le seul moyen pour une application de recevoir tout le trafic réseau des autres applications. Vous pouvez utiliser:

• !(https://f-droid.org/fr/packages/org.blokada.alarm/)[Blokada] (sur F-Droid)
• !(https://f-droid.org/fr/packages/org.jak_linux.dns66/)[DNS66] (sur F-Droid)
• !(https://f-droid.org/fr/packages/dnsfilter.android)[DNSFilter] (sur F-Droid)

Dans chacune de ces applications, désactivez les différentes sources et ajoutez !(https://sebsauvage.net/hosts/hosts)[https://sebsauvage.net/hosts/hosts]

| Écran principal de Blokada | Dans les listes noires, utilisez le bouton pour ajouter cette liste et désactivez les autres listes. | Si Blokada est parfois désactivé, pensez à activer ces deux options dans les paramètres pour empêcher le système de tuer l'application. |

Par défaut, Blokada vous affichera une notification pour chaque blocage. C'est assez instructif: Utilisez vos applications habituelles, et regardez ce qui est bloqué. Vous voudrez sans doute les désactiver au bout d'un moment:

En complément, vous pouvez configurer ces logiciels pour utiliser les [[dns-alternatifs|résolveurs DNS alternatifs]] de votre choix (par exemple Quad9 qui bloque en temps réel les botnets, ce qui ajoute une sécurité).

À propos de Blokada:

• Je ne recommande absolument pas la liste par défaut fournie par Blokada (//Energized Blue//) car elle est largement abusive (elle bloque par exemple //www.commentcamarche.net//). Vous pouvez la désactiver et ajouter ma liste à la place.
  • Par défaut Blokada laisse passer GooglePlay, GoogleDrive et d'autres applications Google sans la moindre restricition. Pensez à désactiver les listes blanches.

Mise à jour

Je conseille de mettre à jour tous les mois. \ Sous Android, //DNS66// et //Blokada// ont une option pour mettre à jour automatiquement.

Sécurité

Que cela soit clair : L'utilisation d'une liste de blocage DNS ne suffit pas pour vous protéger. Vous devez:

• Continuer à mettre à jour votre système d'exploitation et les applications.
• Continuer à utiliser des extensions de filtrage dans les navigateurs (uBlock-Origin, PrivacyBadger, etc.)
• Sous Windows, continuer à utiliser un anti-malware (celui fourni avec Windows fera l'affaire. Passez un coup de //MalwareBytes// (versoin gratuite) de temps en temps).
• Veiller à ne pas télécharger n'importe quoi.
• Faire des backups !

Links per page: 20 50 100
page 1 / 1

Threema - Seriously secure messaging
Je suis actuellement en train de tester la messagerie Threema, dont voici un aperçu des caractéristiques :

• Hautement sécurisée :
   ✓ Chiffrement de bout en bout (E2E, avec la bibliothèque open source NaCl) : une paire de clés ECC est générée sur l'appareil et *seule* la clé publique est envoyée sur les serveurs*.
   ✓ Chiffrement du canal de transport (TLS, avec certificat du CA codé en dur dans l'application).
   ✓ Confidentialité persistante (forward secrecy).
   ✓ Vérification de l'identité des contacts avec un code QR.
   ✓ Conformité de la sécurité confirmée par un audit externe (réalisé en 2015).
• Développée par une entreprise suisse avec des serveurs situés exclusivement sur le territoire helvétique (dans un centre de données certifié ISO 27001 à Zurich).
• Pleinement conforme avec le RGPD, la Loi fédérale sur la protection des données (LPD) et l'Ordonnance relative à la loi fédérale sur la protection des données (OLPD).
• Anonymat complet : chaque utilisateur possède un ID aléatoire, et aucun numéro de téléphone ni adresse e-mail ne sont requis (vous pouvez toutefois les renseigner afin de pouvoir être retrouvé·e plus facilement par vos contacts).
• Multiplateforme : Android, iOS, Windows Phone, Web...
• Confidentialité garantie : les groupes, messages, contacts restent sur l'appareil*, l'accès aux contacts est un choix volontaire et les méta-données sont réduites au strict nécessaire.
• Transparente :
   ✓ Algorithmes cryptographiques et protocoles documentés.
   ✓ Politique de confidentialité concise.
   ✓ Vérification indépendante possible de la bonne mise en œuvre du chiffrement (cf. https://threema.ch/validation).
   ✓ Récupération aisée des données en possession de Threema (droit d'accès) : envoyer le message "info" à l'ID *MY3DATA.
• Protection locale : l'intégralité de la base de données peut être protégée par un mot de passe maître ; un code de verrouillage peut être également mis en place afin d'empêcher l'accès de l'application par des tiers.
• Modèle d'entreprise clair : vente de l'application (paiement unique de CHF 2.95) et services payants pour les professionnels†, donc indépendance financière.
• Nombreuses fonctionnalités : formatage des messages, envoi de fichiers, sons, vidéos ou emplacements, appels audio, sondages, groupes (jusqu'à 100 membres), conversations privées (cachées), etc.
• Paramétrage poussé : blocage des inconnus, (dés)activation des indicateurs de saisie et des accusés de lecture, sécurité, apparence (thème, langue...), notifications, etc.

À titre personnel, je trouve que l'interface est ergonomique et esthétique, et l'application plutôt véloce compte tenu de la lourde couche de chiffrement en place !

Les fonctionnalités ne sont pas en reste, avec des classiques comme le statut des messages (envoyé, distribué...) et des plus originales comme les sondages et les conversations privées.

Les paramètres sont parmi les plus complets que j'aie pu voir dans une messagerie ; il est même possible de configurer les dimensions des images envoyées !

Pour les plus « paranos » (ou soucieux de la vie privée), il est permis de se passer du GCM (Google Cloud Messaging, technologie utilisée pour la notification de l'arrivée de nouveaux messages) en optant pour une consultation de type "polling" (toutefois déconseillée). En outre, l'application Android peut être achetée directement sur leur boutique en ligne (y compris avec des Bitcoin).

Finalement, le seul gros point que je pourrais lui reprocher (en-dehors de la faible base d'utilisateurs par rapport aux mastodontes du genre) est l'absence d'ouverture du code source, condition essentielle pour garantir de la bonne implémentation de la sécurité (principe de Kerckhoffs). Cependant, je dois avouer que je leur fais confiance, car leur cryptographie semble robuste (cf. leur livre blanc), un audit externe a confirmé la sécurité de la solution, tout le monde peut vérifier la bonne mise en œuvre du chiffrement E2E et il est *permis* (fait très rare) d'effectuer une ingénierie inverse sur l'application‡ !

MÀJ du 31.01.19 : en parlant du GCM, Google ne voit rien passer, car ni le message, ni les correspondants ne sont dans la charge utile. Il est uniquement utilisé pour signaler à l'application qu'un nouveau message est disponible sur le serveur. Je vous encourage à lire la FAQ si vous avez d'autres questions ou vous souhaitez en apprendre davantage, car elle est rudement complète : https://threema.ch/en/faq

* Une sauvegarde chiffrée des données locales (clés, liste de contacts, abonnements de groupes... tout, sauf les messages et médias) peut être effectuée de manière anonyme sur un serveur sécurisé de son choix (Threema Safe). Une sauvegarde complète (comprenant les messages et médias) est également faisable, sous la forme d'un ZIP chiffré enregistré dans l'espace de stockage de l'appareil.
† Ces services payants comprennent par exemple l'accès à l'API d'envoi/réception de messages, intégration à l'entreprise, etc.
‡ Selon cette page : https://threema.ch/press-files/content/the-threema-advantage_en.html