Il existe une méthode simple et efficace pour renforcer la confidentialité de votre système Linux : maîtriser la gestion de vos requêtes DNS. Bien que cela ne chiffre pas l’intégralité de votre trafic IP, cela contribue à prévenir les attaques de type « usurpation DNS », augmentant ainsi votre sécurité. Pour cela, l’utilisation de DNSCrypt sous Linux est une solution recommandée pour sécuriser vos communications DNS.
DNSCrypt est un utilitaire local qui, une fois configuré correctement sur votre machine Linux, crypte vos requêtes DNS et garantit qu’elles soient acheminées de manière sécurisée et au bon endroit.
Installation de DNSCrypt
La plupart des distributions Linux intègrent DNSCrypt dans leurs dépôts logiciels, ce qui facilite grandement son installation. Lancez un terminal et saisissez la commande correspondant à votre distribution :
Ubuntu
sudo apt install dnscrypt-proxy
Debian
sudo apt-get install dnscrypt-proxy
Arch Linux
sudo pacman -S dnscrypt-proxy
Fedora
sudo dnf install dnscrypt-proxy -y
OpenSUSE
sudo zypper install dnscrypt-proxy
Linux générique
Si vous ne trouvez pas de version de DNSCrypt spécifique à votre système, il est préférable de télécharger le programme directement depuis Github. Le développeur met à disposition des binaires précompilés, évitant ainsi la nécessité de compiler depuis les sources. Ces binaires sont compatibles avec toutes les distributions Linux.
Pour télécharger le binaire, ouvrez un terminal et utilisez la commande wget pour récupérer la version la plus récente.
wget https://github.com/jedisct1/dnscrypt-proxy/releases/download/2.0.16/dnscrypt-proxy-linux_x86_64-2.0.16.tar.gz
ou pour télécharger la version 32 bits :
wget https://github.com/jedisct1/dnscrypt-proxy/releases/download/2.0.16/dnscrypt-proxy-linux_i386-2.0.16.tar.gz
Une version ARM de DNSCrypt est également disponible pour les systèmes Linux ARM. Pour l’obtenir, utilisez wget dans un terminal :
wget https://github.com/jedisct1/dnscrypt-proxy/releases/download/2.0.16/dnscrypt-proxy-linux_arm-2.0.16.tar.gz
Linux ARM64 :
wget https://github.com/jedisct1/dnscrypt-proxy/releases/download/2.0.16/dnscrypt-proxy-linux_arm64-2.0.16.tar.gz
Une fois le binaire téléchargé, extrayez l’archive avec la commande Tar :
tar -xzvf dnscrypt-proxy-linux_*-2.0.16.tar.gz
Cela créera un dossier « linux » dans votre répertoire /home. Il est conseillé de conserver les fichiers dans ce dossier. Pour lancer l’outil, accédez d’abord au dossier extrait à l’aide de la commande CD :
cd linux-*
DNSCrypt peut être lancé avec la commande suivante :
./dnscrypt
Configuration de DNSCrypt
DNSCrypt est maintenant installé, mais il nécessite une configuration pour fonctionner correctement. Vous devez notamment sélectionner un serveur DNS public.
Il existe plusieurs serveurs DNS publics sûrs. Pour une meilleure sécurité, il est préférable de ne pas utiliser celui de votre fournisseur d’accès Internet. L’intérêt de DNSCrypt serait limité si vous ne le masquez pas à votre FAI.
CloudFlare constitue un excellent choix de serveur DNS public. CloudFlare a démontré son engagement envers la confidentialité des utilisateurs et offre d’excellentes performances.
Note : Si vous ne souhaitez pas utiliser CloudFlare, OpenDNS est une alternative valable. Découvrez-le ici !
Modifiez votre connexion par défaut en cliquant sur l’icône de votre réseau.
Dans les paramètres IPv4, repérez le champ « Serveurs DNS ». Collez l’adresse suivante :
127.0.0.2
Après avoir configuré DNSCrypt, il est essentiel de redémarrer votre gestionnaire de réseau avec la commande suivante. Faute de quoi, l’outil risque de ne pas fonctionner :
sudo systemctl restart NetworkManager.service
Application des paramètres DNS
La configuration de base de DNSCrypt est en place. Il reste à appliquer le profil DNS via la ligne de commande :
sudo dnscrypt-proxy -R cloudflare -a 127.0.0.2:53 -u dnscrypt
Désactivation de DNSCrypt
DNSCrypt est un outil pratique pour masquer vos requêtes DNS, améliorer votre sécurité et éviter l’usurpation DNS. Cependant, si vous souhaitez le désactiver, il est possible de le faire.
Grâce au système d’initialisation systemd, vous pouvez démarrer et arrêter DNSCrypt à tout moment, sans le désinstaller. Ouvrez un terminal et obtenez les droits root :
sudo -s
Vous pouvez maintenant manipuler les fichiers du service DNSCrypt. Pour l’arrêter, utilisez la commande :
sudo systemctl stop dnscrypt-proxy.service
Pour le désactiver complètement et empêcher son démarrage automatique, utilisez :
sudo systemctl disable dnscrypt-proxy.service