Suivre

đŸ“±

Dans mon tuto pour se protéger des traqueurs et publicités sur Android, l'utilisation de DoT est désormais présenté comme une option pour améliorer la protection de la vie privée.

En effet, beaucoup trop de points d'accÚs WiFi publiques bloquent l'utilisation de résolveurs DNS externes, ce qui - pour l'utilisateur lambda - provoque trop souvent des problÚmes de connexion.

sebsauvage.net/wiki/doku.php?i

@Dyphiloptere
De rien 👍

Le plus effrayant, aprĂšs avoir installĂ© ça, c'est de regarder tous les serveurs contactĂ©s au moment oĂč on active juste la connexion internet đŸ˜±

@sebsauvage J'y connais pas encore grand chose donc je te fais confiance.

J'ai l'impression que ça n'en finira jamais de devoir rajouter des bloqueurs en tout genre... C'est un peu dĂ©sespĂ©rant 🙂

@Dyphiloptere
C'est malheureux oui.

Avant en sĂ©curitĂ© il fallait surtout qu'on se protĂ©ger des menaces venant de l'EXTÉRIEUR du systĂšme.

Maintenant il faut se protéger:
- contre les applications.
- contre le systĂšme d'exploitation (coucou Windows)
- contre le fabricant de matĂ©riel lui-mĂȘme (coucou Lenovo)

â˜čâ˜čâ˜č

@sebsauvage Je te suis depuis quelques années du coup j'ai une petite culture du phénomÚne et de certains moyens pour le limiter et je t'en remercie.
Malheureusement ça prend un temps fou si l'on veut tout comprendre. Et moi j'aime comprendre ce que je fais 😄 .
Bonne continuation.

@Dyphiloptere
👍
Oui c'est trĂšs consommateur de temps.

Au fait pour info, pour savoir ce que bloque cette liste, c'est décrit là:
sebsauvage.net/wiki/doku.php?i

@sebsauvage @Dyphiloptere

Mon avis : sur le matĂ©riel, sauf si OpenHardware, tu ne pourras jamais ĂȘtre sĂ»r de quoi que ce soit, idem sur ton matĂ©riel rĂ©seau, sauf Ă  tout chiffrer avec des algos suffisamment robustes (sauf whitebox/SDN; cf. Affaire de routage auto vers la Chine).
Pour le reste (OS et apps), avec de l'OpenSource, c'est bcp plus faisable (l'OpenHardware n'est pas encore hyper répandu chez les fabricants...).

@Fritange

> Pour le reste (OS et apps)

Sauf avec les fdrivers/firmwares privateurs, et le mobile : Aucune solution pour un baseband libre. Et les efforts techniquement prometteurs des ordiphones libres avec la partie baseband isolée sans accÚs à la partie ordi, ça donne des devices trop chers, exprimentaux (Neo900), et en plus les banquent utilisent la DSP2 comme justificatif pour @sebsauvage @Dyphiloptere - 1/2

foutre la merde em favorisanv les mouchards google et prendre sa part du gĂąteau de flicage, au lieu d'utiliser TOTP pour faire du 2FA.

@sebsauvage @Dyphiloptere @Fritange - 2/2

@sebsauvage
Et encore, la plupart les bloque bĂȘtement, mais ils peuvent aussi te tromper en nattant le port 53 des connexions du rĂ©seau local vers internet sur leur propre resolveur ou DNS externe, alors que tu crois contacter ton DNS.

Comment je le sais ? C'est ce que je fais chez moi pour empĂȘcher les tĂ©lĂ©phones de contacter directement les DNS Google pour passer sur le pihole. 😉 (qui utilise un proxy doh qui fait ses requĂȘtes sur une grosse liste de serveurs a priori corrects).

@sebsauvage Moui, mais selon le vpn utilisé, comme openvpn sur du public souvent c'est banni, ca n'ira pas non ?

Perso, j'ai du open vpn port 443 -> chez certains ils bloque juste le port 1194, d'autres c'est du deep learning, du coup, faut que je bascule sur du vpn over https ( #softether )

mais application intéressante. mon vpn de surf est sur #pihole et je viens de add ton host. je l'avais raté :)

@lucius
🙂

Dommage que sur Android on ne puisse pas mixer DNSFilter et VPN.
(et je n'ai trouvé aucun client VPN sur Android qui supporte les listes de blocage)

@lucius
Sinon globalement je n'ai pas du trop de blocage des VPN... il m'a quand mĂȘme fallu parfois aussi passer sur un autre port.

@sebsauvage bah du coup, je sens que mon pihole, va devoir gérer DoH ce qui fera Tel ->-VPN -> FW -> pihole (dns / flitrage / dnssec / DoH) -> web

Tout ca pour pas se faire em***der sur le web et son tel...

@sebsauvage
Thanks. Par contre tu donnes uniquement la config pour quad9 (et ce qu'il faut pour en trouver d'autres). En ce qui me concerne j'ai dégagé leur DOT, beaucoup trop d'erreurs et ce, quelque soit le réseau.

@sebsauvage
Bien sĂ»r, ce n'Ă©tait pas le sens de mon propos (‱‿‱)
Je constate simplement de gros dĂ©fauts de fonctionnement de quad9 en DOT, et ça peut donc induire en erreur ceux qui essaient (marche pas leur truc ou bien ?) Mais ce n'est peut-ĂȘtre que chez moi, bien que j'en doute

@djiko_iko
J'ai retiré Quad9 comme recommandation de base pour DNSFilter.

@sebsauvage tien justement petite question, vu que depuis Android 9 (Pie donc si je dit pas de bĂȘtise) on peu ajouter un DNS privĂ©, DNSFilter est t-il encore rĂ©ellement utile ?

@KazukyAkayashi
Tu peux ajouter le serveur DNS de ton choix, mais est-ce que ce serveur DNS filtre ?
Tout l'intĂ©rĂȘt de DNSFilter est d'utiliser une liste de blocage.

@sebsauvage
Y a t'il un moyen d'afficher l'application qui Ă©met la requĂȘte dans dnsfilter?

@le_chat
Non malheureusement.
Si vous voulez avoir un détaile plus précis de l'activité réseau des applications Android, vous pouvez utiliser un firewall applicatif plus poussé:

play.google.com/store/apps/det

Je l'ai utilisé pendant un bon moment.
Pas intuitif, mais puissant et permet de faire des blocages spécifiques par application.

@sebsauvage

Par rapport Ă  l'utilisation de blockada DNS, c'est quoi le mieux ?

@Fritange
Blokada fait 4 800 kilo-octets.
DNSFilter fait 184 kilo-octets.
A fonctionnalités égales, ma préférences va au plus léger.

@sebsauvage

Ta rĂ©ponse me va 🙂
MĂȘme si j'imagine que c'est peut-ĂȘtre aussi pour des histoires de packaging/portabilitĂ©/UI/UX.

@sebsauvage merci pour ton article 👍 depuis ton 1er toot sur le sujet, je l'ai installĂ©, et j'en suis ravi.

Question 1 : as-tu des fermetures automatiques de l'appli ? Je suppose une fermeture abusive de l'appli par le systĂšme de gestion d'Ă©nergie de Huawei ou un plantage de l'appli.

Question 2 : comment contrĂŽles-tu qu'une URL est bonne ou pas? comment savoir si c'est un traquer Ă  bloquer?

@mathdatech
1) Je suis sur un Samsung sur lequel j'ai demandé au systÚme, dans la config, de ne pas "optimiser la batterie" pour DNSFilter.

2) On ne peut pas savoir Ă  l'avance si un domaine est "bon" ou pas. Parfois c'est assez explicite de part le nom du domaine.
(Et un mĂȘme domaine peut ĂȘtre Ă  la fois bon et mauvais...)

@sebsauvage Classe ! J'ai perdu le root lors de la derniĂšre MĂ J de mon Oneplus, donc plus d'Adaway (avec ta liste de hosts)
 et je n'ai jamais aimĂ© Blokada !

Merci beaucoup pour tout ça : le tuto et la liste ! 👍

@sebsauvage Bon, ben retour Ă  Blokada.
J'étais obligé de désactiver et réactiver DNSfilter à chaque fois que j'allumais l'écran
 :(

@pourrito
Oh!
TrĂšs Ă©trange. Je n'avais jamais vu ce comportement.

@sebsauvage Bah, Blokada avec ta liste, c'est déjà pas si mal ! ;)

@sebsauvage
Salut et merci pour la MAJ, tu as fais une erreur ici :

Moi j'ai un téléphone rooté !
Alors vous n'avez pas besoin de l'application DNSFilter. Copiez juste le fichier hosts dans /etc(Pensez Ă  le mettre Ă  jour de temps en temps).

C'est /etc/system/hosts et non /etc/hosts.

De plus le smartphone n'a pas besoin d'ĂȘtre rootĂ© pour utiliser cette mĂ©thode, le boatloader doit juste ĂȘtre dĂ©verrouillĂ©, ensuite il est possible d'accĂ©der aux FS via un recovery alternatif comme TWRP par exemple.
J'utilise justement cette méthode depuis un moment et mon smartphone n'est, et ne sera pas rooté.

@tetsumaki
Ok... effectivement le cas d'accĂšs au FS via une rom alternative, je ne l'ai pas pris en compte.

@sebsauvage
Pas forcément besoin d'une ROM alternative. Un "fastboot boot twrp.img" suffit.

@tetsumaki
I'm faudra vraiment un jour que je prenne le temps de regarder comment ça marche

@sebsauvage merci pour le tuto (et la liste de blocage)
Inscrivez-vous pour prendre part Ă  la conversation
Framapiaf

Mastodon est un réseau social utilisant des protocoles Web ouverts et des logiciels libres. Tout comme le courriel, il est décentralisé.