L’Autorité canadienne pour les enregistrements Internet (ACEI) a lancé un service de système de noms de domaine (DNS) le 23 avril 2020. L’ACEI est l’entité responsable de la supervision du domaine de premier niveau (ccTLD) de codes de pays (ccTLD) du Canada. L’ACEI offre son nouveau service DNS – sous la marque « Bouclier canadien » – pour aider les Canadiens en matière de protection de la vie privée et de sécurité en ligne. Le Bouclier canadien est une solution de rechange au service DNS fourni par votre fournisseur de services Internet (FSI).
Chaque fois que vous tapez un nom de domaine (c’est-à-dire un localisateur de ressources ou une URL uniforme) dans votre navigateur, votre ordinateur envoie votre demande de nom de domaine à un DNS. Le DNS vous envoie alors l’adresse IP (Internet Protocol) du serveur correspondant au nom de domaine. Votre ordinateur utilise ensuite cette adresse IP pour accéder au site Web.
Par analogie, les adresses IP sont comme les coordonnées de latitude et de longitude, les noms de domaine sont comme les adresses municipales et le DNS est comme une carte. Lorsque vous tapez un nom de domaine, tel que www.cira.ca, votre ordinateur demande au DNS l’adresse IP correspondante, qui dans ce cas est 52.60.203.65. Une fois que votre ordinateur connaît l’adresse IP du nom de domaine, votre ordinateur peut communiquer directement avec le serveur du site Web.
Par défaut, votre DNS est défini par votre fournisseur de services Internet (FAI). Vous pouvez modifier votre fournisseur DNS en modifiant les paramètres de votre routeur, ordinateur, navigateur, téléphone, console de jeu ou tout autre appareil qui se connecte à Internet. Vous pouvez vérifier quel DNS vous utilisez en effectuant un test de fuite DNS, que vous pouvez exécuter à partir de votre navigateur à l’aide de services en ligne gratuits.
Pour faire son travail, le DNS doit connaître votre adresse IP et les noms de domaine que vous demandez. Les fournisseurs DNS n’ont besoin de ces informations que pendant un moment, mais peuvent conserver indéfiniment les journaux de ces données.
Conservation de journaux limités. Les fournisseurs DNS peuvent protéger les utilisateurs en limitant la conservation des journaux des adresses IP des utilisateurs et des sites Web qu’ils visitent. Les annonceurs, les autorités gouvernementales et les pirates informatiques ne peuvent pas abuser de ce qui n’existe pas. Le Bouclier canadien dit qu’il conserve les registres jusqu’à 24 heures, ou plus, si un comportement « malveillant ou anormal » est soupçonné ou détecté.
Blocage du contenu dangereux. Une autre façon dont les fournisseurs DNS peuvent protéger les utilisateurs est de bloquer certains noms de domaine et adresses IP. Cela empêche votre ordinateur de communiquer avec le serveur associé à l’adresse IP bloquée. Vous pouvez configurer le Bouclier canadien pour bloquer le contenu nuisible et pour adultes.
Validation des demandes. Les fournisseurs DNS peuvent utiliser des extensions de sécurité système DNS (DNSSEC), qui réduisent le risque d’attaques d’homme du milieu, où les demandes DNS légitimes sont redirigées vers des sites Web illégitimes. DNSSEC le fait en ajoutant des signatures cryptographiques aux enregistrements DNS existants et en validant ces signatures pour s’assurer que rien n’est changé en route vers l’utilisateur. Le Bouclier canadien dit qu’il fournit la validation DNSSEC.
Chiffrement du trafic DNS. Les fournisseurs DNS peuvent également chiffrer les données entre l’appareil de l’utilisateur et le serveur DNS, en utilisant DNS sur HTTPS (DoH) ou DNS sur TLS (DoT). Le Bouclier canadien appuie les normes de chiffrement du DoH et du DoT.
Toutes ces mesures sont volontaires de la part du fournisseur DNS et peuvent nécessiter une certaine configuration de la part de l’utilisateur.
Un fournisseur DNS ne peut chiffrer que votre trafic DNS, et uniquement en transit. Le DNS doit déchiffrer votre adresse IP et le nom de domaine que vous avez demandé pour vous fournir l’adresse IP associée à ce nom de domaine. Le fournisseur DNS ne peut pas chiffrer les données échangées entre vous et les sites Web que vous visitez. Vous et les sites Web que vous visitez devez prendre des mesures de sécurité supplémentaires pour crypter ces données. Par exemple, les utilisateurs peuvent implémenter des solutions de réseau privé virtuel (VPN) et les serveurs peuvent utiliser https (hypertext transfer protocol secure).
La modification de votre DNS en un fournisseur approuvé ne remplace pas d’autres mesures de sécurité, telles que HTTPS, antivirus, pare-feu logiciels et matériels traditionnels, VPN et l’installation de mises à jour du système d’exploitation dès leur publication.
Vous n’êtes pas le seul à pouvoir modifier vos paramètres DNS. Les logiciels antivirus et les VPN peuvent remplacer vos paramètres DNS. Votre appareil peut remplacer les paramètres DNS de votre routeur. Votre navigateur peut remplacer les paramètres DNS de votre ordinateur. Dans certaines conditions, votre appareil peut continuer à utiliser ses paramètres DNS par défaut plutôt que, ou en plus, les paramètres DNS que vous entrez manuellement. Vous pourrez peut-être modifier vos paramètres antivirus ou VPN pour utiliser le fournisseur DNS de votre choix. Vous pouvez vérifier quel fournisseur DNS votre navigateur utilise en effectuant un test de fuite DNS.
Le Bouclier canadien est au Canada. Les serveurs du Bouclier canadien se trouvent au Canada et, par conséquent, évitent probablement la réglementation d’autres administrations. En étant au Canada, le Bouclier canadien pourrait être plus rapide pour les utilisateurs au Canada que pour les fournisseurs de DNS qui sont géographiquement éloignés.
L’ACEI est un organisme sans but lucratif. Cela réduit la motivation de vendre vos données de requête DNS à des tiers, tels que des annonceurs.
Le Bouclier canadien fera l’objet d’une vérification. L’ACEI s’est engagée à effectuer une vérification annuelle complète de la protection de la vie privée par un tiers.
Le Bouclier canadien est personnalisable. Le Bouclier canadien offre trois niveaux de sécurité : privé, protégé et familial. Le niveau privé remplace votre fournisseur DNS par défaut par le Bouclier canadien, que vous jugerez peut-être plus fiable. Le niveau privé ne filtre pas le contenu. Le niveau de protection comprend la sécurité du niveau privé et bloque également les sites Web connus ou soupçonnés par l’ACEI d’être associés à des menaces à la sécurité, telles que les logiciels malveillants et l’hameçonnage. Le niveau familial inclut la sécurité du niveau protégé et bloque également le contenu pour adultes.
Bien qu’il puisse techniquement être utilisé par n’importe quel appareil connecté à Internet, les terms ne permettent que l’utilisation par les personnes et les familles résidant au Canada. L’ACEI offre également le pare-feu DNS de l’ACEI, un service payant pour les organisations.
Pour compiler sa liste de sites Web dangereux, le Bouclier canadien regroupe les listes de menaces de tiers, tant commerciaux qu’open source. L’une de ces listes de menaces provient du Centre canadien pour la cybersécurité, une entité gouvernementale responsable de la protection de la cybersécurité du gouvernement fédéral et de l’infrastructure Internet essentielle du Canada. Selon l’ACEI, 100 000 sites Web sont ajoutés à la liste des menaces agrégées chaque jour. Les utilisateurs peuvent soumettre des domaines ou des adresses IP malveillants, et signaler des faux positifs, en utilisant la page de soutien du Bouclier canadien.
La politique du Bouclier canadien privacy stipule qu’ils ne conserveront aucun renseignement personnel identifiable (PII) à des fins de marketing et ne revendront pas vos PII. L’ACEI conservera vos IPI jusqu’à 24 heures pour mettre fin à l’abus du Bouclier canadien pour « comportement malveillant » et « activité illégale ». L’ACEI peut conserver ces renseignements pendant plus de 24 heures s’il observe des comportements que l’ACEI « juge malveillants ou anormaux ».
L’ACEI peut partager des données agrégées anonymisées avec le public, comme des renseignements sur les types de menaces, la géolocalisation et le rendement du Bouclier canadien (p. ex., le nombre de sites Web bloqués et la disponibilité de l’infrastructure). L’ACEI peut également partager certaines données avec des partenaires du renseignement, y compris le nombre de fois qu’un domaine donné est bloqué.
L’ACEI s’est associée à plusieurs tiers pour élaborer et mettre en œuvre le Bouclier canadien.
Akamai. Le Bouclier canadien utilise une technologie appartenant à Akamai, une entreprise dont le siège social est aux États-Unis et qui a des bureaux partout dans le monde, y compris à Ottawa et à Toronto. Akamai est responsable de 4 % de toutes les requêtes DNS mondiales et dessert entre 15 % et 30 % du trafic Web mondial.
Mobilisez-vous. Le Bouclier canadien offrira bientôt une application pour téléphone mobile, ce qui simplifiera le processus de configuration du Bouclier canadien sur les appareils iPhone et Android. Cette application a été créée en partenariat avec Mobilize, une société américaine. Il est possible de configurer des appareils mobiles pour qu’ils utilisent le Bouclier canadien sans installer cette application.
TekSavvy. Le Bouclier canadien sera desservi par les centres de données de TekSavvy à Toronto, Montréal et Vancouver. TekSavvy est un FSI canadien dont le siège social est situé à Chatham, en Ontario.
C’est à vous de décider. La première étape consiste à découvrir quel fournisseur dns vous utilisez déjà et à comparer sa politique de confidentialité et ses mesures de sécurité à celles des alternatives, le Bouclier canadien étant l’une des nombreuses options gratuites axées sur la confidentialité.
Si vous souhaitez obtenir de l’aide pour décider quelles mesures de sécurité et de confidentialité en ligne vous conviennent, à vous et à votre entreprise, nous vous invitons à contacter l’équipe cybersecurity de Bennett Jones.