- Mullvad a déplacé son service DNS chiffré vers une exploitation basée sur la RAM, après avoir supprimé toute trace sur disque de son infrastructure VPN
- Cela permet de chiffrer les requêtes DNS des appareils non connectés au VPN, afin de rendre beaucoup plus difficile pour des tiers d’espionner les requêtes entre l’appareil et les serveurs DNS de Mullvad
- Ce service est disponible gratuitement, même pour les non-abonnés, et s’adresse aux utilisateurs qui veulent un DNS audité avec blocage de contenu optionnel
- Des serveurs sont proposés dans le monde entier avec des guides de configuration, mais l’usage avec un VPN n’est pas recommandé car il sera toujours plus lent que le résolveur DNS du serveur VPN auquel on est connecté
- Les serveurs DNS chiffrés utilisent le même noyau Linux et les mêmes réglages de sécurité et de confidentialité que l’infrastructure VPN, poursuivant ainsi la démarche d’une infrastructure sans état exécutée en RAM
Le DNS chiffré passe lui aussi à une base RAM
- Mullvad a récemment terminé la migration visant à éliminer les traces laissées sur les disques utilisés par son infrastructure VPN
- Avec ce changement, le service DNS chiffré fonctionne lui aussi désormais en RAM
- Il s’agit de l’étape suivante dans la volonté de Mullvad d’exécuter une infrastructure sans état en RAM
Comment le chiffrement des requêtes DNS fonctionne
- Le DNS chiffré est aussi connu sous les noms de DNS over TLS et DNS over HTTPS
- Lorsqu’un appareil n’est pas connecté au service VPN, les requêtes DNS entre cet appareil et les serveurs DNS de Mullvad sont chiffrées
- Cette approche sert à empêcher des tiers d’intercepter les requêtes DNS
Public visé et limites concrètes
- Ce service est principalement destiné à un usage lorsque l’on n’est pas connecté à un serveur Mullvad VPN
- Il peut être utilisé entièrement gratuitement, que l’on soit client payant ou non
- Toute personne souhaitant un service DNS chiffré fiable et audité avec blocage de contenu optionnel peut l’utiliser
- Il est proposé via des serveurs répartis dans le monde entier et peut être configuré à l’aide du guide de configuration sur le site de Mullvad
- Il peut aussi être utilisé avec le service VPN, mais ce n’est pas recommandé car ce sera toujours plus lent que d’utiliser le résolveur DNS du serveur VPN auquel on est connecté
Une configuration de sécurité alignée sur l’infrastructure VPN
- Tous les serveurs DNS chiffrés sont configurés avec le même noyau Linux que l’infrastructure VPN
- Le niveau de sécurité et de confidentialité est lui aussi aligné sur celui de l’infrastructure VPN
1 commentaires
Commentaires Hacker News
Le DNS chiffré de Mullvad peut être utilisé par tout le monde, qu’on soit abonné payant au VPN ou non
Il prend aussi en charge le blocage de contenu sélectif via des listes de blocage ; il suffit donc de configurer le serveur DNS TLS/HTTPS souhaité
[1] https://github.com/mullvad/dns-blocklists
.mobileconfig) ne fonctionne pas si vous utilisez Little Snitch ou Lulu pour bloquer le trafic réseau indésirableC’est une limitation de macOS qu’Apple n’a pas corrigée
Pour accéder à un site, il faut obtenir son IP via DNS, et le FAI ou le fournisseur VPN peut voir que je me connecte à cette IP, qu’il l’ait apprise via une requête récente ou qu’il la connaissait déjà
Sauf si le modèle consiste à éviter une fuite vers un DNS tiers qui journalise alors même qu’on utilise un VPN, je ne vois pas très bien pourquoi c’est nécessaire
Je me demande s’il s’agit d’un serveur physique ou d’une VM
Certains types de VM permettent légalement l’arrêt, le snapshot, la duplication et la réplication en direct, y compris du contenu mémoire, comme dans le cadre d’une demande officielle, et sur un hôte bare metal on peut accéder à l’intérieur des VM ou des conteneurs
Je me demande s’il existe un schéma d’architecture physique publié
Si un architecte de Mullvad passe par là, j’aimerais qu’il m’aide à ne pas sombrer dans des hypothèses théoriques et une pile infinie de tortues
https://www.system-transparency.org
Il existe des outils basés sur eBPF capables d’extraire des flux de données à la demande selon certains paramètres
Des outils comme Sysdig/Falco pourraient aussi le permettre ; il serait utile de savoir s’ils recompilent le noyau eux-mêmes pour désactiver eBPF, et s’ils effectuent un durcissement supplémentaire du noyau afin de supprimer ou désactiver les fonctions de débogage à la demande
Il n’y aurait alors plus rien à mettre en pause
Question naïve d’un observateur extérieur : en 2023, la RAM chiffre-t-elle l’intégralité de son contenu ?
Je me demande s’il est possible d’éteindre la machine et de faire disparaître un certain type de clé de chiffrement stockée dans une mémoire plus petite et plus volatile, afin que le contenu de la RAM soit oublié de manière fiable
Je me demande quelles mesures ont été prises contre les attaques par cold boot sur la RAM, ce qui a changé côté matériel, et si les clés de chiffrement de la RAM sont stockées dans un TPM ou équivalent
Bien sûr, si le serveur est physiquement compromis, de mauvaises choses peuvent arriver, mais il n’y a nulle part où stocker durablement un malware, et il est impossible, par erreur ou volontairement, d’écrire des logs sur un stockage local ; il est donc plus difficile de compromettre le serveur de façon persistante
Chiffrer le contenu de la RAM peut apporter une protection supplémentaire, mais si tout est correctement implémenté, ce qui reste en RAM n’est probablement guère plus intéressant, en pratique, que ce qui est déjà observable sur le réseau
On ne verrait peut-être au mieux qu’une très petite quantité de données de requêtes actives, mais ce n’est qu’une supposition
https://www.amd.com/system/files/documents/amd-memory-guard-...
https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
Il existe aussi un indicateur EFI de redémarrage qui pourrait être corrigé pour forcer l’effacement de la RAM au prochain démarrage, mais il est généralement désactivé
[1] https://en.wikipedia.org/wiki/Cold_boot_attack Sous Windows, cela fonctionne encore à cause de BitLocker
[2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
J’ai contacté Mullvad, qui m’a confirmé qu’ils n’utilisent que du bare metal, sans aucune virtualisation ni conteneurisation
https://ibb.co/XLDQGGt
J’utilise le DNS DoH de Cloudflare (https://1.1.1.1) et je le tunnelise à travers Mullvad VPN
Ainsi, Mullvad ne peut voir que les IP que je visite, Cloudflare ne voit que les requêtes DNS provenant de l’IP du VPN, et le FAI ne voit rien
Le DNS DoH de Mullvad a l’air bien aussi, mais je pense qu’il offre moins de confidentialité que cette méthode, donc je ne compte pas l’utiliser
J’aimerais voir les statistiques réelles, mais d’après mon intuition après avoir exploité des applications de données intensives en lecture/écriture sur SSD et RAM ECC, les deux tombent en panne assez souvent pour que, du point de vue de la résilience, ce changement ressemble presque à un simple déplacement latéral
Cela dit, l’effort pour grappiller ne serait-ce que quelques pourcents de performance pure mérite d’être salué. Ça a l’air d’un projet Redis intéressant
Ils vont probablement démarrer par le réseau avec une image en lecture seule
Ils faisaient déjà ainsi sur les serveurs VPN, et appliquent maintenant la même stratégie aux serveurs DNS
Je me demande s’il existe des fiches techniques ou d’autres données montrant le taux de panne
J’étais très satisfait de tout ce que faisait Mullvad, mais j’ai été déçu quand ils ont annoncé l’arrêt du port forwarding, qui était important pour certains aspects très spécifiques de ma configuration
Je comprends la raison, mais s’ils le reproposent un jour, je redeviendrai volontiers client
Du point de vue de Mullvad, les avantages de le désactiver l’emportent sur les inconvénients
Quelqu’un sait comment la sécurité de Mullvad VPN se compare à celle de Proton VPN ?
Ils ont un historique de résistance aux demandes des forces de l’ordre, parce qu’ils n’ont en réalité rien à remettre
Tout fonctionne en RAM et disparaît dès que le serveur s’éteint, et ils ne stockent vraiment rien
On peut aussi envoyer des espèces par courrier ou acheter un compte Mullvad en cryptomonnaie. Il n’est même pas nécessaire de créer un compte avec une adresse e-mail ou autre
Conformément au droit suisse, l’utilisateur concerné est informé avant que les données ne soient utilisées dans la procédure pénale et a la possibilité de les contester devant le tribunal »
Un VPN sert surtout à contourner les blocages géographiques et, éventuellement, à éviter les notifications DMCA quand on télécharge du contenu piraté
Le fournisseur VPN OVPN (ovpn.com) utilise aussi cette approche