NextDNS, mon nouveau bloqueur de traceurs et de publicités préféré

Enfin une solution facile d'accès pour bloquer les traceurs et publicités sur tous les appareils

Publié par Pixel de Tracking le 31 oct. 2020

Lors de mes analyses de sites et d'applications, la conclusion est souvent la même : faute de véritables sanctions contre les éditeurs, vous devez vous protéger contre la surveillance publicitaire via des moyens techniques. Cet article a pour but de partager ma configuration actuelle.

Les choix de bloqueurs de traceurs et de publicités sont évidemment très personnels : vous utilisez sans doute d'autres applications, d'autres extensions, vos choix sont peut-être plus efficaces. Aussi, je suis loin d'être le seul à écrire sur le sujet et je ne suis pas expert "Adblock", bref n'hésitez pas à partager votre expérience !

Selon les appareils, il est plus ou moins facile de bloquer les traceurs et publicités. Voici les différents scénarios auxquels je suis confronté.

Bloquer les traceurs et publicités sur un navigateur "Desktop" : des adblockers largement adoptés aujourd'hui

Sur mes MacBook (personnel, professionnel), lorsque je surfe sur le web, j'utilise Firefox avec l'extension uBlock Origin. Sur Firefox, cet adblocker détecte le "CNAME cloaking" et le bloque (ce qui n'est pas le cas sur Chrome). Le "CNAME cloaking" est une technique utilisée par certains acteurs du marketing de surveillance pour vous pister, même si vous avez pris vos précautions (cette technique pose aussi des problèmes de sécurité). Si vous souhaitez approfondir le sujet, lisez les explications de NextDNS (en anglais) et la présentation de la Quadrature du Net (en français).

Surtout, à la différence d'un Adblock Plus que je déconseille vivement, uBlock Origin n'offre aucun passe-droit aux publicitaires. La société Eyeo, éditrice d'Adblock Plus, est à l'origine du programme Acceptable Ads, et se fait payer de grosses sommes par des géants du marketing de surveillance tels que que Google, Microsoft, Amazon, Taboola, Outbrain et Criteo pour ne pas bloquer leurs publicités par défaut : une énorme hypocrisie !

Il m'est facile de conseiller Firefox et uBlock Origin à mes proches :

  • Firefox est simple à installer et très rapide. C'est un logiciel développé par un acteur indépendant (Mozilla), open-source et respecteux de la vie privée de ses utilisateurs.
  • uBlock Origin est également simple à installer, et très efficace.

Bloquer les traceurs et publicités sur le web, sur un iPhone : des bloqueurs de contenus moins démocratisés

Sur mon iPhone, lorsque je surfe sur le web, j'utilise Safari. Grâce à Intelligent Tracking Prevention (ITP), celui-ci me protège contre le pistage multi-sites par des tiers (notamment en bloquant les cookies tiers, mais pas que). À noter que depuis iOS 14, Intelligent Tracking Prevention s'applique aussi aux autres navigateurs : Chrome sur iOS vous protège aussi contre le pistage multi-sites par des tiers ! Seulement voilà, ITP ne répond pas à tous mes besoins :

  • Il ne bloque pas les publicités.
  • Il bloque le suivi multi-sites mais ne bloque pas l'envoi des traceurs (Safari continue d'envoyer les requêtes vers de multiples sociétés marketing).
  • Il permet le suivi lorsqu'il est restreint à un seul site : l'outil analytics d'un éditeur (Google Analytics lorsque l'éditeur n'a pas activé les fonctionnalités publicitaires, AT Internet, Adobe Analytics...) continuera de fonctionner correctement et d'analyser votre parcours (même si l'analyse est restreinte au site consulté).

À la différence d'Android (exemple : Firefox pour Android), iOS ne permet pas à un navigateur d'installer des extensions (le navigateur doit nécessairement utiliser le moteur de rendu de Safari, Webkit) : impossible donc d'installer directement un adblocker.

Il est néanmoins possible d'installer un "bloqueur de contenu", celui-ci sera activé uniquement sur Safari (et non sur les autres navigateurs) et permettra de bloquer des listes de traceurs et de publicités. J'utilise donc le bloqueur de contenu Firefox Focus pour bloquer les publicités. AdGuard propose également un bloqueur de contenu pour Safari, mais lors de mon utilisation, il bloquait le chargement de certains sites, ce qui me forçait à le désactiver.

Il m'est également facile de conseiller cette option à mes proches qui sont sur iOS (pour Android, je recommande Firefox avec uBlock Origin) :

  • Safari est le navigateur par défaut, rien à configurer.
  • Firefox Focus demande un minimum de configuration, mais cela reste rapide.

Bloquer les traceurs et publicités sur les applications natives : le public est peu informé, NextDNS à la rescousse

Plus compliqué maintenant, sur les applications iPhone, il me manquait une bonne option pour bloquer les traceurs et publicités. Je payais pour ProtonVPN mais celui-ci ne peut être utilisé simultanément avec un bloqueur tel que NextDNS ou AdGuard.

Aussi, j'avais de gros problèmes de batteries avec les applications ProtonVPN, NextDNS et AdGuard et je pensais connaître la cause : ces applications étaient toutes basées sur un VPN (ces applications pouvaient parfois utiliser jusqu'à 50% de la batterie de mon vieil iPhone sur une journée). Avant la sortie de iOS 14, NextDNS et AdGuard devaient utiliser un VPN local pour chiffrer les requêtes DNS.

Adguard

Adguard passe par un VPN local sous iOS

Mais avec iOS 14, Apple ajoute la possibilité de chiffrer les requêtes DNS nativement. Plus besoin de passer par le "hack" d'un VPN local, et donc plus d'impact sur ma batterie. NextDNS ayant implémenté cette option rapidement, j'ai décidé de l'utiliser systématiquement et je n'ai pas été déçu.

Avec NextDNS, je peux ainsi :

  • Bloquer les traceurs et les publicités lorsque j'utilise des applications sur mon iPhone, via l'application iOS NextDNS donc.
  • Bloquer les traceurs et les publicités sur mon Apple TV (tvOS permet également de chiffrer les requêtes DNS nativement), via le générateur de profils de configuration Apple.
  • Bloquer les traceurs et publicités sur les applications lorsque j'utilise mon Mac. Un exemple : le player Mac Spotify est très bavard, il fuite vos données personnelles à Google et Comscore et uBlock Origin ne va pas aider. L'appli Mac de NextDNS permet de bloquer ces traceurs.
  • Compléter le blocage des traceurs et publicités déjà effectué par uBlock Origin sur Firefox (Mac) et Firefox Focus sur Safari (iPhone) via une 2ème couche de blocage NextDNS. J'ai ainsi fait disparaitre de nombreuses bannières de consentement, rendant mon surf plus agréable.
  • Configurer ma Freebox pour utiliser le DNS de NextDNS et ainsi bloquer les traceurs des objets connectés (mon thermostat en l'occurrence).

Je peux également facilement recommander cette solution à mes proches :

  • NextDNS est rapide à installer et à configurer (à la différence d'un Pi-Hole, qui s'adresse principalement à des bidouilleurs).
  • NextDNS fonctionne aussi en mobilité (toujours à la différence d'un Pi-Hole, qui ne fonctionnera que sur le WiFi personnel maison).

De l'utilité d'un annuaire DNS

NextDNS est un annuaire DNS (Domain Name System) parmi d'autres. Le DNS est un des services essentiels à l'internet : c'est un annuaire qui va permettre la correspondance entre un nom de domaine (exemple : google.fr) et une adresse IP (exemple : 216.58.204.99). Par défaut, vous utilisez le serveur DNS de votre fournisseur d'accès internet. Seulement voilà :

  • Ces requêtes DNS ne sont pas chiffrées, un pirate peut donc les intercepter, apprendre quels sites vous consultez voire modifier ces requêtes à la volée pour vous faire télécharger un virus par exemple.
  • Pour des raisons légales, les fournisseurs d'accès internet (FAI) bloquent également l'accès à certains sites web. Exemple : vous souhaitez télécharger des fichiers torrent (films, séries, musique) via le site The Pirate Bay, mais celui-ci risque d'être bloqué par votre fournisseur. Les FAI appliquent ce blocage via l'annuaire DNS qu'ils mettent à votre disposition.

Pour que vos requêtes DNS soient chiffrées et pour vous permettre d'accéder à certains sites web, vous pouvez changer de fournisseur DNS. Si vous ne souhaitez pas bloquer les traceurs et publicités, OpenDNS est un annuaire de confiance. Si vous souhaitez simplement utiliser un service rapide et que vous n'êtes pas inquiet de l'omniprésence de Google dans votre vie, vous pouvez utiliser le Google Public DNS. De même, si vous êtes peu concerné par la centralisation progressive du web mais simplement par la performance, vous pouvez utiliser le DNS de Cloudflare.

Mais ce serait dommage de s'arrêter en si bon chemin ! Dans le cas des traceurs et publicités, l'annuaire DNS peut retourner une réponse vide au lieu de renvoyer la bonne adresse IP. Exemple : si vous êtes en train de jouer à un jeu sur votre iPhone et que celui-ci souhaite délivrer une publicité, il va demander à votre annuaire DNS l'adresse de doubleclick.net (la régie publicitaire de Google). Si vous utilisez NextDNS et si vous avez activé les bloqueurs, celui-ci ne renverra pas de réponse : vous ne serez pas pisté et vous ne verrez pas de publicité !

NextDNS vous permet de choisir vos listes de blocage

Comme pour un adblocker "classique" tel que uBlock Origin, NextDNS vous permet de vous abonner à des listes de blocage :

blocage

Mon choix parmi les listes les plus utilisés.

NextDNS vous propose également des listes de blocage pour se protéger contre le tracking "natif" :

natif

Apple collecte des statistiques d'usage ? Je peux maintenant bloquer ces requêtes.

Le fonctionnement de NextDNS est transparent

Si vous décidez d'activer les logs de NextDNS, vous aurez une grande flexibilité :

  • Sur la durée de rétention : de 1 heure à 2 ans. Si vous souhaitez vérifier que NextDNS fonctionne bien et affiner les domaines bloqués, 1 heure est suffisant.
  • Sur la localisation du stockage : notamment dans l'Union Européenne ou mieux, en Suisse.

Vous pourrez alors "vérifier" le travail de NextDNS via une interface en ligne. Voici la vue lorsque je lance l'application L'Équipe sur mon iPhone :

logs

Comme nous l'avons déjà vu, l'application L'Équipe fuite vos données personnelles. Mais NextDNS empêche bien ces fuites (vers ACPM et Weborama sur la capture écran), et vous ne verrez plus de publicité.

Si jamais vous observez des traceurs non bloqués, vous avez le choix de vous abonner à de nouvelles listes de blocage ou tout simplement d'ajouter ces traceurs à votre liste noire :

noire

Quelques traceurs ajoutés manuellement

Si vos logs sont activés, vous aurez également accès à des statistiques agrégés :

statistiques

NextDNS bloque quasiment 20% de mes requêtes. Si je regarde la vue par appareil, NextDNS bloque jusqu'à 30% des requêtes sur mon iPhone et sur mon Apple TV (les applications n'y étant pas ciblées par d'autres adblockers). Au contraire, sur mes portables MacBook, NextDNS ne bloque que 3% des requêtes, uBlock Origin bloquant déjà les traceurs et autres publicités sur le web.

NextDNS bloque également le "CNAME cloaking"

Le "CNAME cloaking" est une manière insidieuse de vous surveiller, en passant outre les protections des navigateurs et autres adblockers. Son implémentation est souvent accompagnée d'une grave faille de sécurité la fuite de vos identifiants de connexion vers le tiers. Voici quelques exemples détaillés sur ce blog :

Criteo en particulier est très vicieux dans son utilisation du "CNAME cloaking" : la "fonctionnalité" est activée uniquement si vous utilisez Safari (afin de contourner "Intelligent Tracking Prevention"). Ainsi vous pourriez croire qu'un site ne passe pas par du "CNAME cloaking" si vous observez les requêtes avec Firefox ou Chrome. Ainsi, lorsque vous utilisez Safari sur iPhone, vous n'êtes pas protégé contre cette technique de surveillance.

NextDNS a implémenté la protection contre le pistage via "CNAME cloaking" il y a déjà 1 an :

CNAME

La protection est activée par défaut.

Quel modèle économique pour NextDNS ?

Avant d'utiliser un tel service, la première question est de bien comprendre le modèle économique. Un exemple : Google a pour modèle économique le marketing de surveillance. Si vous êtes inquiet de l'omniprésence de Google dans nos vies, vous éviterez surement Google Public DNS. NextDNS a un modèle "freemium" :

  • Le service est gratuit jusqu'à 300.000 requêtes DNS par mois (note : pour mon premier mois d'utilisation, malgré un usage intensif, je n'ai pas atteint cette limite). Si vous atteignez la limite et ne payez pas, NextDNS se comportera comme un simple annuaire DNS pour les requêtes supplémentaires : ni filtre, ni logs.
  • Si vous dépassez les quotas, le tarif est très raisonnable : $1.99/mois ou $19.90/an (à peu près l'équivalent en euros).
  • NextDNS propose également des plans payant pour les entreprises et les écoles.

Pouvez-vous faire confiance à NextDNS ?

Si vous n'avez pas changé vos paramètres DNS, vous utilisez sans doute l'annuaire de votre fournisseur d'accès internet. Lorsque vous passez par NextDNS, vous devez faire confiance à un nouveau tiers, comment juger si ce tiers est digne de confiance ? À chacun de se faire son propre avis, voici les arguments qui m'ont convaincu.

La présentation des fondateurs, 2 français, explicite les principes de NextDNS :

NextDNS has been founded in May 2019 in Delaware, USA by two French founders Romain Cointepas and Olivier Poitrey. Olivier has been working on Internet infrastructures for the last 20 years. In 2005, he founded Dailymotion, the largest video sharing service after Youtube and the most popular European website in the world at the time. He is currently Director of Engineering at Netflix, working on Open Connect, Netflix's home CDN also known as the CDN moving about 30% of the total US Internet traffic. Romain and Olivier closely worked for years at Dailymotion on many different projects. Romain ended up leading the mobile & TV department.

We are true supporters of the net neutrality and Internet privacy. We believe that un-encrypted DNS resolvers operated by ISPs are detrimental to those two principles. Alternative solutions like Google DNS or Cloudflare DNS are great, but we think more actors need to step up and provide alternative services to avoid centralization of powers.

Je préfère utiliser les services d'une société ayant ces principes plutôt que ceux de mon fournisseur d'accès internet ou d'un Google. Notez également la compétence technique des 2 cofondateurs (Netflix et Dailymotion), qui se retrouve également dans la rapidité de NextDNS :

perf

NextDNS est plus rapide que Google sur les 30 derniers jours.

La politique de confidentialité est également directe, concise et très claire :

  • Les données récoltées ne seront jamais vendues ou partagées.
  • Toute donnée ne devant pas être loguée (par choix utilisateur) est immédiatement supprimée.
  • Si l'utilisateur ne demande pas explicitement à ce que ses données soient loguées, rien n'est logué. Si l'utilisateur le demande (pour voir ses logs, comme j'ai pu le faire), il a la main sur ses données et sur la durée de rétention.
  • NextDNS vous protège (il n'expose pas votre adresse IP) lorsqu'il demande des informations à d'autres annuaires DNS.

NextDNS a également été choisi comme partenaire de Firefox afin de chiffrer les requêtes DNS de ses utilisateurs (pour l'instant, le programme est seulement disponible aux États-Unis). C'est un gage de sérieux (le seul autre partenaire est Cloudflare).

NextDNS vs Pi-Hole ?

Si vous souhaitez garder le contrôle et que vous êtes bidouilleur, le Pi-Hole est une excellente solution. Notez qu'il vous faudra quand même faire confiance au serveur DNS appelé par le Pi-Hole (upstream DNS), donc vous devrez toujours faire confiance à quelqu'un. NextDNS est une sorte de "Pi-Hole dans le cloud", cet article détaille les avantages et inconvénients des 2 options.

Si vous souhaitez creuser l'option NextDNS, je vous conseille cet article ainsi que la FAQ de NextDNS. Pour ma part, le choix est vite fait : par sa simplicité d'installation et par le fait qu'il fonctionne en mobilité, NextDNS répond parfaitement à mes besoins. Je peux également facilement l'installer chez des proches qui ne sont pas geeks.

Quelques soient vos préférences, je vous encourage à payer pour de l'information de qualité et à protéger vos proches en leur installant des bloqueurs de traceurs et de publicités sur leurs appareils.