Contrairement à de nombreux services DNS publics réputés gérés par des sociétés à but lucratif, Quad9 est géré par une entité à but non lucratif. Appelée Global Cyber Alliance, elle est fondée par divers organismes d'application de la loi et de recherche pour aider à réduire la cybercriminalité. Le groupe a lancé Quad9 en partenariat avec IBM et Packet Clearing House (PCH) dans le but de protéger les utilisateurs contre le déluge de domaines malveillants propageant des logiciels malveillants.
- Vous pouvez vous inscrire à Quad9 ici.
Caractéristiques
Quad9 est un service DNS gratuit et récursif qui fonctionne dans le seul but d'empêcher les utilisateurs d'atterrir accidentellement sur des domaines malveillants tels que les domaines de phishing, les domaines de commande et de contrôle C2, les domaines compromis du kit d'exploitation, etc.
Le service exploite les renseignements sur les menaces provenant de plusieurs sources; 12 d'entre eux sont répertoriés sur son site Web, notamment Cisco, F-Secure, Netlab, IBM X-Force, Anti-Phishing Working Group (APWG), etc.
Comme la plupart des services DNS publics, Quad9 utilise le routage du trafic anycast pour envoyer des requêtes de vos ordinateurs à ses serveurs les plus proches. Le service dispose de serveurs dans plus de 145 emplacements dans 88 pays et Quad9 affirme qu'une grande partie de la plate-forme est hébergée sur une infrastructure informatique qui prend en charge un DNS faisant autorité pour environ un cinquième des domaines de premier niveau du monde. Quad9 exploite également les atouts de PCH, y compris les points de présence dans 201 points d'échange Internet dans le monde entier à partir de septembre 2022-2023. Grâce à cela, Quad9 sera très certainement en mesure de fournir une latence plus faible que les serveurs DNS par défaut de vos FAI.
Dans sa FAQ, le service prétend mettre en œuvre des algorithmes de liste blanche pour s'assurer que les domaines légitimes ne sont pas bloqués par accident. Cependant, il n'entre dans aucun détail sur ses méthodes de liste blanche.
Le service prend également en charge les réseaux IPv4 et IPv6. Cependant, contrairement au DNS public de Google et au DNS Cloudflare, Quad9 ne prend pas en charge le mécanisme DNS64 pour traduire les adresses IPv4 pour les réseaux exclusifs IPv6.
Confidentialité et sécurité
En plus de bloquer les domaines malveillants, Quad9 prend également quelques mesures pour protéger la confidentialité de ses utilisateurs.
Selon sa FAQ, il n'enregistre pas l'adresse IP des utilisateurs. Il enregistre cependant les informations de géolocalisation généralisées de l'ordinateur demandeur (ville, état, pays), qu'il utilise dans son analyse des domaines malveillants et les partage également avec ses partenaires de renseignement sur les menaces.
Le service affirme également qu'il ne met pas en corrélation ni ne combine les informations de ses journaux avec votre adresse IP ou toute information personnelle que vous avez fournie à Quad9. Le service s'engage également à ne partager aucune des données enregistrées avec les spécialistes du marketing.
Pour protéger davantage votre confidentialité, Quad9 utilise les protocoles DNS-Over-TLS, DNS-Over-HTTPS et DNSCrypt pour authentifier, crypter et même anonymiser la communication entre votre ordinateur et les résolveurs de Quad9. L'utilisation de ces protocoles garantit qu'aucune partie intermédiaire, telle que votre FAI, ne pourra voir les sites Web auxquels vous accédez.
Quad9 fournit la validation des extensions de sécurité DNS (DNSSEC) sur ses résolveurs pour se protéger contre l'usurpation de domaine et d'autres types d'attaques visant à renvoyer de fausses données. En d'autres termes, Quad9 s'assurera par cryptographie que la réponse qu'il reçoit correspond à la réponse prévue de l'opérateur de domaine pour les domaines qui implémentent DNSSEC.
Utilisation et performances
Le service tire son nom de l'adresse IP de son résolveur DNS; 9.9.9.9. Le service fonctionne comme n'importe quel autre serveur DNS public, sauf qu'il ne résoudra pas les sites Web marqués comme malveillants.
L'adresse IP principale de Quad9 est 9.9.9.9, qui comprend la liste de blocage, la validation DNSSEC et d'autres fonctionnalités de sécurité. Le service fournit également un service DNS non sécurisé que vous pouvez utiliser pour déterminer s'il existe des faux positifs dans le flux de menaces Quad9 ou des erreurs DNSSEC avec un domaine spécifique. Le service non garanti est disponible au 9.9.9.10.
Comme toujours, il est préférable de modifier le serveur DNS de votre routeur et de vos terminaux pour vous assurer qu'ils continuent à utiliser le serveur DNS de votre choix, même lorsqu'ils sont connectés à des réseaux non approuvés, comme dans une bibliothèque ou un café.
Les utilisateurs d'Android peuvent utiliser l'application Quad9 Connect pour basculer vers le service en un seul clic. Lorsqu'elle est activée, l'application achemine toutes les requêtes DNS de toutes les applications de votre appareil vers les serveurs anycast Quad9 via une connexion cryptée DNS-Over-TLS.
Vous pouvez utiliser l'application pour afficher des statistiques sur les requêtes DNS qui ont été acheminées via l'application, y compris le nombre de requêtes bloquées. Il vous montrera également des détails sur les requêtes DNS individuelles et vous donnera la possibilité de signaler les domaines malveillants.
En termes de performances, Quad9 est en retard sur la plupart des autres services DNS publics populaires. Selon DNSperf.com, au mois d'août 2022-2023, Quad9 avait une vitesse de requête moyenne de 30,25 ms en Europe, ce qui n'était suffisant que pour la 8e place. Il a légèrement mieux performé en Amérique du Nord où il est arrivé 7e avec un temps moyen de 20,38 ms.
Les performances de Quad9 se sont détériorées en Asie avec un temps de requête moyen misérable de 74,12 ms. Grâce aux fluctuations sauvages, DNSperf.com a fixé la vitesse moyenne de Quad9 dans le monde à 43,12 ms, le plaçant à la 8e place, bien derrière de nombreux concurrents comme Google Public DNS et Cloudflare DNS.
Pour des résultats plus précis, vous devez cependant utiliser le script de test de performance DNS, qui interroge de nombreux services DNS publics populaires à partir de votre emplacement. Vous pouvez utiliser le script bash à partir de Windows à l'aide de la couche de compatibilité WSL. Les résultats de ce script refléteront les performances réelles du service puisqu'ils sont exécutés à partir de votre ordinateur via votre connexion Internet.
Verdict final
L'attraction principale de Quad9 est sa liste de blocage organisée qui vous empêchera de visiter des domaines hébergeant du contenu malveillant. À cet égard, le service surpasse la concurrence dans divers tests tiers.
En revanche, les performances de la protection supplémentaire sont assez sévères. Quad9 est largement surpassé par de nombreux services DNS publics, y compris notre DNS préféré actuel, Cloudflare. En outre, vous pouvez utiliser les serveurs DNS alternatifs de Cloudflare pour bloquer les logiciels malveillants, même s'ils ne fonctionnent pas aussi bien que Quad9 dans des tests indépendants. De plus, alors que Quad9 propose une application Android, beaucoup de ses pairs le font également.
Tout bien considéré, il existe deux types d’utilisateurs qui souhaitent utiliser Quad9. Le service sera principalement utilisé par les utilisateurs pour qui il est important de bloquer les logiciels malveillants au niveau DNS, même si cela entraîne une pénalité de performances. Deuxièmement, Quad9 trouvera un écho auprès des utilisateurs qui préfèrent confier leurs requêtes DNS à une entité à but non lucratif plutôt qu’à une société à but lucratif. Si vous appartenez à l'un ou l'autre des camps, vous serez très satisfait de Quad9. Cependant, si la performance est primordiale, cherchez ailleurs.
- Vous pouvez vous inscrire à Quad9 ici.
- Nous avons présenté les meilleures distributions Linux pour la confidentialité et la sécurité.
