Page perso de Sylvain

Sécuriser son accès Internet avec Cloudflare

Sécuriser l'accès à Internet des équipements connectés à la maison

article écrit le 2 avril 2020, en plein confinement

Mettre en place un "geste barrière" sur la sécurité informatique à la maison

Avec 3 enfants à la maison, cela fait quelques années que je me pose la question du contrôle parental sur l'utilisation des ordinateurs du foyer.

J'avais basé ma stratégie de contrôle et restriction sur ce que propose macOS en standard avec sa solution "Contrôle Parental". Cette solution est très efficace pour limiter l'utilisation dans le temps (nombre d'heures par jour, plages horaires interdites, etc), et limiter également les applications autorisées.

Mais la très grosse limitation de cette solution, c'est le filtrage des sites Internet visités. La solution de macOS n'est vraiment pas efficace (notamment parce qu'une des stratégies proposées consiste à autoriser manuellement chaque site, ce qui est très vite fastidieux voire impossible: PRONOTE ou Minecraft par exemple font appel à des domaines Internet variés qu'il faut valider au fur et à mesure des blocages).

Le 1er avril 2020, la société américaine CloudFlare (dont j'ai eu la chance de visiter les locaux très sympas à SanFrancisco en 2019) a lancé une solution -gratuite et simple-, qui permet de proposer une réelle sécurité dans l'accès Internet depuis la maison.

Elle consiste à modifier le service d'annuaire Internet, qui s'appelle le service DNS. Le service d'annuaire, c'est ce qui "traduit" un nom de site Internet (par exemple "www.google.fr") en une adresse machine (par exemple 216.58.209.227). Par défaut, au domicile, c'est la Box qui rend ce service. Quand vous tapez "www.google.fr" dans votre navigateur, la box va interroger un service interne à votre Fournisseur d'Accès Internet, qui va ensuite diriger la demande vers l'adresse IP de google.

Le service de Cloudflare consiste à remplacer le service d'annuaire DNS de votre fournisseur d'accès Internet par le leur. Autrement dit, plutôt que d'interroger la box et donc votre Fournisseur d'Accès Internet, le navigateur de votre ordinateur ira directement interroger le service d'annuaire de Cloudflare.

L'avantage, c'est que CLoudflare se propose de CENSURER certaines demandes, et de faire comme si le site Internet demandé n'existait pas.

Exemple :

Ce service d'annuaire "censure" donc Internet, en mettant en "liste noire" un certain nombre de sites jugés indésirables. Cloudflare propose ainsi de censurer non seulement les sites "à contenu adulte" mais aussi les sites "à malware". Donc cette solution permet non seulement un contrôle parental, mais également une cyberprotection, en bloquant les tentatives de connexion (volontaires ou involontaires) vers des sites malveillants.

Comment on fait ?

Ca dépend des systèmes d'exploitation. Sur macOS il suffit de changer les paramètres DNS (dans Préférences Système, Réseau, Avancé, DNS, il faut enlever les serveurs DNS qui apparaissent et les remplacer par 1.1.1.3 et 1.0.0.3). La manipulation est également simple sur Windows ou Linux, elle peut être trouvée sur Internet.

Pour tester que votre modification fonctionne bien, c'est très simple, il suffit d'essayer de vous rendre sur un site pour adulte, et vous verrez que le navigateur "bloque". Comme cette manipulation peut se faire pour chaque ordinateur ou tablette (ou smartphone, quand il est connecté en wifi), il est possible de sécuriser certains ordinateurs et pas d'autres.

Il y a par contre un effet de bord chez certains Fournisseurs d'Accès, et notamment Bouygues Telecom qui a particulièrement sécurisé l'accès à l'interface de gestion de la BBOX.

En effet avec les dernières versions de la BBOX, la connexion à la box nécessite de taper "mabbox.bytel.fr" dans son navigateur. Or quand on utilise le service d'annuaire de Cloudflare, Cloudflare ne sait pas "traduire" mabbox.bytel.fr vers la bonne adresse IP de la bbox (en l'espèce, 192.168.1.254).

Pour contourner ce problème, il faut modifier un fichier dans macOS. Ce fichier à modifier c'est le fichier /etc/hosts. Il faut lui ajouter la ligne suivante :

192.168.1.254   mabbox.bytel.fr

Là encore, il existe une manipulation similaire sous windows ou Linux.