Histoire de changer un peu du hardware on va refaire un peu d’infra et de gestion de la vie privée. Tout le monde a déjà l’impression que les appareils nous espionnent ? Ou marre des pubs liées à l’historique navigation de la connexion, voire des choses qui apparaissent et on se demande comment c’est possible ? Entre les Smart TV qui envoient nos habitudes à leur constructeur, les applications qui suivent chaque clic, et certains FAI qui revendent les données, il y a de quoi se sentir observé en permanence.
Heureusement, il existe une solution simple et efficace pour reprendre le contrôle de cet aspect du réseau. J’avais déjà parlé du montage d’un Pi-hole pour bloquer les publicités. Cette fois, je propose de coupler ce dernier à Unbound. Avec ce duo, en plus de bloquer la publicité et on va limiter le traçage. Le tout en gérant nos propres requêtes DNS, sans dépendre d’un fournisseur d’accès ou alternativement Google et Cloudflare.
Pourquoi le DNS est crucial pour la vie privée ?
Le DNS, c’est le “répertoire téléphonique” de l’internet. Chaque fois que l’on tape une adresse web, l’appareil demande à un serveur DNS : “où se trouve ce site ?” Cette requête révèle, les sites et services consultés, les plages horaires des activités en ligne et bien sûr les appareils utilisés. En clair, toutes les habitudes numériques sont visibles par quiconque gère le serveur DNS. Et dans la plupart des cas, le FAI ou des services tiers récoltent et analysent ces données.
Pi-hole : le filtre maison
On a vu que Pi-hole agit comme un videur pour votre réseau. Il peut bloquer beaucoup, publicités web et mobiles, télémétrie/analytics et traqueurs scripts malveillants. Il bloque les domaines de publicités et de traqueurs pour que les requêtes ne parviennent pas aux publicitaires et que leurs contenus soient interceptés avant même qu’ils n’atteignent nos appareils. Installer Pi-hole sur un Raspberry Pi ou dans un conteneur Docker ne prend que quelques minutes et transforme votre réseau en espace privé, sans nécessiter de configuration complexe sur chaque appareil. J’en avais fait la démo.
Unbound : le résolveur 100 % local
Par défaut, Pi-hole agit comme un simple “forwarder” : il demande à un serveur DNS tiers de résoudre les requêtes et envoie dans le mur ce qui n’est pas autorisé. Avec Unbound, l’idée est d’aller plus loin : en devenant son propre serveur DNS récursif. La résolution se fait en direct depuis les serveurs racine et autoritaires, sans Google, Cloudflare ou le FAI en intermédiaire. La confidentialité totale : aucune donnée n’est stockée ni vendue et du coup dans une moindre mesure, on gagne en performances grâce au cache local.
Comme le Pi-hole, unbound s’installe en une commande. Il suffit d’un fichier de configuration à remplir, une propagation sur Pi-hole et le tour est joué.
sudo apt update sudo apt install unbound La suite se passe dans le fichier /etc/unbound/unbound.conf.d/pi-hole.conf avec un contenu minimal :
server:
verbosity: 1
interface: 127.0.0.1
port: 5335
do-ip4: yes
do-udp: yes
do-tcp: yes
access-control: 127.0.0.1
allow root-hints: "/var/lib/unbound/root.hints"
hide-identity: yes
hide-version: yes
harden-glue: yes
harden-dnssec-stripped: yes
use-caps-for-id: yes
edns-buffer-size: 1232
prefetch: yes Le fichier root.hints peut être mis à jour avec :
wget -O /var/lib/unbound/root.hints https://www.internic.net/domain/named.cache sudo systemctl restart unbound sudo systemctl enable unbound
Et voilà ! Pi-hole filtre les requêtes et Unbound les résout en local, rapide et sécurisé.
Au final
Installer Pi-hole + Unbound en local, c’est comme mettre un verrou numérique sur son réseau. On combine protection et données privées, et les publicités indésirables disparaissent avant même d’arriver. C’est simple, efficace et accessible à tous : un Raspberry Pi suffit pour transformer la maison en bastion de la vie privée. A priori, même un Pi Zero W (mon cas) avec un mono coeur et 512 Mo de ram peut tenir une bonne charge.