Tarte à la framboise #1 - Pâte brisée maison avec Pi-Hole et Unbound

09 Sep 2020

J'ai profité du confinement pour m'acheter deux Raspberry Pi et tester un peu leurs possibilités en terme de rempart contre les pubs, de protection de ses données, et d'auto-hébergement.

Raspberry Pi ? Framboise Pi ?

Un Raspberry Pi est un mini-ordinateur de la taille d'une carte de crédit qui ne coûte pas grand-chose (~30€), avec néanmoins des performances similaire à un PC Portable entrée de gamme. Son gros avantage, en plus de sa taille minuscule et de son petit prix, est le fait qu'il ne consomme quasiment rien et peut donc rester allumé tout le temps sans que l'on ait l'impression de détruire la planète.

Pré-requis

Si jamais vous voulez en acheter un, ne pas oublier qu'il faut aussi acheter une alimentation (~15€), une carte micro-SD pour stocker les données (entre 15€ et X€ en fonction de la capacité et de la vitesse) et un boitier de protection (~20€). Grosse maille, comptez un peu moins de 100€ au total. Sans oublier que pour le configurer il faut brancher dessus un clavier, une souris et un écran.
A noter que ça demande quand même un minimum de connaissances en informatique, notamment en shell linux, car s'il y a le moindre élément qui diffère des tutos que vous suivez, faut être capable de se débrouiller. Et ça demande aussi du temps, moins vous êtes calé en informatique plus ce sera long et compliqué, mais ça en vaut la peine !

Chantier #1 : Pi-hole + DNS

Sur un Raspberry 3B+ récupéré d'occaz, j'ai installé un Pi-Hole pour bloquer les publicités et UnboundDNS pour utiliser le RaspberryPi comme résolveur DNS, à l'échelle de tout mon réseau local (tout ce qui est connecté à ma box internet : smartphone, PC, TV...).

Pi-Hole

autre article. Ce logiciel va intercepter tout ce qui transite sur votre connexion internet entre chez vous et l'extérieur, et bloquer les publicités (au niveau des domaines DNS). Il est bien sûr possible de paramétrer les listes de domaines à bloquer ou d'en utiliser des pré-existantes.
L'intérêt principal c'est de forcer tout votre réseau local à passer par le Pi-Hole, du coup ça bloque les publicités partout.
L'interface du Pi-Hole est assez stylée et permet de suivre beaucoup de choses sur ce qui se passe sur votre réseau : quels sont les appareils connectés, quand est-ce qu'ils font des requêtes sur internet, quels sont les domaines visités, quels sont les domaines bloqués...

Tutoriels qui m'ont servi pour l'installation :

• https://pimylifeup.com/raspberry-pi-pi-hole/
• https://www.wareziens.net/forum/viewtopic.php?id=41641

Unbound DNS intégré au Pi-Hole

Unbound est un résolveur DNS local.
Grossièrement un résolveur DNS c'est une sorte d'annuaire comme les pages jaunes. Sur les pages jaunes vous demandez : "quel est le numéro de téléphone de l'entreprise bidule ?" et l'annuaire renvoie le numéro de téléphone, et quand vous naviguez sur internet votre navigateur demande au résolveur DNS : "quelle est l'adresse IP du site googlesaitouesttamere.com ?" et ce dernier répond c'est l'adresse IP 111.111.111.111.
Sur internet tout est identifié avec une adresse IP, les noms c'est juste pour que ce soit plus pratique pour les humains, cette étape de traduction du nom vers une adresse IP est donc un passage obligé.

Normalement c'est votre FAI (ou Fournisseur d'Accès à Internet), tel que Free, SFR, Bouygues, Orange... qui tient le rôle de résolveur DNS.
A priori c'est plutôt cool car ça vous évite de devoir vous en occuper, sauf que ça permet à votre FAI d'avoir connaissance de tout ce qui passe par internet chez vous : que sur tel ordinateur à telle heure vous êtes allés voir le site googlesaitouesttamere.com, que votre TV connectée était allumée de telle à telle heure, que le smartphone S1 était connecté de telle heure à telle heure (donc les allées et venues de son possesseur), le nombre d'appareils qui se connectent...

L'intérêt d'Unbound est d'avoir directement chez soi son propre résolveur DNS et ne plus utiliser celui de son FAI, qui ne saura alors plus (trop) ce qui se passe chez vous (on verra dans un second article comment améliorer ça avec un VPN).

Tutoriel qui m'a servi pour l'installation :
https://docs.pi-hole.net/guides/unbound/

Pour plus de détail sur le mécanisme technique, les atteintes potentielles à la vie privée et les possibilités offertes par le Pi-Hole+Unbound, cet article est très bien écrit (et en français) : https://open-freax.fr/pistage-episode-2/

Quelques éléments qui peuvent éventuellement vous aider dans l'installation du Pi-Hole :

• Si jamais vous désinstallez le Pi-Hole puis le réinstallez, penser à faire un : groupdel pihole pour supprimer le groupe, sinon lors de l'installation suivante ça plante car il n'est alors pas possible de créer le user pihole (il existe déjà)
• Commande pour changer le mot de passe du Pi-Hole : pihole -a -p
• Pour ajouter une liste à bloquer, par exemple celle de SebSauvage, il faut aller sur l'interface web dans Group Management > Adlist, ajouter https://sebsauvage.net/hosts/raw et valider en faisant un pihole -g
• Si vous obtenez un message d'erreur DNS sur le Pi-Hole, tentez un pihole restartdns, ça a fonctionné dans mon cas
• Le fichier de configuration principal du Pi-Hole est le suivant : /etc/pihole/setupVars.conf

Toutes les listes de blocage de publicités et trackers que j'ai ajoutées (dans Group Management > Adlists) :

• https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
• https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
• https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
• https://sebsauvage.net/hosts/raw
• https://raw.githubusercontent.com/PolishFiltersTeam/KADhosts/master/KADhosts.txt
• https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.Spam/hosts
• https://v.firebog.net/hosts/static/w3kbl.txt
• https://raw.githubusercontent.com/matomo-org/referrer-spam-blacklist/master/spammers.txt
• https://someonewhocares.org/hosts/zero/hosts
• https://raw.githubusercontent.com/VeleSila/yhosts/master/hosts
• https://winhelp2002.mvps.org/hosts.txt
• https://v.firebog.net/hosts/neohostsbasic.txt
• https://raw.githubusercontent.com/RooneyMcNibNug/pihole-stuff/master/SNAFU.txt
• https://paulgb.github.io/BarbBlock/blacklists/hosts-file.txt
• https://adaway.org/hosts.txt
• https://v.firebog.net/hosts/AdguardDNS.txt
• https://v.firebog.net/hosts/Admiral.txt
• https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt
• https://v.firebog.net/hosts/Easylist.txt
• https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=0&mimetype=plaintext
• https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts
• https://raw.githubusercontent.com/bigdargon/hostsVN/master/hosts
• https://raw.githubusercontent.com/jdlingyu/ad-wars/master/hosts
• https://v.firebog.net/hosts/Easyprivacy.txt
• https://v.firebog.net/hosts/Prigent-Ads.txt
• https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.2o7Net/hosts
• https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt
• https://hostfiles.frogeye.fr/firstparty-trackers-hosts.txt
• https://hostfiles.frogeye.fr/multiparty-trackers-hosts.txt
• https://www.github.developerdan.com/hosts/lists/ads-and-tracking-extended.txt
• https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/android-tracking.txt
• https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/SmartTV.txt
• https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/AmazonFireTV.txt
• https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
• https://raw.githubusercontent.com/DandelionSprout/adfilt/master/Alternate%20versions%20Anti-Malware%20List/AntiMalwareHosts.txt
• https://osint.digitalside.it/Threat-Intel/lists/latestdomains.txt
• https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt
• https://v.firebog.net/hosts/Prigent-Crypto.txt
• https://bitbucket.org/ethanr/dns-blacklists/raw/8575c9f96e5b4a1308f2f12394abd86d0927a4a0/bad_lists/Mandiant_APT1_Report_Appendix_D.txt
• https://phishing.army/download/phishing_army_blocklist_extended.txt
• https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
• https://v.firebog.net/hosts/Shalla-mal.txt
• https://raw.githubusercontent.com/Spam404/lists/master/main-blacklist.txt
• https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.Risk/hosts
• https://urlhaus.abuse.ch/downloads/hostfile/
• https://v.firebog.net/hosts/Prigent-Malware.txt
• https://raw.githubusercontent.com/HorusTeknoloji/TR-PhishingList/master/url-lists.txt
• https://zerodot1.gitlab.io/CoinBlockerLists/hosts_browser
• https://raw.githubusercontent.com/chadmayfield/my-pihole-blocklists/master/lists/pi_blocklist_porn_all.list
• https://raw.githubusercontent.com/chadmayfield/my-pihole-blocklists/master/lists/pi_blocklist_porn_top1m.list
• https://raw.githubusercontent.com/anudeepND/blacklist/master/facebook.txt