Table des matières

Listes de blocage DNS
- Liste
  - Que bloque cette liste ?
  - Sources
- Installation
- Mise à jour
- Sécurité
- FAQ

( 🇬🇧 This page is available in English: DNS Block List )

Listes de blocage DNS

Le filtrage DNS est un moyen simple pour bloquer une majorité de publicités, traqueurs et sites malveillants avec un minimum d'efforts. La mise en place est rapide et facilement réversible.

Pour être franc, c'est le genre de chose que j'installerais d'office chez tous les amis et la famille, que ce soit sur ordinateur ou smartphone. Cela réduit notablement le pourrissement des machines (publicité, spyware, malware, tracking…).

Avantages du filtrage DNS:

Filtre une très grande quantité de publicités/tracking/malware sans logiciel à ajouter (Exception: Sous Android il faut ajouter un logiciel).
Fonctionne sous tous les OS (Windows, Linux, MacOSX…)
Fonctionne dans toutes les applications (et pas que dans le navigateur).
Sous Android, permet d'éliminer d'un coup la quasi-totalité des publicités et traqueurs, y compris dans les applications.
Applicable poste par poste, ou sur un réseau complet si vous le configurez dans votre routeur (pi-Hole, pfSense, etc.)
Très facile à mettre en place.
Rapide.

Inconvénients:

Ne filtre pas tout.
Il n'est pas impossible que certaines applications se chargent de faire elles-mêmes la résolution DNS, contournant ainsi votre blocage DNS.

Pas d'inquiétude à avoir, la mise en place est facilement réversible.

À titre d'exemple, une page de Clubic qui fait 2 Mo se réduit à 594 ko en activant juste cette liste. Cela permet donc un chargement plus rapide des pages et une réduction de la consommation de votre forfait, même si vous utilisez un navigateur qui n'est pas capable de filtrer.

Liste

URL à utiliser: https://sebsauvage.net/hosts/hosts

Cette liste est disponible dans 3 formats différents (fichier hosts, filtre AdGuard/uBlockOrigin, ou liste brute). Voir ci-dessous.

Que bloque cette liste ?

Publicités web (smartadserver.com, doubleclick.net, googleadservices.com, googlesyndication.com, tradedoubler.com, adbrite.com, yimg.com(YahooAds)…), y compris les domaines spécifiques à certains sites (ad.paypal.com, ad.foxnetworks.com, ads.sun.com…), ainsi que la publicité et trackers first-party.
Malvertising (réseaux publicitaires connus pour distribuer des vers, chevaux de Troie…) (adshufffle.com, conduit.com…)
Publicité dans les applications mobiles (admob.com, inmobi.com, mopub.com, adinfuse.com…)
Analytics/statistiques/marketting/tendances web (google-analytics.com, scorecardresearch.com, quantserve.com…)
Analytics/statistiques d'applications mobiles (suivi des applications, statistiques utilisateur, rapports de plantage…) (crashlytics.com, applovin.com, flurry.com…)
Analytics/tracking des fabricants de téléphone (nmetrics.samsung.com, sdkconfig.ad.xiaomi.com, tracking.intl.miui.com…)
Services de tracking (canvas fingerprinting, evercookies…).
Trackers first-party.
Badges et boutons sociaux (addthis.com, badges.instagram.com, badge.stumbleupon.com…)
Compteurs de sites web (sitemeter.com, free-counter.co.uk, webcounter.com, statcounter.com…)
Sites frauduleux ou distribuant des malwares (goggle.com, googfle.com, antivirus-scanner.com, adblock.fr, audacity.fr, myfuncards.com…)
Sites liés aux campagnes de phishing (amazon-assistance.fr, ameli-assurances-vitale.fr, ame1ie.fr, amendes-gouvfr.fr, espace-impots-gov.fr…)
Sites qui vous enferment dans une boucle de popups.
Sites de téléchargement non fiables (softonic.com…)
Sites liés à des campagnes de spam (buy-viagra.go.to, cheap-valium.polybuild.ru, forex-market.hut1.ru, norton-antivirus-trial.searchservice.info…)
Sites conçus pour choquer (goatse, 2girls1cup…)
Domaines liés au reporting/tracking Windows 10 (reports.wes.df.telemetry.microsoft.com, feedback.microsoft-hohm.com, telemetry.appex.bing.net, statsfe2.ws.microsoft.com…)

Sources

Cette liste de blocage est une agrégation des listes suivantes:

La liste de blocage est disponible dans plusieurs formats:

URL	Notes
https://sebsauvage.net/hosts/hosts [RECOMMANDÉ]	Format hosts (`0.0.0.0 hostname`) Adapté à Android et aux ordinateurs Ce fichier hosts fonctionne tel quel sous Windows, Linux et dans personalDNSFilter/DNSNet sous Android. Utilisable également avec Pi-Hole.
https://sebsauvage.net/hosts/hosts-adguard	Format AdGuard/uBlock-Origin (`\|\|hostname^`) Adapté à Android et aux ordinateurs Cette liste peut être utilisée dans AdGuard (sur Android) ou uBlock-Origin (utiliser "Importer" dans l'onglet "Liste de filtres")
https://sebsauvage.net/hosts/raw	Format brut (`hostname`) (juste la lise des domaines, sans entête) Peut également être utilisé tel quel dans personalDNSFilter sur Android, ou encore dans Pi-Hole.

Certaines personnes font tourner personalDNSFilter sur de très vieux smartphones dont le magasin de certificats ne permet plus de contacter mon site en https. En conséquence j'ai désactivé la redirection forcée http➡️https sur les listes de blocage afin que ces vieux smartphone puissent continuer à profiter de cette liste (utilisez alors http au lieu de https)

Liste blanche

Ces listes de blocage faisant occasionnellement des erreurs, certains domaines ont été mis en liste blanche afin qu'ils ne soient jamais bloqués même si présents dans une des listes constitutives. Ces domaines ne seront donc jamais bloqués par ma liste.

Cliquez pour afficher la liste

Domaine	Raison
sebsauvage.net	Mon domaine afin que la mise à jour de la liste elle-même ne soit pas bloquée
proxad.net	Hébergeur professionnel de sites web (Branche de Free.fr)
commentcamarche.net	Site de tutoriels et entraide informatique
www.commentcamarche.net	Site de tutoriels et entraide informatique
mail.gandi.net	Serveur de mail d'un des plus importants hébergeurs français
c.orange.fr	Domaine lié au webmail d'Orange
iapref.orange.fr	Domaine lié au webmail d'Orange
iapref.wanadoo.fr	Domaine lié au webmail d'Orange
metric.gstatic.com	Des sous-domaines sont utilisés pour DoT (DNS-over-TLS)
ssl0.ovh.net	Serveurs de mail hébergés chez OVH
60gp.ovh.net	Serveurs de mail hébergés chez OVH
vboxsvr.ovh.net	Serveurs mutualisés OVH
cdn.tagcommander.com	Nécessaire pour le site LaPoste
ae01.alicdn.com	Nécessaire pour l'affichage des images dans AliExpress
www.sugarsync.com	Nécessaire pour la synchronisation avec le Cloud SugarSync
lilo.org	Moteur de recherche
www.ismonaco.org	Université
cpc.cx	Raccourcisseur d'URL du site CanardPC.
simplelogin.fr, simplelogin.io	Système de mails antispam
go.icann.org	Autorité de régulation
idp.impots.gouv.fr	Impôts gouvernement français
ipfs.scalaproject.io	Gateway IPFS
app.simplelogin.io	Email antispam
t.co	Raccourcisseur d'URL de Twitter
transfer.sh	Plateforme de transfer de fichiers
woopic.com	CDN utilisé par le FAI Sosh
pushbullet.com	API d'automatisation
l.bfmtv.com	URLs courtes de BFMTV
t.notif-colissimo-laposte.info	Utilisé pour le suivi de coli La Poste
tr.informations.harmonie-mutuelle.fr	Ouverture des liens mutuelle

PS: Si vous trouvez un domaine bloqué par erreur, merci de me le signaler (voir comment me contacter).

Installation

Linux / MacOSX

Vous pouvez coller le contenu de la liste à la fin de votre fichier hosts qui est situé là : /etc/hosts

Note: Certaines distributions exigent d'avoir en début de fichier hosts 127.0.0.1 nomDeLaMachine. Vous pouvez coller la liste de blocage à la suite de ces lignes.

Si vous voulez que la mise à jour soit automatique, vous pouvez utiliser le script suivant. Il vous suffit de le placer par exemple dans /etc/cron.weekly/ pour qu'il soit exécuté toutes les semaines et de le rendre exécutable (sudo chmod +x hosts-update):

hosts-update

#!/bin/bash
# Met à jour la liste de blockage du fichier hosts.
logger "hosts-update: Mise à jour du fichier hosts."
tempname=`mktemp`
echo "127.0.0.1 `hostname`" > $tempname
echo "127.0.1.1 `hostname`" >> $tempname
printf "\n\n" >> $tempname
curl --fail https://sebsauvage.net/hosts/hosts >> $tempname
res=$?
if test "$res" != "0"; then
   logger "hosts-update: Impossible de récupérer la mise à jour de la liste de filtrage DNS (hosts) : $res"
   rm $tempname
   exit 1
fi
mv /etc/hosts /etc/hosts.old
mv $tempname /etc/hosts
chmod 0644 /etc/hosts
logger "hosts-update: Mise à jour du fichier hosts terminée."

Pour installer, il vous suffit de taper ces 2 commandes:

sudo curl "https://sebsauvage.net/wiki/doku.php?do=export_code&id=dns-blocklist&codeblock=0" -o /etc/cron.weekly/hosts-update
sudo chmod +x /etc/cron.weekly/hosts-update

Et vous pouvez lancer immédiatement la mise à jour:

sudo /etc/cron.weekly/hosts-update

Windows

Le fichier hosts de Windows est C:\Windows\System32\drivers\etc\hosts

ATTENTION : Windows étant un système d'exploitation en carton, le fait de mettre beaucoup de lignes dans votre fichier hosts va probablement le faire partir en vrille.

Tous les systèmes d'exploitation savent gérer un fichier hosts conséquent sans problème. Windows non. Il semblerait que même Windows 11 ne soit pas foutu de faire les choses bien.

Donc la modification du fichier hosts risque de ne pas marcher du tout.

Dans ce cas, il vaut mieux passer par une machine externe genre Pi-Hole. Ou utiliser un vrai système d'exploitation.

Pour automatiser la mise à jour de cette liste, vous pouvez essayer ces instructions mais il ne faut pas rêver.

Android

Il existe plusieurs applications capables de d'aller chercher une liste de filtrage et l'appliquer. Notez que ces applications utilisent la fonctionnalité VPN d'Android, car c'est le seul moyen pour une application de recevoir tout le trafic réseau des autres applications. Vous pouvez utiliser:

personalDNSFilter (sur F-Droid) [RECOMMANDÉ]
~~DNS66~~ (sur F-Droid)
DNSNet (sur F-Droid)

Ces applications de blocage utilisant la fonction de VPN d'Android, vous ne pouvez donc pas avoir à la fois votre VPN activé et une de ces trois applications. Vous devez choisir entre VPN et filtrage.
(Si vous savez comment bloquer une liste de hosts dans la configuration du client OpenVPN, je suis intéressé.)

Dans chacune de ces applications, désactivez les différentes sources et ajoutez https://sebsauvage.net/hosts/hosts

Si vous le souhaitez, voici les instructions pas à pas pour installer DNSFilter sur votre téléphone.

En complément, vous pouvez configurer ces logiciels pour utiliser les résolveurs DNS alternatifs de votre choix (par exemple Quad9 qui bloque en temps réel les botnets, ce qui ajoute une sécurité).

Mise à jour

Je conseille de mettre à jour toutes les semaines.
Sous Android, personalDNSFilter et DNSNet ont une option pour mettre à jour automatiquement.

Sécurité

Que cela soit clair : L'utilisation d'une liste de blocage DNS ne suffit pas pour vous protéger. Vous devez:

Continuer à mettre à jour votre système d'exploitation et les applications.
Continuer à utiliser des extensions de filtrage dans les navigateurs (uBlock-Origin ou équivalent)
Sous Windows, continuer à utiliser un anti-malware (celui fourni avec Windows fera l'affaire. Passez un coup de MalwareBytes (versoin gratuite) de temps en temps).
Veiller à ne pas télécharger n'importe quoi.
Faire des backups !

FAQ

Quelle application Android recommandes-tu ?
- personalDNSFilter est très léger et fait un excellent boulot.
Pourquoi ton fichier hosts est en 0.0.0.0 au lieu de 127.0.0.1 ?
- 0.0.0.0 est une adresse valide, mais non routable. Tenter de la joindre échouera immédiatement. Ce qui n'est pas le cas de 127.0.0.1 qui ajoute un peu de latence.
Pourquoi pas ajouter la liste X ?
- Energized ?
  - Elle est abusive (elle bloque www.commentcamarche.net, un site d'informatique)
- Malwares de chez hosts-file.net ?
  - Elle est abusive (elle bloque mail.gandi.net, le serveur de mail de l'hébergeur Gandi)
Il se passe quoi quand un site est bloqué ?
- Votre navigateur va juste afficher "site introuvable" comme si le site n'existait pas.
À quelle fréquence la liste de blocage est mise à jour sur ton site ?
- Tous les jours, à 16h30 (heure de Paris).
Oui mais si ton site disparaît ?
- Mon site est en ligne depuis plus longtemps que Facebook et Twitter. Ça vous va ?