IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla
à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS

Le , par Christian Olivier

2KPARTAGES

16  0 
L’association professionnelle des fournisseurs de services Internet (abrégé ISPA - Internet Services Providers’ Association) du Royaume-Uni a récemment désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Donald Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « ;les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ;».

L’ISPA a retenu la fondation Mozilla à cause de son initiative DNS-over-HTTPS (DoH) visant à mettre en place sur son navigateur une spécification pour la résolution à distance du Domain Name System (DNS) via le protocole HTTPS. D’après la Fondation, la mise en œuvre du DoH devrait améliorer la confidentialité et la sécurité des internautes tout en empêchant l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.


Le protocole DoH fonctionne en prenant un nom de domaine qu'un utilisateur a tapé dans son navigateur puis en envoyant une requête à un serveur DNS pour connaître l'adresse IP numérique du serveur web qui héberge ce site spécifique. Mais il prend la requête DNS et l'envoie à un serveur DNS compatible DoH (résolveur) via une connexion HTTPS chiffrée sur le port 443, plutôt qu'en texte clair sur le port 53. De cette façon, il masque les requêtes DNS dans le trafic HTTPS régulier et augmente le niveau de sécurité / confidentialité des séances de navigation. Par ailleurs, chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des résolveurs par défaut du système d’exploitation (probablement DoH-non-compatible).

Le problème du point de vue de l’ISPA

En théorie, ce système compromet sérieusement la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour isoler les « ;sites malveillants ;» désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau. L’ISPA déplore le fait que cette initiative permettra aux internautes de contourner les obligations de filtrage, les contrôles parentaux et, plus largement, les normes de sécurité Internet en vigueur au Royaume-Uni. L’organisation estime que le DoH va nuire à l’obligation de filtrage et de régulation du contenu accessible en ligne instituée dans le pays et qui a été renforcée depuis l’adoption de la « ;Digital Economy Act 2017 ;».

La réponse de Mozilla

« ;Nous sommes surpris et déçus qu’une association regroupant des FAI ait décidé de dénaturer une amélioration de l’infrastructure Internet vieille de plusieurs décennies ;», a déclaré un porte-parole de Mozilla en guise de réponse aux allégations de l’ISPA. Il assure en outre : « ;un DNS plus privé ne pourrait pas empêcher l’utilisation du filtrage de contenu ou des contrôles parentaux au Royaume-Uni. DNS-over-HTTPS offrirait de réels avantages en matière de sécurité aux citoyens britanniques ;».

Mozilla insiste sur le fait que son objectif est de construire un Internet plus sûr et qu’elle milite pour une approche constructive sur les questions en rapport avec la sécurité lors des discussions avec les différentes « ;parties prenantes crédibles au Royaume-Uni ;», sans toutefois préciser si elle considérait l’ISPA comme tel.

L’éditeur de Firefox ne prévoit pas d’activer le DoH par défaut au Royaume-Uni. Cependant, son porte-parole a confié : « ;nous explorons actuellement des partenaires potentiels du DoH en Europe afin d’apporter cette importante fonctionnalité de sécurité à d’autres Européens de manière plus générale ;».

Comment activer le DoH

Le guide ci-dessous montre aux utilisateurs de Firefox comment activer cette fonctionnalité. Les paramètres devraient s'appliquer immédiatement. Dans le cas contraire, redémarrer Firefox après la configuration.

Étape 1 : tapez about:config dans la barre d’adresse et appuyez sur Entrée pour accéder au panneau de configuration de Firefox. Ici, les utilisateurs devront activer et modifier trois paramètres.

Étape 2 : le premier réglage concerne le mode « network.trr.mode » qui active le support du DoH. Ce réglage prend en charge quatre valeurs :

  • 0 - Valeur par défaut dans les installations Firefox standard
  • 1 - DoH est activé, mais Firefox choisit s'il utilise DoH ou un DNS régulier basé sur lequel renvoie des réponses de requête plus rapides
  • 2 - DoH est activé, et le DNS régulier fonctionne comme une sauvegarde
  • 3 - DoH est activé, et le DNS régulier est désactivé
  • 5 - Le DoH est désactivé


Étape 3 (facultative) : le deuxième paramètre qui doit être modifié est « network.trr.uri ». Il s'agit de l'adresse du serveur DNS DoH compatible où Firefox enverra des requêtes DNS DoH. Par défaut, Firefox utilise le service DoH de Cloudflare. Toutefois, les utilisateurs peuvent utiliser leur propre URL de serveur DoH.


Source : Forbes, Wiki Mozilla

Et vous ?

Que pensez-vous de la réponse de Mozilla ?
Quel serait votre classement du « top 3 des meilleurs vilains d’Internet » pour 2019 ?

Voir aussi

DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
Parlement UK : EA préfère le terme "mécanique de surprise" à "loot box", assurant qu'il ne s'agit pas d'un jeu de hasard mais d'un système éthique
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Jiji66
Membre éprouvé https://www.developpez.com
Le 08/07/2019 à 9:06
Louable fonctionnalité qui a effectivement plusieurs avantages du point de vue de l'utilisateur final :
1-) Contourner la censure sur les requêtes DNS,
2-) Rendre beaucoup plus difficile pour le FAI de maintenir un historique de navigation,
3-) Grandement compliquer les attaques du type "homme du milieu".

Merci Mozilla
13  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 08/07/2019 à 13:52
Citation Envoyé par viper1094 Voir le message
J'ai pas trop compris ce qu'était doh, mais j'ai compris que ça rend https plus sécurisé et que ça permet des contournements de restrictions. Bon... Je crois que je suis pour.
Tu n'as pas bien saisi le contexte. Je vais tenter de l'expliquer.

D'un coté tu as internet, dont le premier maillon est obligatoirement l’infrastructure de ton FAI (ou de celui qui le loue à ton FAI), et de l'autre tu as ton réseau local (ton PC), et ta box internet a un pied dans chaque coté en faisant office de routeur.
Quand tu tapes une adresse web qui n'est pas sous la forme d'une IP, cela déclenche une requête DNS pour en trouver l'équivalent en IP.
Ton PC envoie la requête à ta box, qui est relayé à l'infrastructure connecté physiquement à ta box, puis est relayé à ton FAI (afin qu'il applique à ton trafic tout ce en quoi il est obligé ...ou a envie), puis transite dans l'internet jusqu'a atterrir sur le résolveur DNS qui te renvoies alors l'IP à travers le chemin inverse.
Jusque là, à travers le port 43 (non chiffré), c'est comme une jolie carte postale (pas une lettre sous enveloppe opaque) que tout les intermédiaires lisent avec une grande curiosité ! x)
La différence avec le DoH (ou mieux : DoT --> TLS), c'est que ce qui était fait auparavant avec ton IP, la requête, l'identifiant du navigateur web... est effectué uniquement pour échanger les clé publique et privé, la connexion sécurisé étant établie, la requête est envoyée.

J'espère que tu as saisies la différence plutôt conséquente.

Avant, pour sécuriser les échanges DNS, on était plutôt sur ce type de raisonnement :
l'envoi de la requête entre la source et le DNS s'effectue sans aucune authentification, n'importe quel tiers peu scrupuleux peu en tirer partie.
De nombreux détournements sont possibles, en particulier : par attaque sur le système de routage (opéré par un intermédiaire, ou bien par un FAI malhonnête)
NB : un FAI concurrent utilise l'infrastructure (mutualisé) de son concurrent ...il y a donc déjà un intermédiaire dans ce cas là.
Il n'y a donc aucunes garanties qu'on parle bien aux DNS resolvers. Pour s'en protéger, il existe plusieurs solutions techniques mais aucune ne semble réaliste.
Les seules solutions DNS (j'exclus IPsec et compagnie) possibles sont TSIG (RFC 2845), et SIG(0) (RFC 2931) (que personne n'a jamais déployé). TSIG repose sur un secret partagé, et est donc inutilisable pour un service public comme Google DNS
NB: Pour un minimum de sécurité DNS over HTTPS et DNS over TLS sont apparu.
NB: faire appel a un service non-Google, un tiers qui ne gèrent qu'un unique service limite les corrélations qu'ils peuvent établir et donc le mal qu'ils peuvent faire. Au contraire, Google, ayant une offre complète, peut établir des relations, mettre en connexion des données, et représente donc un danger potentiel plus important.
Externaliser son courrier à Gmail (ou son DNS à Google DNS), est une chose. Externaliser tous ses services en est une autre. Cela revient à avoir la même entreprise qui serait à la fois votre banque, votre médecin, votre épicier et votre garagiste...
Google peut gagner de l'argent (spéculation) :
en exploitant l'information recueillie pour améliorer le moteur de recherche,
en vendant cette information (les noms les plus populaires, par exemple, une information qui intéressera les domainers, surtout si la réponse est NXDOMAIN, indiquant que le domaine est libre),
en hébergeant, dans le futur (ce service n'existe pas aujourd'hui), moyennant finances, des serveurs faisant autorité, qui profiteront de la proximité du résolveur pour de meilleures performances. Google, futur hébergeur de TLD ?
Reconstituer la totalité d'un TLD, même lorsque celui-ci ne publie pas cette information, en comptant les noms dans les requêtes et les réponses obtenues.
Ou, tout simplement, s'assurer que l'Internet fonctionne bien, pour que les clients puissent aller voir les autres services de Google (chez certains FAI, les résolveurs DNS marchent mal, ce qui gêne sans doute Google dans son cœur de métier).
7  0 
Avatar de emilie77
Membre éprouvé https://www.developpez.com
Le 08/07/2019 à 10:18
Merci Mozilla et a vous pour cet article
6  0 
Avatar de Bardotj
Membre habitué https://www.developpez.com
Le 08/07/2019 à 16:07
et dans l’exemple tout passe encore par cloudflare …

Pour ceux que cela interesse https://www.bortzmeyer.org/ regorge de détails rfc
3  0 
Avatar de pcdwarf
Membre éprouvé https://www.developpez.com
Le 14/11/2019 à 10:54
Tout ce qui a été dit en faveur de DoH me semble légitime et tout a fait bien.
Cependant je trouve cette solution insatisfaisante car

1) Une connexion TLS, c'est beaucoup de paquets, donc ça sera moins performant que le DNS qui n'en emploie qu'un seul. (certes en contrepartie, les requêtes multiples devraient aller plus vite, donc admettons.)
2) ca casse la mécanique du resolveur local (décentralisé) en appelant par défaut un résolveur central chez un des grand fournisseurs "cloud"
3) ça ne résout pas du tout le problème du filtrage et de la censure car ces grand fournisseurs peuvent eux aussi filtrer ce qu'il veulent (et c'est centralisé, donc facile) Le fait que ces grands fournisseurs soient américains ne les rends pas tellement plus digne de confiance sur ce point.
4) ces grands fournisseurs ne fournissent pas ce "service" par philantropie. Leur intéret est l'analyse statistique des requêtes (comme fait déjà le fameux 8.8.8.8 de google)

Donc, de mon point de vue, DoH c'est un nouveau truc sympa, mais la façon dont ça risque de se déployer craint fortement.

Je trouve déplorable que le débat se résume aux "bons" contre les "méchants".
ça n'est jamais aussi simple que ça.
3  0 
Avatar de Kulvar
Membre éclairé https://www.developpez.com
Le 08/07/2019 à 12:16
Citation Envoyé par The F0x Voir le message
Ce que je ne comprends pas ici, c'est comment se passe la résolution initiale du nom du service de DoH ? On passe toujours par du DNS classique ?

Si oui ce n'est pas trés sûr non plus. Pour moi tout service de résolution de noms ne peux être qu'accéder que sur son addresse IP.
En général, les DNS sont enregistrés par leur IP. Il n'y a donc pas de résolution initiale.

Citation Envoyé par Jiji66 Voir le message
Louable fonctionnalité qui a effectivement plusieurs avantages du point de vue de l'utilisateur final :
1-) Contourner la censure sur les requêtes DNS,
2-) Rendre beaucoup plus difficile pour le FAI de maintenir un historique de navigation,
3-) Grandement compliquer les attaques du type "homme du milieu".

Merci Mozilla
Ce qui embête le plus les FAI à mon avis, c'est qu'après avoir perdu l'accès à ce que tu échange à cause d'HTTPS, ils perdront aussi le nom du site avec qui tu échanges.
1  0 
Avatar de deltree
Membre confirmé https://www.developpez.com
Le 08/07/2019 à 17:09
Citation Envoyé par Kulvar Voir le message
En général, les DNS sont enregistrés par leur IP. Il n'y a donc pas de résolution initiale.

Ce qui embête le plus les FAI à mon avis, c'est qu'après avoir perdu l'accès à ce que tu échange à cause d'HTTPS, ils perdront aussi le nom du site avec qui tu échanges.
Pas tout à fait!
Vu qu'on passe par de l'https, le certificat est validé obligatoirement par nom de domaine (je crois qu'il y a une exception mais c'est à la marge)
J'ai assisté à la conf d'un des certificateur, au JDLL, et sa réponse "passe par le hosts"

Du coup on configure son DNS par hostname, et on met l'ip du hostname dans le fichier "hosts"

autre astuce, lors de sa démo, ils se connectait à son dns en mode classique pour avoir le host en cache, puis switchait sur le mode doh. c'est juste une démo, je me demande dans quelle mesure c'est fiable.

Edit:
la seule exception permettant un certificat (valide!) par IP est justement le 1.1.1.1 qui correspond à Cloudflare!
1  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 08/07/2019 à 20:04
C'est dommage de pousser tout le monde vers du Cloudflare par défaut... question respect de la vie privé, et modèle économique sain... Quad 9 est loin devant.
Il vend la télémétrie globale des sites consulté (ou demandé) sur la liste que lui fournissent des entreprises de sécurité.
Citation Envoyé par Bardotj Voir le message
Pour ceux que cela interesse https://www.bortzmeyer.org/ regorge de détails rfc
C'est de ce site entre autre que s'inspire fortement (copie) ma réponse précédente
1  0 
Avatar de viper1094
Membre éclairé https://www.developpez.com
Le 08/07/2019 à 16:05
C'est un peu plus clair merci.
0  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 12/02/2020 à 3:12
Il est vrai que certains pans d'internet sont encore fortement centralisés alors qu'ils pourraient très bien fonctionner de manière décentraliser.
Le problème est plus lié à une inertie des gros acteurs, qui préfèrent rester sur une seul infrastructure, plutôt que de jouer sur deux tableaux et supporter le coût de chaque infrastructures cumulés.
Plus il y aura de demandes, de pression, et de fric à se faire sur la proposition de services décentralisés, plus vite cette transition s'opèrera.
0  0