Firefox a annoncé un nouveau partenariat avec NextDNS pour fournir aux utilisateurs de Firefox des services privés et sécurisés de DNS (Domain Name System) via son programme Trusted Recursive Resolver (il s'agit du paramètre DNS-over-HTTPS utilisé par Firefox). La société s'est engagée à donner la priorité à la confidentialité des utilisateurs dans les efforts de modernisation du DNS.Le programme Trusted Recursive Resolver (TRR) vise à normaliser les exigences dans trois domaines : limiter la collecte et la conservation des données, assurer la transparence de toute rétention de données qui se produit et limiter le blocage ou la modification du contenu. Pour toute entreprise partenaire de Mozilla, l'éditeur s'attend à ce qu'elles respectent les normes modernes de confidentialité et de sécurité pour nos utilisateurs. Plus précisément :
- Limiter les données : Vos données DNS peuvent révéler de nombreuses informations sensibles vous concernant, et actuellement les fournisseurs DNS ne sont soumis à aucune limite quant à ce qu'ils peuvent faire avec ces données; Mozilla voudrait changer cela. Sa politique exige que vos données ne soient utilisées qu'aux fins de l'exploitation du service, ne doivent pas être conservées pendant plus de 24 heures et ne peuvent pas être vendues, partagées ou concédées sous licence à d'autres parties.
- Transparence : Il ne suffit pas que les partenaires informent en privé Mozilla de leurs politiques de conservation et d'utilisation des données. Ce qui est plus important, c'est qu'ils attestent publiquement de ces bonnes politiques et qu'ils s'engagent à ce que les utilisateurs puissent voir et comprendre comment leurs données sont traitées. C'est pourquoi la politique de Mozilla exige que les résolveurs publient un avis de confidentialité public qui documente quelles données sont conservées et comment elles sont utilisées.
- Blocage et modification : Le DNS peut être utilisé pour contrôler les informations que vous êtes autorisé à voir. Les fournisseurs DNS peuvent potentiellement censurer votre activité de navigation, vous donner de mauvais résultats ou faire apparaître leur propre contenu. Mozilla pense que c'est vous qui devez décider des informations dont vous avez besoin, pas votre fournisseur DNS. Ses exigences empêchent les résolveurs de bloquer, filtrer, modifier ou fournir des réponses inexactes, sauf si la loi l'exige strictement. Alternativement, Mozilla prend en charge l'opération de filtrage lorsqu'un utilisateur opte explicitement, comme avec les contrôles parentaux.
Depuis plus de 30 ans, le DNS a été un mécanisme clé pour accéder aux sites et services sur le Web. DNS est le répertoire Internet. Il traduit des noms que nous connaissons comme www.firefox.com en adresses Internet numériques qu'un ordinateur comprend. Presque toutes les activités sur Internet commencent par une demande DNS.
Le système de noms de domaine (DNS) est l'une des parties les plus anciennes de l'architecture Internet et reste largement épargné par les efforts visant à rendre le Web plus sûr et plus privé. Les acteurs malveillants peuvent espionner ou altérer l'activité de navigation des utilisateurs et les fournisseurs DNS, y compris les fournisseurs de services Internet (FAI), peuvent collecter et monétiser l'activité de navigation d'un utilisateur. Au cours des deux dernières années, Firefox, en partenariat avec d'autres parties prenantes de l'industrie, a travaillé à développer, normaliser et déployer DNS-over-HTTPS (DoH). Le DoH vise à protéger cette même activité de navigation contre l'interception, la manipulation et la collecte au milieu du réseau.
Mais le chiffrement des données DNS avec DoH n'est que la première étape. Pour Mozilla, exiger que les entreprises qui manipulent ces données aient des règles en place, comme celles décrites dans le programme TRR, garantit que l'accès à ces données n'est pas abusé. Il s'agit donc d'une nécessité.
« Pour la plupart des utilisateurs, il est très difficile de savoir où vont leurs demandes DNS et ce que le résolveur fait d'elles », a déclaré Eric Rescorla, CTO de Firefox. « Le programme Trusted Recursive Resolver de Firefox permet à Mozilla de négocier avec les fournisseurs en votre nom et d'exiger qu'ils aient des politiques de confidentialité strictes avant de gérer vos données DNS. Nous sommes ravis d'avoir NextDNS partenaire avec nous dans notre travail pour remettre les gens en contrôle de leurs données et de leur vie privée en ligne ».
L'éditeur est persuadé qu'en associant la bonne technologie (DoH dans le cas d'espèce) et des exigences opérationnelles strictes pour ceux qui la mettent en œuvre, en trouvant de bons partenaires et en établissant des accords juridiques donnant la priorité à la confidentialité, il va améliorer par défaut la vie privée des utilisateurs.
« Nous applaudissons la position de leader de Mozilla sur la confidentialité et nous sommes fiers de nous associer à eux pour offrir le choix d'un résolveur DNS moderne, fiable et sans journaux à la communauté Firefox », a déclaré Romain Cointepas, cofondateur de NextDNS.
NextDNS a été lancé en mars 2019 et propose un résolveur DNS entièrement personnalisable, moderne et sécurisé. Depuis lors, la société a travaillé pour continuer à améliorer le service et a publié des applications DNS sur HTTPS pour toutes les principales plates-formes (iOS, Android, macOS, Windows, Linux) et les routeurs.
NextDNS est le dernier résolveur à rejoindre le programme TRR. Cloudflare a rejoint le programme en 2018.
« Cloudflare a rejoint le programme en 2018 avec son lancement de 1.1.1.1, le résolveur DNS public construit autour du principe de la confidentialité d'abord. Nous pensons que donner aux consommateurs la possibilité de choisir le DNS le plus rapide et le plus respectueux de la vie privée est une situation gagnant-gagnant. C'est bon pour eux et c'est bon pour Internet », a déclaré Matthew Prince, cofondateur et PDG de Cloudflare. « Nous espérons que davantage de fournisseurs de services Internet et de fournisseurs DNS suivront cet exemple afin que nous puissions enfin chiffrer l'un des protocoles les plus importants d'Internet ».
Bien que le programme TRR et ses premières politiques de confidentialité soient spécifiques à la mise en œuvre de DoH par Firefox, l'éditeur pense que tous les utilisateurs d'Internet ont droit à ces protections. Alors que le travail de mise en œuvre du DoH se poursuit, il se dit impatient d'intégrer davantage de partenaires au programme TRR engagés à faire entrer le système DNS dans le 21e siècle avec les protections de confidentialité et de sécurité que les utilisateurs méritent. Mozilla espère que le reste de l'industrie emboîtera le pas.
Un programme qui ne fait pas forcément l'unanimité
Lorsque Mozilla s'est associé à Cloudfare l'année dernière, certains chercheurs ont soulevé leur inquiétude : « Le nouveau mécanisme de résolution de Mozilla est dangereux. Tout votre trafic DNS sera envoyé à Cloudfare ». Et d'ajouter que « Lorsque Mozilla va activer le mécanisme Trusted Recursive Resolver (TRR) par défaut, vos paramétrages DNS n’auront plus aucun effet. La résolution d’adresse se fera au sein de l’application en s’appuyant sur un serveur DNS de Cloudfare aux États-Unis. L’entreprise pourra alors lire les requêtes DNS de tous les utilisateurs »
Au sein des équipes de Mozilla, l’opération était également sujette à controverse. En mars 2018, Henri Sivonen – un employé de Mozilla – est monté au créneau pour exprimer ses préoccupations : « je pense que nous ne devrions pas lancer cette opération sous cette forme. Envoyer des informations sur ce qui est consulté à une partie tierce va éroder la confiance dans Mozilla à cause de l’envoi d’informations confidentielles (adresse IP et nom d'hôte) à une partie tierce sans consentement explicite »
Néanmoins, Mozilla a rappelé que la manœuvre est destinée à empêcher que les utilisateurs ne divulguent des informations cruciales à des attaquants au travers de serveurs douteux. L’éditeur s’est engagé à trouver de bons partenaires pour gérer ce volet. Chez Mozilla on est d’avis que la qualité des clauses de confidentialité de Cloudfare est un excellent gage de sécurité. Sur cet aspect particulier, les responsables de Mozilla ont laissé filtrer qu’ils se sont assurés que Cloudfare ne conserve pas de log des adresses IP des internautes.
Source : Mozilla
Et vous ?
Que pensez-vous du programme Trusted Recursive Resolver ? Que pensez-vous du choix des partenaires de Mozilla ? Le reste de l'industrie gagnerait-il à s'en inspirer ?Voir aussi :
Firefox 71 est disponible, introduit le mode Picture-in-Picture sous Windows et apporte le décodage MP3 natif sous Windows, Linux et macOS Firefox Replay : Mozilla présente un nouvel outil de débogage pour son navigateur Firefox, actuellement disponible pour macOS uniquement Le DNS-over-HTTPS finira probablement par être déployé sur tous les navigateurs, malgré l'opposition des FAI, le support du DoH est déjà effectif sur Edge, Firefox, Opera, Vivaldi, Chrome et Brave Firefox prend des mesures pour arrêter le spam de notification de navigateur dès l'année prochaine, à partir de Firefox 72, vous aurez besoin d'interagir afin de voir les demandes de notification