
Pour son système d’exploitation mobile Android, Google a décidé de s’attaquer à ce problème de sécurité et de confidentialité en travaillant sur l’implémentation du support de DNS sur TLS. C’est ce qu’indiquent en effet deux validations de code dans Android Open Source Project (AOSP). L’une d’entre elles consiste à « Ajouter un paramètre global pour désactiver DNS sur TLS » et l’autre « Ajouter une option développeur pour contrôler DNS sur TLS ».

Pour information, le DNS sur TLS est un protocole expérimental actuellement examiné par l’Internet Engineering Task Force (IETF), un organisme de normalisation d’Internet. Et comme son nom l’indique, DNS sur TLS va chiffrer le trafic DNS, de la même manière que HTTPS chiffre le trafic HTTP. Dans son document présentant la spécification, l'IETF décrit en effet le DNS sur TLS comme un moyen d’utiliser le protocole TLS (Transport Layer Security) pour assurer la confidentialité du DNS. « Le chiffrement fourni par TLS élimine les opportunités d'écoute indiscrète et de falsification des requêtes DNS en cours sur le réseau », ajoute l'organisme de normalisation.
Cette fonctionnalité d'Android viserait donc à chiffrer les requêtes DNS et empêcher les attaquants au niveau du réseau d'espionner le trafic des utilisateurs. Cela est très important, car les requêtes DNS ont été le talon d'Achille du HTTPS. Même si le trafic est en HTTPS, un attaquant peut observer les requêtes DNS et deviner les sites auxquels l'utilisateur accède. En chiffrant également ces requêtes, cela permet de renforcer la protection de la vie privée de l'utilisateur.
Il semble toutefois que la nouvelle fonctionnalité d’Android ne pourra pas empêcher les FAI de savoir à quels sites un utilisateur accède. Il faut également noter qu’elle nécessite que le DNS que vous utilisez prenne en charge le support DNS sur TLS, alors que la plupart des DNS ne supportent pas ce chiffrement. Les utilisateurs pourront toutefois pour commencer passer au DNS de Google s'ils souhaitent bénéficier du DNS sur TLS.
Avec les différentes validations de code relatives au DNS sur TLS dans le projet AOSP, il semble que cette fonctionnalité pourrait débarquer dans une prochaine mise à jour de l’OS mobile de Google.
Sources : XDA, Projet AOSP
Et vous ?

