Android : Google implémente le support du DNS sur TLS
Pour empêcher l'écoute et la falsification des requêtes DNS sur un réseau

Le , par Michael Guilloux, Chroniqueur Actualités
Un DNS ou système de noms de domaine est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom de domaine. En d’autres termes, quand vous tapez une adresse URL dans votre navigateur, votre ordinateur va interroger un DNS qui va rechercher et renvoyer au client l’adresse IP associée. Ce processus est transparent pour l'utilisateur, mais chaque site Web que vous visitez suivra le même processus. Le problème pour ceux qui sont soucieux de la sécurité est que ces requêtes sont faites en texte clair via des protocoles UDP ou TCP qui sont lisibles par tous ceux qui peuvent voir votre connexion, y compris votre FAI et des acteurs malveillants du Net.

Pour son système d’exploitation mobile Android, Google a décidé de s’attaquer à ce problème de sécurité et de confidentialité en travaillant sur l’implémentation du support de DNS sur TLS. C’est ce qu’indiquent en effet deux validations de code dans Android Open Source Project (AOSP). L’une d’entre elles consiste à « Ajouter un paramètre global pour désactiver DNS sur TLS » et l’autre « Ajouter une option développeur pour contrôler DNS sur TLS ».


Pour information, le DNS sur TLS est un protocole expérimental actuellement examiné par l’Internet Engineering Task Force (IETF), un organisme de normalisation d’Internet. Et comme son nom l’indique, DNS sur TLS va chiffrer le trafic DNS, de la même manière que HTTPS chiffre le trafic HTTP. Dans son document présentant la spécification, l'IETF décrit en effet le DNS sur TLS comme un moyen d’utiliser le protocole TLS (Transport Layer Security) pour assurer la confidentialité du DNS. « Le chiffrement fourni par TLS élimine les opportunités d'écoute indiscrète et de falsification des requêtes DNS en cours sur le réseau », ajoute l'organisme de normalisation.

Cette fonctionnalité d'Android viserait donc à chiffrer les requêtes DNS et empêcher les attaquants au niveau du réseau d'espionner le trafic des utilisateurs. Cela est très important, car les requêtes DNS ont été le talon d'Achille du HTTPS. Même si le trafic est en HTTPS, un attaquant peut observer les requêtes DNS et deviner les sites auxquels l'utilisateur accède. En chiffrant également ces requêtes, cela permet de renforcer la protection de la vie privée de l'utilisateur.

Il semble toutefois que la nouvelle fonctionnalité d’Android ne pourra pas empêcher les FAI de savoir à quels sites un utilisateur accède. Il faut également noter qu’elle nécessite que le DNS que vous utilisez prenne en charge le support DNS sur TLS, alors que la plupart des DNS ne supportent pas ce chiffrement. Les utilisateurs pourront toutefois pour commencer passer au DNS de Google s'ils souhaitent bénéficier du DNS sur TLS.

Avec les différentes validations de code relatives au DNS sur TLS dans le projet AOSP, il semble que cette fonctionnalité pourrait débarquer dans une prochaine mise à jour de l’OS mobile de Google.

Sources : XDA, Projet AOSP

Et vous ?

Que pensez-vous de cette nouvelle fonctionnalité d'Android ?
Pensez-vous qu’elle pourra empêcher les FAI de connaitre les sites visités par utilisateur ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil