Cloudfare étoffe 1.1.1.1, son offre de service DNS grand public supposé respectueux de la vie privée,
D'un résolveur sur le réseau Tor

Le , par Stéphane le calme, Chroniqueur Actualités
Le 1er avril, Cloudflare a amorcé le lancement de son propre service DNS grand public et promet d'accélérer votre connexion Internet tout en la gardant privée. Baptisée 1.1.1.1. C’est par le biais de son PDG, Matthew Prince, que la société a annoncé la disponibilité de ce service.

Prince a alors expliqué que : « Le problème est que ces services DNS sont souvent lents et ne respectent pas la vie privée. Ce que de nombreux internautes ne réalisent pas, c'est que même si vous visitez un site web crypté – avec le petit verrou vert dans votre navigateur – cela n'empêche pas votre résolveur DNS de connaître l'identité de tous les sites que vous visitez. Cela signifie que, par défaut, votre FAI, chaque réseau wifi auquel vous êtes connecté et votre fournisseur de réseau mobile ont une liste de tous les sites que vous avez visités lors de leur utilisation. »

Et de rappeler que « Les opérateurs de réseaux se léchaient les babines depuis longtemps à l'idée de prendre les données de navigation de leurs utilisateurs et de trouver un moyen de les monétiser. Aux États-Unis, cela a été plus facile il y a un an quand le Sénat a voté pour éliminer les règles qui empêchaient les FAI de vendre les données de navigation de leurs utilisateurs. Avec toutes les inquiétudes suscitées par les données que des entreprises comme Facebook et Google collectent sur vous, il nous faut maintenant ajouter des FAI comme Comcast, Time Warner et AT & T à la liste. Et, ne vous méprenez pas, ce n'est pas un problème uniquement réservé aux États-Unis – les FAI du monde entier voient la même occasion d'envahir la vie privée. »

L’entreprise a promis que les données personnelles collectées par le service ne seront pas utilisées à des fins commerciales et elles ne seront conservées que pendant 24 heures, exclusivement pour un usage interne et technique.

Cette fois-ci, l’entreprise a présenté un service expérimental qui accompagne son offre 1.1.1.1 : le résolveur caché. Bien entendu, il faut préciser qu’à cause de son état, il n’est pas conseillé de s’en servir en production ou pour des usages critiques avant que des tests plus rigoureux n’aient été fait.

Un service lancé sur Tor

Mahrud Sayrafi, qui s’est chargé de la présentation du service, a d’abord tenu à rappeler brièvement ce qu’est Tor et ce que sont les services en oignon Tor.

Qu’est-ce qu’un service en oignon Tor ?

Pour fournir l'anonymat aux éditeurs de contenu, Tor dispose de services en oignon. Il s’agit de nœuds Tor qui annoncent leur clé publique, codés en tant qu'adresse avec .onion TLD, et établissent des connexions entièrement au sein du réseau Tor:


Comment résolvez-vous un domaine en utilisant Tor ?

Le processus de renvoi d'une adresse IP avec un nom de domaine est appelé résolution DNS. Étant donné que Tor utilise toujours les adresses IP, vous devez toujours effectuer une résolution DNS pour parcourir le Web sur Tor. Il existe deux méthodes courantes pour résoudre un nom de domaine lors de l'utilisation de Tor :
  1. Résolvez le nom directement, puis appelez l'adresse IP via Tor;
  2. Demandez à un relais de sortie Tor pour résoudre le nom publiquement, puis connectez-vous à l'adresse IP.

    En clair, la première option transfère votre adresse IP à votre résolveur DNS et, à moins que votre client n'utilise DNS-over-HTTPS ou DNS-over-TLS, votre FAI peut parvenir à voir votre nom de destination. Ce qui est moins évident, c'est que la deuxième option peut vous ouvrir à des attaques de manipulation telles que l'empoisonnement DNS ou sslstrip par de mauvais relais. C'est ici que le nouveau service de Cloudfare intervient :
  3. Demandez à un service de résolveur .onion !

Comment fonctionne le résolveur caché Cloudflare ?

En quelques mots, le service de résolveur basé sur .onion est un service en onion Tor qui transmet toutes les communications sur les ports DNS vers les ports correspondants du 1.1.1.1, d'où l'IP du client apparent est une IP interne plutôt que la vôtre. Mahrud explique qu’en réalité c’est bien plus que cela.


Le résolveur caché est-il sécurisé ?

Mahrud précise que l’une des différences flagrantes entre l'utilisation de 1.1.1.1 et ce service est que l'adresse .onion est "dns4tor" plus 49 caractères alphanumériques apparemment aléatoires (dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion). En fait, cette longue chaîne de 56 caractères contient une clé publique complète Ed25519 qui est utilisée pour sécuriser la communication avec le service d'oignon. Cela pose un certain nombre de défis en matière de sécurité utilisable:

Comment les utilisateurs peuvent-ils faire pour se rassurer qu’ils ont entré la bonne adresse ? « Nous avons simplement acheté un certificat avec tor.cloudflare-dns.com comme nom de sujet et l'adresse .onion comme nom alternatif. De cette façon, si vous êtes au bon endroit, vous devriez voir ceci »


Comment les utilisateurs peuvent-ils se souvenir de cette adresse ?

« Nous ne pensons pas que vous devriez avoir besoin de vous souvenir de cette adresse. Idéalement, tout ce que vous avez à faire est d'aller sur https://tor.cloudflare-dns.com et de demander au navigateur de router votre requête vers l'adresse .onion. Cela est possible en utilisant l'en-tête HTTP "Alt-Svc" qui est un en-tête facultatif notifiant au navigateur que les ressources peuvent être accédées à partir d'un emplacement réseau alternatif, éventuellement en utilisant un protocole différent. Grâce à Mozilla, l'utilisation des adresses .onion en tant que services alternatifs est désormais possible dans Firefox Nightly.

« Pensez à cette fonctionnalité comme à une méthode de chiffrement opportuniste : une fois que votre navigateur reçoit un en-tête Alt-Svc indiquant qu'une adresse .onion est disponible pour tor.cloudflare-dns.com, s'il sait que les adresses .onion sont accessibles (par exemple via un SOCKS proxy), il tente de vérifier que le service de remplacement dispose d’un niveau de sécurité identique, voire supérieur. Cela inclut de s'assurer qu'il est possible de se connecter au service oignon en utilisant le même certificat et le même nom de serveur. Si c'est le cas, le navigateur utilise plutôt le service alternatif, garantissant ainsi que vos futures requêtes ne quitteront pas le réseau Tor ».

Source : blog Cloudfare

Et vous ?

Que pensez-vous de ce service supplémentaire ? Allez-vous l'essayer ?

Voir aussi :

Mozilla prévoit de lancer un Shield Study de DNS over HTTPS sur Firefox Nightly, mais la forme suscite la controverse même au sein de ses équipes
Un service d'hébergement doit-il être tenu pour responsable des médias piratés partagés sur sa plateforme ? Cas de Cloudfare contre ALS Scan
La Russie travaille à la mise sur pied d'une infrastructure DNS à l'usage des BRICS, regards braqués sur août 2018
Des pirates s'emparent du compte Cloudfare de Coinhive pour détourner la cryptomonnaie de milliers de sites, Coinhive promet des remboursements
Android : Google implémente le support du DNS sur TLS, pour empêcher l'écoute et la falsification des requêtes DNS sur un réseau


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil