DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis
Et va étendre le test à d'autres utilisateurs de Firefox

Le , par Coriolan, Chroniqueur Actualités
En mars, Mozilla a annoncé qu’elle prévoit de lancer une Shield Study de DNS over HTTPS sur Firefox Nightly, l’objectif de cette étude est de suivre de près la performance du DNS-over-HTTPS (DOH) dans Firefox.

Le DNS over HTTPS (DoH) est un protocole pour la résolution à distance du Domain Name System (DNS) via le protocole HTTPS. L’objectif de ce protocole est d’améliorer la confidentialité et la sécurité en empêchant l’Eavesdropping et la manipulation de DNS par des attaques de l'homme du milieu (appelée aussi attaque de l'intercepteur).

Un autre but du DNS over HTTPS est l’amélioration de performance. Et justement, Mozilla s’est montrée satisfaite par la performance du protocole DoH. Pour cette raison, la fondation compte étendre l’étude Shield à plus d'utilisateurs (un pourcentage des utilisateurs du canal Beta) pour tester davantage la fonctionnalité de DNS-over-HTTPS.

« Nos tests initiaux du DoH ont étudié le temps nécessaire pour recevoir une réponse du résolveur DoH de Cloudflare, » a dit Mozilla dans un communiqué. « Les résultats ont été très positifs, les utilisateurs les plus lents ont constaté une énorme amélioration de performance. Un test récent dans notre canal Beta a confirmé que DoH est rapide et ne cause pas de problème pour nos utilisateurs. Cependant, ces tests mesurent seulement l’opération du DNS elle-même, ce qui n’est pas tout. »

À noter que dès l'annonce du début de cette étude, des chercheurs en sécurité ont fait part de leur inquiétude de voir Mozilla utiliser les serveurs de Cloudflare par défaut. Au sein même des équipes de Mozilla, l’opération a été sujette de controverse. Toutefois, sur cet aspect particulier, les responsables de Mozilla ont laissé filtrer qu’ils se sont assurés que Cloudflare ne conserve pas de logs des adresses IP des internautes.

Désormais, cette étude va s’étendre à un groupe limité d’utilisateurs de Firefox (Release Channel), mais pas tout le monde va voir le DoH s’activer. Les utilisateurs sélectionnés vont recevoir une notification qui explique l’objet de cette étude et devront bien évidemment donner leur autorisation pour participer.

Pour les utilisateurs qui n’ont pas été sélectionnés et qui voudraient quand même utiliser le DoH, ils peuvent le faire en modifiant les réglages de Firefox dans about:config, il suffit de suivre les étapes suivantes :

  1. Tapez about:config dans la barre d’adresse.
  2. Dans la zone de recherche, tapez la directive network.trr, il s’agit du Trusted Recursive Resolver, c’est à dire le paramètre DNS-over-HTTPS utilisé par Firefox.
  3. Double-cliquez sur network.trr.mode. Là, il existe cinq niveaux de paramétrage allant de 0 à 5. Pour utiliser le TRR par défaut, entrez la valeur 2 et cliquez sur OK. Maintenant le DoH est activé dans Firefox.
  4. Double-cliquez sur network.trr.uri et entrez la valeur https://mozilla.cloudflare-dns.com/dns-query.
  5. Et voilà, vous pouvez maintenant fermer about:config et vérifier quel résolveur DNS vous utilisez. Pour cela, Cloudflare a mis en place des tests (voir ce lien) permettant de voir si vous utilisez le Secure DNS, DNSSEC, TLS 1.3 ou Encrypted SNI.


La préférence network.trr.mode définit l'état de TRR dans Firefox.

  • Une valeur de 0 signifie qu'elle est désactivée et non utilisée.
  • Une valeur de 1 que Firefox utilise DNS natif ou TRR en fonction de ce qui est plus rapide.
  • Une valeur de 2 utilise TRR par défaut, mais reviendra au résolveur natif si la résolution du nom échoue pour une raison quelconque.
  • Une valeur de 3 active le mode TRR uniquement. Seul le TRR est utilisé et il n'y a pas de fallback
  • Une valeur de 4 l'exécute en mode shadow, ce qui signifie que TRR est exécuté en parallèle pour la collecte de données, mais que le résolveur natif est utilisé.


Si vous avez correctement configuré le DoH, vous devez voir apparaitre Secure DNS et TLS 1.3.


L’initiative de Mozilla peut être de bonne intention, surtout que le DoH constitue une garantie supplémentaire de protection de nos données personnelles. Mais rien ne vous oblige de faire confiance à Cloudflare, une société qui reconnaît déjà collecter des données. Le mieux serait de se fier à d’autres résolveurs DNS permettant le DoH et respectant la vie privée des internautes, en voici une liste.

Source : blog Mozilla

Et vous ?

Qu’en pensez-vous ?
Quel serveur DNS utilisez-vous ?
Accepteriez-vous de tester ce DoH en tant qu'utilisateur de Firefox ?

Voir aussi

Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudflare
Cloudfare étoffe 1.1.1.1, son offre de service DNS grand public supposé respectueux de la vie privée, d'un résolveur sur le réseau Tor


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Steinvikel Steinvikel - Membre éclairé https://www.developpez.com
le 01/12/2018 à 13:31
Qu’en pensez-vous ?

Je suis entièrement d'accord avec la fin de l'article :
"les responsables de Mozilla ont laissé filtrer qu’ils se sont assurés que Cloudflare ne conserve pas de logs des adresses IP des internautes."
Ces dires, aussi honnêtes soient-ils, ne sont pas des garanties suffisantes ...d'autant plus sans explications techniques (puisque c'est un problème technique), et faisant intervenir un acteur agissant déjà en contradiction avec les assurances que la solution est sensé apporter.

Est-ce que choisir un résolveurs DNS de confiance est un problème insoluble ?
...dans le sens où le problème vient du fait que l'on fait intervenir un facteur de "confiance" là où actuellement il n'y a pas de solution totalement "sûr".

Résolveurs DNS = solution centralisé ou bien existe-t-il d'autres méthodes décentralisés ?
...comme certains (méta)moteurs de recherche (ex: YaCy (sous GPLv2), SyncNet (sous MIT))

 
Contacter le responsable de la rubrique Accueil