DNS over HTTPS (DoH) arrive, que les FAI et les gouvernements le veuillent ou non !

Protection de la vie privée

La nécessité de conserver un enregistrement des sites web visités par les citoyens au cours des 12 derniers mois est mise à mal par le DNS over HTTPS (DoH), car il chiffre ces requêtes, normalement envoyées en clair.

DNS over HTTPS

En effet, il est, tout à coup, devenu clair aux yeux des Fournisseurs d’Accès Internet et des gouvernements que cette technologie de protection de la vie privée appelée DNS over HTTPS (DoH), soutenue par Google, Mozilla et Cloudflare, était sur le point de rendre la surveillance web beaucoup plus difficile.

Au Royaume-Uni,  une telle situation est importante car, en vertu de la loi de 2016 sur les pouvoirs d’investigation (Investigatory Powers Act), les Fournisseurs d’Accès Internet sont tenus de conserver un enregistrement des sites web visités par les citoyens au cours des 12 derniers mois, en signalant les requêtes DNS (Domain Name System), par exemple vers xyz.com.

DNS over HTTPS (et ses proches voisins tels que DNS over TLS ou DoT) rend cela impossible, car il chiffre ces requêtes, normalement envoyées en clair, d’où la panique rapportée dans un récent article du Sunday Times (via le paywall).

Pour plus de détails sur le fonctionnement de DoH/DoT, lisez notre précédent article sur le sujet. La conclusion est toutefois que le National Cyber Security Centre (NCSC) britannique, et probablement le gouvernement américain, pense que cette évolution étonnamment rapide met en péril la surveillance du terrorisme et d’autres contenus illicites.

Les principaux fournisseurs d’accès craignent également que cette technologie n’interfère avec la mise en cache du trafic CDN (Content Delivery Network) complexe, ne rende difficile la gestion des clients via l’assistance et les portails captifs, et les laisse répondre aux appels de clients mécontents lorsque les serveurs DNS tiers, offrant le DoH, tomberont.

Bizarrement, le Sunday Times affirme également que le DNS over HTTPS va bloquer le porn block controversé britannique, qui impose la vérification de l’âge avant que les adultes ne puissent se rendre sur des sites pornographiques majeurs. En parallèle, il existe néanmoins un manque de clarté sur la manière avec laquelle le chiffrement DNS masque les domaines que les gens visitent, car par nature il ne cache pas le fait que ces requêtes web soient générées à partir de FAI britanniques (bien que cela empêcherait les FAI de mettre en œuvre leurs propres filtres de domaine).

La montée en puissance soudaine du DNS over HTTPS (DoH)

Après avoir laissé retomber l’hystérie collective, vous vous retrouvez face à un conflit technologique entre les FAI qui contrôlent traditionnellement la première étape de chaque connexion Internet et les entreprises qui contrôlent le logiciel installé sur les appareils : il s’agit principalement de Google mais également d’entreprises telles que Cloudflare et son partenaire Mozilla qui promeut la protection de la vie privée.

Aujourd’hui, les utilisateurs se connectent à Internet en payant un fournisseur d’accès. En effet, via le DNS over HTTPS, ils établiront une deuxième connexion DNS avec des serveurs gérés par des sociétés telles que Google et Cloudflare afin de rendre la navigation web privée.

Cela a pris de l’ampleur maintenant, car Google est en train d’implémenter le DoH dans son système de DNS public (8.8.8.8/8.8.4.4), qui sera pris en charge à un moment donné par le navigateur le plus populaire au monde, Chrome, et est déjà pris en charge par Android 9 (cela était d’ailleurs possible depuis un certain temps sur les anciennes versions d’Android en utilisant l’Intra App de Google).

Mozilla, quant à lui, a des projets identiques pour Firefox mis en œuvre via le service 1.1.1.1 de Cloudflare, que l’entreprise teste toujours, tandis que Cloudflare a publié une application dédiée Android/iOS l’année dernière.

Actuellement, si un organisme gouvernemental veut savoir quels sites vous avez visités, il peut contacter un Fournisseur d’Accès Internet. En théorie, avec le DoH, ils pourraient faire de même en demandant à Google, Cloudflare ou Mozilla.

Malheureusement, le problème n’est pas simplement de savoir si ces entreprises accepteront de se plier à de telles exigences, mais si elles le pourront même si elles le voulaient.

Par exemple, Cloudflare a précédemment indiqué qu’il enregistrait uniquement les demandes DNS pendant 24 heures et prévoyait d’en apporter la preuve lors d’un audit comportemental public mené par KPMG. Il faut comparer cela aux FAI qui, dans de nombreux pays, collectent maintenant des données de domaine sur une période allant jusqu’à un an.

Le DNS over HTTPS (DoH) fait pour durer ?

On pouvait s’attendre à ce que quelque chose comme le DoH arrive, puisqu’un ensemble de technologies proposées pour chiffrer les requêtes DNS ont commencé à prendre de l’ampleur en 2017. En octobre dernier, l’IETF a officiellement adopté le DNS over HTTPS (alias RFC 8484) comme moyen le plus simple et le plus rapide de mettre en place un tel chiffrement.

Pour des raisons d’architecture, tout le monde n’a pas adhéré, notamment parce qu’une grande confiance est faite au résolveur, principalement Google, Cloudflare et à tous ceux qui l’adoptent.

Jusqu’à présent, Internet était conçu comme un compromis entre ce que l’utilisateur pouvait faire et ce que le fournisseur d’accès lui laissait faire. Certains prétendent que le DoH bouleverse cet équilibre.

Le contre-argument est que trop de FAI et de gouvernements ont paresseusement utilisé le DNS comme solution de surveillance rapide, pour des raisons juridiques, politiques mais également commerciales.


Billet inspiré de DNS over HTTPS is coming whether ISPs and governments like it or not, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.