DoH
Produits et Services PRODUITS & SERVICES

Mozilla renforce la confidentialité de son navigateur en chiffrant le DNS (DoH)

Mozilla est sur le point d'activer par défaut une fonctionnalité de confidentialité souvent négligée dans Firefox.

La version de bureau du navigateur chiffrera bientôt automatiquement les requêtes de votre site web à l’aide d’une fonctionnalité appelée DNS-over-HTTPS (DoH), selon une déclaration récente de entreprise.

DNS (abréviation de Domain Name System) est le service qui prend un nom lisible tel que nakedsecurity.sophos.com et le transforme en une adresse IP utilisable par un ordinateur (votre fournisseur de service DNS est généralement votre Fournisseur d’Accès Internet, mais ce n’est pas une obligation. Il existe également des services DNS gratuits et commerciaux).

Le problème est que les ordinateurs envoient normalement les requêtes DNS en clair. Cette méthode permettrait à un homme-du-milieu malveillant, qui espionnerait le Wi-Fi de votre café en bas de chez vous, ou celui au niveau de l’un des ordinateurs entre vous et votre résolveur DNS, d’interférer avec votre DNS. Il pourrait l’espionner pour voir quels sites vous visitez ou le modifier pour vous rediriger ailleurs.

L’IETF (Internet Engineering Task Force) s’inquiète au sujet du DNS et des implications en matière de protection de la vie privée depuis des années. En 2018, il a tenté de résoudre ce problème en introduisant le DoH. Ce dernier gère toutes les requêtes DNS via le protocole HTTPS, qui est protégé par le chiffrement TLS. Non seulement cette technique chiffre le DNS, mais elle utilise également les mêmes ports que ceux qui gèrent les sessions HTTPS, qui sont différents des ports utilisés pour les requêtes DNS. Les requêtes DoH ont donc le même aspect que le trafic HTTPS normal et il est impossible pour les FAI de bloquer l’utilisation du DoH sans bloquer également tous les accès web.

La version de bureau de Firefox fournit un support DoH depuis Firefox 62, mais il a été désactivé par défaut. Mozilla l’avait déjà expérimenté avant de l’activer par défaut pour s’assurer qu’il ne causait pas d’interférences particulières, comme avec les systèmes de contrôle parental ou la fonctionnalité de recherche sécurisée de certains moteurs de recherche, tels que Google.

Une troisième chose que Mozilla devait tester était les résolveurs DNS à horizon divisé (split-horizon), que les entreprises utilisent souvent pour accorder l’accès aux adresses web publiques et non publiques. Par exemple, si vous travaillez sur un site web professionnel, vous pouvez obtenir la version publique classique si vous y accédez depuis l’extérieur du réseau de l’entreprise, mais le résolveur DNS à horizon divisé peut vous en montrer un en cours de développement si vous y accédez depuis l’intérieur du réseau de l’entreprise.

Mozilla a décidé que, dans la mesure où seulement 4,3% des utilisateurs avaient configuré les systèmes de contrôle parental ou activé Google Safe Search, le problème pouvait être résolu. Il n’a également trouvé que 9,2% des requêtes traitées par des résolveurs à horizon divisé. Il a donc décidé de gérer ces situations en revenant aux requêtes DNS habituelles s’il détectait l’un des cas mentionnés ci-dessus.

Vos requêtes DNS doivent être déchiffrées à un moment donné par un fournisseur DNS qui les lit. Dans ce cas, le fournisseur par défaut de Mozilla est Cloudflare, qui a lancé son service DNS 1.1.1.1 en avril 2018. Cela pose-t-il un problème de confidentialité ?

Vos requêtes DNS finissent toujours par être lues par un fournisseur de services quel qu’il soit, mais Cloudflare a passé un accord avec Mozilla afin de collecter ce qui est, selon lui, une quantité limitée de données sur l’utilisateur. L’entreprise les supprime de ses logs au bout de 24 heures, mais conservera des logs anonymes agrégeant tous les noms de domaine demandés, précise-t-elle.

Mozilla nous a également dit :

Tous les fournisseurs DNS que nous intégrons dans Firefox devront respecter un ensemble strict de règles les empêchant d’utiliser les données des requêtes DNS pour des tâches autres que la fourniture du service DNS, les obligeant ainsi à supprimer ces données au bout de 24 heures.  

La Fondation commencera à déployer un support pour les utilisateurs américains ce mois-ci, en commençant par un faible pourcentage et en l’augmentant si tout se passe bien. Elle ne pouvait pas nous dire quand elle l’activera pour les utilisateurs dans d’autres pays et a précisé par email que :

Nous n’avons actuellement aucun projet de déploiement de cette fonctionnalité hors des États-Unis. Nous explorons des partenaires DoH potentiels en Europe afin de proposer aux utilisateurs cette importante fonctionnalité de sécurité. Dès que nous aurons de nouvelles informations à partager, nous les publierons sur notre blog Future Releases.  

Mozilla a été critiqué par l’ISPA (Internet Service Providers Association) britannique, qui l’a appelé le “voyou du web” pour avoir aidé à bloquer les politiques de filtrage Internet britannique et interféré avec les politiques de filtrage Internet du gouvernement.

Les utilisateurs pour lesquels Mozilla active le DoH par défaut pourront le désactiver.

Ou bien, s’il n’est pas activé par défaut, vous pouvez l’activer (uniquement dans la version de bureau, pas sur celle pour mobile, qui ne la prend pas en charge). Rendez-vous dans Préférences> Paramètres réseau. Cochez la case Activer DNS over HTTPS et définissez votre propre fournisseur (voici une liste) ou utilisez par défaut Cloudflare.

Google soutient également le DoH. Il dit qu’il prévoit de tester cette technologie dans Chrome 78, qui sera “suivi d’un lancement si tout se passe bien”.


Billet inspiré de Mozilla increases browser privacy with encrypted DNS, sur Sophos nakedsecurity.