Mozilla a récemment annoncé qu’il activerait le DoH par défaut pour les utilisateurs de la version bureau du navigateur Firefox aux États-Unis. Cette initiative offre certaines protections au niveau de la vie privée par rapport aux requêtes DNS classiques, bien que, comme l’explique Paul Ducklin dans le podcast Naked Security, cette initiative n’est pas sans poser certains problèmes :
La section DNS-over-HTTP commence à 31’36 ”.
Néanmoins, Google ne veut clairement pas être en reste. Il a publié récemment un article sur son blog en donnant plus de détails sur les fonctionnalités DoH qu’il inclura dans Chrome 78.
Google adopte cependant une approche légèrement différente de Mozilla. D’une part, le fournisseur DNS de l’utilisateur ne sera pas changé. Lorsque Google Chrome fait une requête web, il vérifiera si ce fournisseur fait partie d’une liste de services DNS compatibles avec le DoH, ce que Google affirme avoir approuvé afin de renforcer la sécurité et la confidentialité. Ce n’est que s’il figure sur cette liste qu’il passera au DoH. Cette méthode offre un avantage significatif, selon le géant du web :
En conservant le fournisseur DNS en l’état et en ne mettant à niveau que le service DoH équivalent du fournisseur, l’expérience utilisateur resterait la même. Par exemple, les fonctions de protection contre les malwares ou les fonctionnalités de contrôle parental offertes par le fournisseur DNS continueront de fonctionner.
À l’heure actuelle, cette liste compte six fournisseurs aux côtés de Google : CleanBrowsing, Cloudflare (le fournisseur de choix de Mozilla pour le DoH), DNS.SB, OpenDNS et Quad9 d’IBM.
Google rend ce service disponible sur toutes les plateformes prises en charge par Chrome, à l’exception de Linux et iOS. Toutefois, cela n’inclut pas les déploiements gérés par Chrome, signifiant ainsi que les utilisateurs de Chrome Enterprise et les clients du secteur de l’éducation sont exclus pour le moment. Cela semble être sa façon de contourner le problème de l’horizon divisé (split-horizon) que nous avons exposé dans notre récent article sur la mise en œuvre du DoH par défaut par Mozilla.
Pour l’instant, l’expérience sera étendue à “une fraction” des utilisateurs de Chrome, bien que Google n’ait pas répondu aux questions concernant leur sélection ou leur localisation. Si vous êtes l’un d’entre eux, vous pourrez vous désinscrire en désactivant le flag, accessible dans Chrome 78, en saisissant les éléments suivants dans votre barre d’adressev: chrome://flags/#dns-over-https.
Chrome 78 entrera dans sa version bêta entre le 19 et le 26 septembre 2019 et devrait atteindre sa version stable le 22 octobre 2019.
Billet inspiré de Google experiments with DNS-over-HTTPS in Chrome, sur Sophos nakedsecurity
Qu’en pensez-vous ? Laissez un commentaire.