DoH
Produits et Services PRODUITS & SERVICES

Le protocole DoH (DNS-over-HTTPS) est adopté par Windows 10

Pour les fans de la protection de la vie privée que le protocole DNS-over-HTTPS (DoH) permet de renforcer, il semblerait que les derniers obstacles soient sur le point de disparaître.

Mozilla Firefox et Cloudflare ont été les premiers à adopter cette nouvelle méthode controversée pour rendre les requêtes DNS privées par chiffrement, Google a ensuite suivi de tout son poids en intégrant le DoH dans Chrome en tant que paramètre autre que celui par défaut.

Récemment, un acteur encore bien plus important s’est joint à la danse, à savoir Windows 10, qui, selon les annonces faites par Microsoft, intégrera la possibilité d’utiliser le DoH, ainsi que son proche cousin le DNS-over-TLS (DoT), au sein de son client réseau.

Il semble que la partie soit perdue pour les opposants au DoH, principalement les FAI qui ont exprimé leurs inquiétudes, certains en poursuivant des objectifs plutôt égoïstes d’ailleurs (en effet, ils ne peuvent pas monétiser le trafic DNS qu’ils ne voient pas) et d’autres en mettant en avant des arguments qui méritent d’être écoutés (à savoir comment vont-ils détecter à présent les domaines malveillants ?).

L’été dernier, les discussions autour de ce sujet ont pris une telle ampleur que l’ISPA (ISP Association) britannique a même nommé Mozilla le “Vilain de l’Internet” afin de sanctionner son enthousiasme de très courte durée pour le DoH après une réaction violente du public.

Début du mois dernier, Mozilla a riposté, en accusant les FAI d’entretenir la confusion autour des arguments techniques concernant le DNS chiffré.

Le piggybacking HTTPS

Nous avons déjà expliqué le fonctionnement du DoH et du DoT dans des articles précédents, mais pour résumer ils chiffrent les requêtes adressées par un ordinateur aux serveurs DNS de manière à empêcher des intermédiaires, tels que les Fournisseurs d’Accès Internet et les gouvernements, de savoir quels sites web ont été visités.

Un autre bénéfice que ce protocole DoH apporte est l’extension des avantages de la sécurité HTTPS au trafic DNS. Même s’il n’est pas parfaitement privé (en effet, les données continuent de fuiter via des éléments tels que le Server Name Indication : SNI), il est tout de même plus sécurisé que l’envoi des requêtes DNS en clair.

En fait, le protocole DoT présente certains avantages par rapport au DoH, mais nécessite que des ports soient ouverts au niveau des routeurs/pare-feu. Le DoH ne peut être distingué du trafic de navigation web normal, tandis que le DoT s’exécute séparément, facilitant ainsi le blocage ou le filtrage, et oblige les utilisateurs à configurer davantage de paramètres pour qu’il fonctionne correctement.

Comme le DoH utilise la technique de piggybacking HTTPS, cette méthode fonctionne immédiatement, du moins tant que le logiciel client le prend en charge. C’est pourquoi l’intégration de Windows 10 à cette initiative est importante.

La recentralisation

Étant donné que la prise en charge du DoH est déjà activée dans Firefox (qui utilise la résolution Cloudflare) et Google Chrome (qui utilise son propre DNS), qu’ajoute donc l’intégration de Windows 10 ?

La réponse est que cela pourrait aider à re-décentraliser la fourniture de DNS chiffré.

Aujourd’hui, le système DNS non chiffré est hautement décentralisé, ce qui est bon pour la stabilité (pas de point de défaillance unique) et certains aspects de la sécurité (le filtrage DNS est utilisé pour bloquer les sites malveillants). Quiconque douterait de l’importance d’éviter les points de défaillance uniques devrait plutôt se rappeler de l’attaque Dyn DDoS de 2016, qui avait provoqué des pannes majeures au niveau d’internet causées justement par le ciblage d’un seul fournisseur.

Même les utilisateurs qui passent de la résolution DNS de leur FAI à des solutions publiques telles que les versions 8.8.8.8/8.8.4.4 de Google pour des raisons de performances ont désormais le choix.

Toutefois, si le DoH ou le DoT est activé par défaut dans les navigateurs, la résolution DNS pourrait rapidement être réduite à un petit nombre de fournisseurs, ce qui pourrait à terme porté préjudice à la protection de la vie privée.

Selon Microsoft, l’intégration du DNS chiffré dans Windows est un moyen d’empêcher cela et de conserver les avantages de la décentralisation :

Nombreux sont ceux qui supposent que le chiffrement DNS nécessite une centralisation DNS. Cela n’est vrai que si l’adoption du DNS chiffré n’est pas universelle. Pour que le DNS reste décentralisé, il sera important que les systèmes d’exploitation client (tels que Windows) et les fournisseurs d’accès internet adoptent largement le DNS chiffré.

Cependant, après avoir décidé d’adopter le DNS chiffré, Microsoft admet qu’il reste encore des problèmes techniques à résoudre.

Par exemple, Windows ne remplacera pas les valeurs par défaut définies par l’utilisateur ou l’administrateur, tout en se laissant guider par certaines règles de base en matière de confidentialité :

  1. Lorsqu’un résolveur DNS sélectionné offre un DNS chiffré, Windows choisit par défaut n’importe quelle alternative non chiffrée.
  2. Si le DNS chiffré est interrompu, Windows ne basculera pas discrètement vers un serveur non chiffré.
  3. Activer le DNS chiffré sera aussi simple que possible pour éviter la situation où seuls des experts finiront par l’utiliser.

Étant donné que le DNS chiffré a émergé de l’IETF, les FAI doivent déjà savoir que le combat est maintenant perdu.

Bien que le déploiement soit progressif, le passage à une vie digitale plus privée semble être en cours, que ses opposants l’aiment ou non. La bataille maintenant consiste à rester associé à ce changement, sinon vous risquez de vous retrouver bloqué pour toujours.


Billet inspiré de DNS-over-HTTPS is coming to Windows 10, sur Sophos nakedsecurity.