Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées,
En activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla

Le , par Stan Adkens

44PARTAGES

15  0 
Mozilla continue dans son processus de renforcement de la vie privée des utilisateurs sur son navigateur Firefox. Une nouvelle composante de la vie privée en ligne que le développeur de navigateur Internet veut commencer à ajouter à la fin de ce mois après deux ans de travail, c’est le protocole DNS-over-HTTPS (DoH). Le DNS sur HTTPS deviendra progressivement la norme par défaut, à commencer par les États-Unis à partir de fin septembre, verrouillant une plus grande partie de la navigation sur le Web sans nécessiter un basculement explicite comme auparavant.

Le DoH sur Firefox devrait rendre vos habitudes en ligne d'autant plus privées et sécurisées, avec moins de risques de détournement de DNS et de surveillance de l'activité. Dans un billet de blog publié vendredi dernier, Mozilla a déclaré ceci :

« Après de nombreuses expériences, nous avons démontré que nous disposons d'un service fiable dont les performances sont bonnes, que nous pouvons détecter et atténuer les principaux problèmes de déploiement et que la plupart de nos utilisateurs bénéficieront des meilleures protections du trafic DNS chiffré ». L’entreprise a ajouté que « Nous sommes confiants que l'activation de DoH par défaut est la bonne étape suivante. Lorsque la fonction DoH est activée, les utilisateurs seront informés et auront la possibilité de s'en retirer ».


En effet, depuis 2017, Mozilla a commencé à travailler sur le protocole le DoH. Et à partir de juin 2018, l’entreprise a commencé à faire des essais du protocole avec son navigateur pour s’assurer que les performances et l'expérience utilisateur sont excellentes. Selon Mozilla, plusieurs utilisateurs n’ont pas hésité à adopter le DoH sur Firefox lors des essais. « Nous avons également été surpris et enthousiasmés par les plus de 70 000 utilisateurs qui ont déjà choisi d'activer explicitement DoH dans Firefox pour l’édition d’essai ».

Ce prochain déploiement du DoH dans Firefox est aussi motivé par les résultats de certaines recherches, selon le billet de Blog. En effet, l’entreprise a « constaté que les contrôles parentaux d'OpenDNS et la fonction de recherche sécurisée de Google étaient rarement configurés par les utilisateurs de Firefox aux États-Unis. Au total, 4,3 % des utilisateurs de l'étude ont utilisé les contrôles parentaux ou la recherche sécurisée d'OpenDNS ».

Se basant sur les résultats fiables obtenus lors de ses travaux avec la version d’essai d’DoH et les résultats de ses recherches, le développeur a rendu publique vendredi dernier son approche pour mettre en œuvre le protocole DoH dans son navigateur. Dans son plan de déploiement, l’entreprise dit qu’elle va :

« Respecter le choix de l'utilisateur pour les contrôles parentaux explicite et désactiver DoH si nous les détectons ; respecter la configuration de l'entreprise et désactiver DoH à moins que la configuration de l'entreprise ne l'autorise explicitement ; et enfin retourner aux valeurs par défaut du système d'exploitation pour les DNS lorsque la configuration à « split horizon » ou d'autres problèmes de DNS provoquent des échecs de recherche ».

Ce plan est prévu pour veiller à ce que les changements ne fassent pas disparaitre les mesures initiales de protection des utilisateurs. En effet, dans le trafic ouvert, les adresses IP et les activités de navigation peuvent être profilées et les requêtes interceptées et manipulées. Le protocole DoH chiffre les adresses des sites Web, contournant les fournisseurs d'accès Internet locaux et se connectant directement aux serveurs de noms centraux. Cela signifie que le trafic ne peut pas être détourné. Mais cela signifie aussi que bon nombre des outils de filtrage et de protection en place aujourd'hui, habituellement administrés par les fournisseurs d’accès à Internet, ne fonctionneront plus.

Pour cela, toutes les requêtes n'utiliseront pas HTTPS, d’après Mozilla. Mozilla s'appuie sur la méthode « fallback » qui revient au DNS par défaut du système d'exploitation s'il y a un besoin spécifique, comme certains contrôles parentaux et certaines configurations d'entreprise ou un échec flagrant de recherche. Ainsi, les choix des utilisateurs et des responsables informatiques qui ont besoin que la nouvelle fonctionnalité soit désactivée seront respectés, a déclaré Mozilla dans son billet de blog.

Mozilla dit qu'elle travaille avec les fournisseurs de contrôles parentaux et les FSI pour que tout cela fonctionne dans la pratique. La société exploitera un système où de telles protections « ajouteront un domaine canary à leurs listes de blocage ». Cela signifie, fournir un site délibérément bloqué aux listes qui alerteront Firefox, indiquant au navigateur qu'une protection est en place afin qu’il puisse bloquer le DoH.

Toutefois, une telle approche est susceptible d'être utilisée à mauvais escient par des attaquants, qui pourraient usurper le système pour bloquer le DoH pour de mauvaises raisons. Mais Mozilla a aussi déjà pensé à cette éventualité. Mozilla dit que s’il découvre un abus de la désactivation du DoH, « dans les situations où les utilisateurs n'ont pas explicitement choisi d'y participer, nous réexaminerons notre approche ».

Pas plus tard que le 4 septembre dernier, Mozilla a annoncé d’autres mesures de vie privée dans la nouvelle version de son système d’exploitation. Désormais, le navigateur de Mozilla va bloquer par défaut les cookies de pistage tiers. Cette protection améliorée sera automatiquement activée pour tous les utilisateurs. Les fonctions de confidentialité améliorées ont été testées sur les nouveaux utilisateurs depuis juin 2019 et couvrent actuellement 20 % des utilisateurs Firefox. Ce pourcentage va passer à 100 %. Mozilla a également annoncé son intention de bloquer les mineurs de cryptomonnaies par défaut. Grâce à cette mesure, les sites Web tiers ne pourront utiliser les ressources informatiques des visiteurs sans leur consentement.

En ce qui concerne le DoH, Mozilla dit qu’il va effectuer un déploiement progressif aux États-Unis « à partir de fin septembre ». Dans un premier temps, un plus petit pourcentage d'utilisateurs verront le changement, Mozilla « surveillant tous les problèmes » avant que le déploiement ne soit étendu. « Si tout se passe bien », a dit la compagnie, « nous vous ferons savoir quand nous serons prêts pour un déploiement à 100% », a-t-elle ajouté. Les États-Unis sont les premiers, mais le reste du monde pourra suivre.

Pour l’heure, la compagnie encourage les administrateurs d'entreprise et les fournisseurs de contrôle parental à consulter sa documentation de configuration ici et à la contacter pour toute question. Cependant, l'introduction du DoH par défaut ne serait-elle pas préjudiciable à la sécurité en ligne, à la cybersécurité et au choix des consommateurs ?

Sources : Mozilla

Et vous ?

Qu’en pensez-vous ?
Quels commentaires faites-vous de l’introduction du DoH par défaut dans Firefox ?
Êtes-vous pour ou contre l’utilisation du DoH par défaut ?

Lire aussi

Firefox empêche désormais les sites Web et les annonceurs de vous suivre, et met fin au suivi de Facebook à partir des boutons "Partager" et "J'aime"
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis, suite à une violation de données répertoriée
Firefox 69.0 débarque avec le blocage des traceurs et des mineurs de cryptomonnaies par défaut, et propose le blocage de la lecture automatique des médias
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis, suite à une violation de données répertoriée
Mozilla ajoute un nouvel interpréteur JavaScript plus rapide dans Firefox 70, et promet des gains de performance non négligeables avec le navigateur qui sortira en octobre

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de bk417
Membre régulier https://www.developpez.com
Le 12/09/2019 à 17:33
Citation Envoyé par Aiekick Voir le message
les abus des monopole. finalement FireFox vaut pas mieux que Google faut croire.

mème si les fourniserus doh ont signé l'accord de non divulgation, le fait qu'il pussent sniffer les datas sans être inquiété est la preuve qu'il vont pas ce priver pour le faire.
Firefox n'a aucun monopole avec ses pauvres 4,6% de part de marché.
7  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 12/09/2019 à 19:08
Citation Envoyé par abriotde Voir le message
Après rien ne passe par le DNS,
Ce qui passe déjà, c'st le site que tu souhaite visiter. C'est déjà à elle seule une info de taille.

Citation Envoyé par abriotde Voir le message
la requête est faite une fois puis mise en cache.
La mise en cache a une durée de vie limitée. Passer cette durée, même si l'adresse est déjà connue, le dns est systématiquement re-interrogé.
La durée de vie de certains enregistrements dns est paramétrée à moins de 3 min. La pluspart sont généralement de l'ordre de 12 à 24h.

Citation Envoyé par abriotde Voir le message
Autre point si le DoH de Firefox ment cela fera très vite scandale
Ah bon ? Parce que les dns menteurs classiques actuels font scandale ?
Sur ce point il n'y aura pas plus de scandale. 99% des utilisateurs ne s'en rendront même pas compte, et non, de toute façon, pas les connaissances pour comprendre ce qu'il se passe.

Citation Envoyé par abriotde Voir le message
Il peut vous faire croire que vous êtes sur le site de votre banque alors que vous êtes sur son site grâce a votre DNS.
Sur ce point aucun changement, la faille existe toujours.
Ce n'est pas la réponse du dns qui est fiabilisée, c'est juste le tuyau de transport de la requête et de la réponse qui est chiffré.

Citation Envoyé par abriotde Voir le message
c'est Tor (appelé dark-web).
Faut quand même pas non plus tout mélanger.
TOR est un protocole d'établissement de connexion.
Le dark-web est une partie du web cachée. Et même si une toute petite partie spécifique de ce dark-web n'est accessible que par TOR, le dark-web ne se limite pas à TOR, bien au contraire. Et TOR est un outil qui peut tout aussi être utilisé sur le web classique.
7  0 
Avatar de yokosano
Membre habitué https://www.developpez.com
Le 10/09/2019 à 11:10
Bonjour à tous,

L'affirmation : "Le protocole DoH chiffre les adresses des sites Web, contournant les fournisseurs d'accès Internet locaux et se connectant directement aux serveurs de noms centraux." est erronée.
Pour cela il faut réexpliquer brièvement le fonctionnement du DNS

Votre terminal (1) se connecte à un résolveur (2) (celui de votre FAI la plupart du temps) et ce dernier qui fait souvent office de cache (tampon de données) se connecte aux serveurs faisant autorité (3) (ceux qui détiennent réellement l'information DNS)

Le DOH ne protège que les échanges entre 1 et 2

L'activation par défaut dans Firefox (about:config recherche sur trr) de DOH redirige vers la résolveur (2) de Cloudflare. Au lieu d'être pisté par votre FAI qui respecte le RGPD, vous serez pisté par Cloudflare qui est une entreprise étasunienne soumise au "CloudAct" : loi qui oblige toute entreprise étasunienne à fournir les données quelle possède quelque soit leur localisation dans le monde !

Plus d'informations ici : https://www.bortzmeyer.org/8484.html et ici : https://www.bortzmeyer.org/7626.html

Les solutions possibles ?
* faire passer vos requêtes DNS via Tor
* installer votre propre résolveur (2) et lui faire interroger directement les serveurs faisant autorité : https://www.bortzmeyer.org/son-propr...lveur-dns.html
4  0 
Avatar de Max Lothaire
Membre confirmé https://www.developpez.com
Le 13/09/2019 à 7:08
Ce qui est le plus énervant, c'est de s'embêter à configurer son résolveur (qui passe directement par les racines) chez soi, avec le dhcp qui va bien pour que tous les hôtes qui se connectent à son réseau l'utilisent, et que les applications qui usent le plus du DNS (les navigateurs) décident de s'en foutre.
Surtout quand tu as un domaine en *.lan qui ne marche que chez toi et qui ne fonctionnera plus du tout parce que ton DNS ne sera jamais interrogé.
3  0 
Avatar de vanquish
Membre éprouvé https://www.developpez.com
Le 13/09/2019 à 8:57
Citation Envoyé par Steinvikel Voir le message
Que pensez-vous ?

En faite la formulation est trompeuse, car elle laisse penser que Mozilla paramètre Cloudflare par défaut mais vous laisse le choix... alors qu'en vérité, elle vous impose Cloudflare sans possibilité de le changer.
Absolument pas !
Quand on active l'option, une liste déroulante présente les choix CloudFlare et Autre.
Si on sélectionne "autre", on peut saisir l'adresse de n'importe quel DNS qui supporte le protocole.

Donc il n'y a que CloudFlare qui est pré-paramétré.
C'est sans aucun doute un moyen de financement pour Mozilla, tout comme le moteur de recherche paramétré par défaut.

Mais si les utilisateurs non averti vont être redirigé sans le savoir (ce qui peut être considéré comme un problème), les utilisateurs averti font et continueront de faire ce qu'ils veulent : activer ou pas, sur CloudFlare ou pas.

Pour ce qui est de l'espionnage, les US ont déjà bien d'autres moyens : des bouton Facebook ou Twitter en passant par Google Analytics et sans compter l'interrogation des bases pour savoir si la page visitée est sûre quand la protection de navigation est activé.
3  0 
Avatar de pmithrandir
Expert confirmé https://www.developpez.com
Le 09/09/2019 à 11:56
Je me demande quel sera l'impact sur des services de redirection (par exemple quand on se connecte sur un réseau nécessitant une authentification) ou qu'on essaye d'accéder à des DNS locaux(comme pour la freebox)
2  0 
Avatar de bk417
Membre régulier https://www.developpez.com
Le 09/09/2019 à 11:05
C'est bien mais il faut aussi activer l'eSNI (encrypted Server Name Indication) pour que la protection soit complète.

network.security.esni.enabled
1  0 
Avatar de bk417
Membre régulier https://www.developpez.com
Le 09/09/2019 à 19:37
Citation Envoyé par Steinvikel Voir le message
Je comprends mieux ton point de vu. Donc selon toi, Signal, Telegram... sont de mauvaises approches de conceptions ? --> elles ne s'appuient pas sur l'OS pour sécuriser les communications, elles recentrent la confiance pour la sécurité dans leur logiciel, plutôt qu'un OS propriétaire.
Les applications de messagerie se suffisent à elles-même, c'est pas comme un navigateur sur lequel on utilise des applis métier, des ERP, des intranet, etc... c'est bien plus complexe il y a un écosystème de services mis en place dans les entreprises qui s'appuient sur le navigateur.

OS propriétaire, aïe le mot est laché, un libriste qui pratique le sarcasme ça fait mal.
Que l'OS soit libre n'est pas le sujet ici. Tu vas me dire que si ça se trouve Windows envoie les url lues par Firefox à la NSA, du coup DoH est inutile sur un OS non-libre...

edit: je pense que le choix de DoH s'est fait parce que sur le port 443 ça passe les pare-feux facilement et ça n'est pas blocable aussi facilement que le port 853.
1  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 10/09/2019 à 19:05
Citation Envoyé par bk417 Voir le message
Les applications de messagerie se suffisent à elles-même, c'est pas comme un navigateur sur lequel on utilise des applis métier, des ERP, des intranet, etc... c'est bien plus complexe il y a un écosystème de services mis en place dans les entreprises qui s'appuient sur le navigateur.

OS propriétaire, aïe le mot est laché, un libriste qui pratique le sarcasme ça fait mal.
Que l'OS soit libre n'est pas le sujet ici. Tu vas me dire que si ça se trouve Windows envoie les url lues par Firefox à la NSA, du coup DoH est inutile sur un OS non-libre...

edit: je pense que le choix de DoH s'est fait parce que sur le port 443 ça passe les pare-feux facilement et ça n'est pas blocable aussi facilement que le port 853.
J'admet ne pas saisir en quoi un logiciel se limitant à la communication textuelle, et un autre logiciel dont ce n'est qu'une partie, ne peuvent mettre en oeuvre les mêmes solutions logicielles (implémentations). Oui, il y a des écosystèmes de services déjà en place, qu'il serait dommage de perturber, mais ça ne les remplaces pas, ça apporte des alternatives, sur lesquels l'écosystème évoluera ou non.

Je ne m'en cache pas, quand il est question de sécurité, je préfère largement m’appuyer au maximum sur des solutions libres, ou à défaut, des solutions pleinement documentés/sourcé.
En sécurité, il est important de garder à l'esprit 3 points :
1) pour avoir le contrôle absolu, il faut avoir la connaissance/maîtrise de tous les maillons de la chaine.
2) dans le cas contraire, sur tout les maillons que l'on ne maîtrise pas, c'est une simple affaire de confiance.
3) ne pas "contrôler" un maillon peut hypothétiquement avoir une incidence sur le contrôle que l'on a sur les maillons suivants.

Vous avez un téléphone qui communique en passant par des protocoles qui ne vous conviennent pas, alors vous faites appel à un programme qui, lui, utilise ceux qui vous conviennent. Doit-on attendre de Mocrosoft qu'il sécurise notre vie privée ?... moi je ne lui fait pas confiance, d'autant plus qu'une part de son économie est basé dessus.
Cela fait-il de moi un libriste ? absolument, oui !
C'est pour moi une simple affaire de logique, je ne suis pas omniscient, il se peut que je me trompe, je suis donc ouvert à toute critique.
1  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 12/09/2019 à 19:52
Que pensez-vous ?
Citation Envoyé par Stan Adkens Voir le message
permettre aux utilisateurs de s'inscrire facilement et sélectionner le fournisseur DoH qu’ils veulent au lieu de choisir par défaut Cloudflare.
En faite la formulation est trompeuse, car elle laisse penser que Mozilla paramètre Cloudflare par défaut mais vous laisse le choix... alors qu'en vérité, elle vous impose Cloudflare sans possibilité de le changer.

De quoi vous vous préoccupez personnellement dans le cadre de l’implémentation de DoH dans les navigateurs ?
S'il était possible de paramétrer à quel DNS on souhaite communiquer, je ne verrais alors plus qu'un défaut : pourquoi choisir par défaut un acteur qui présente assez peu de garanties sur le respect de la vie privée, en comparaison d'une organisation à but non lucratif de grande ampleur tel que Quad9 (9.9.9.9) ?

Pensez-vous aussi que le DoH Firefox est très dangereux pour tout le monde ?
Oui, principalement parce que la seule chose qui contraint l'acteur en question c'est un contrat où il dit "promis je ferais pas ce que je fait d'habitude et je dis ainsi non à une bonne part du gâteau", aucun mécanisme de contrôle ne semble mis en oeuvre, ça repose uniquement sur de la confiance. N'y a-t-il pas eu assez de précédents pour se retrouver dans cette situation ?
Firefox a des réglages par défauts différents pour les moteurs de recherche en fonction des pays de l'utilisateur... pourquoi les paramétrages pour le DoH serait-il unique ? ...ça sent le contrat à plein nez.

Les paramètres par défaut sont très très important en terme de répercutions sur le marché... la grande majorité de la masse ne changera pas ses paramètres --> "j'y connais rien, et ça marche très bien comme ça !"
1  0