Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome,
à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain

Le , par Stan Adkens

47PARTAGES

7  0 
Dans sa quête de plus de sécurité et de confidentialité, Google a annoncé mardi son intention de tester officiellement le nouveau protocole DNS-over-HTTPS (DoH) dans son navigateur Google Chrome. Les tests prévus à partir de fin octobre de cette année commenceront avec la version 78 de Chrome dès sa sortie et avec un nombre limité de fournisseurs DNS. Le protocole DoH fonctionne en envoyant des requêtes DNS à des résolveurs DNS spéciaux compatibles DoH. L'un des objectifs de cette méthode est d'accroître la confidentialité et la sécurité des utilisateurs en empêchant l'écoute et la manipulation des données DNS par des attaquants qui utilisent des techniques comme le man-in-the-middle.

L'avantage vient du fait que les requêtes DNS sont envoyées via le port 443, comme du trafic HTTPS chiffré, plutôt qu'en texte clair, via le port 53. Ce qui permet de cacher les requêtes DoH dans le flux interminable de trafic HTTPS qui se déplace sur le Web à tout moment de la journée, et empêche les observateurs tiers de suivre l'historique de navigation des utilisateurs en enregistrant et en consultant leurs données DNS non chiffrées.


Mozilla a commencé à travailler sur le protocole le DoH depuis 2017, avant d’annoncer le vendredi dernier son intention d’en faire progressivement la norme par défaut sur son navigateur Firefox, à commencer par les États-Unis à partir de fin septembre. « Après de nombreuses expériences, nous avons démontré que nous disposons d'un service fiable dont les performances sont bonnes, que nous pouvons détecter et atténuer les principaux problèmes de déploiement et que la plupart de nos utilisateurs bénéficieront des meilleures protections du trafic DNS chiffré », a déclaré la société. Si tout se passe comme prévu, le fabricant du navigateur espère que la fonctionnalité sera activée par défaut pour tous les utilisateurs américains d'ici l'année prochaine. Mais la stratégie DoH de Google diffère de celle de Mozilla.

Plan de mise en œuvre du DNS-over-HTTPS par Google

Le plan de Google pour soutenir DoH est complètement différent à l'implémentation faite par Mozilla. La première différence est qu’alors que Firefox a supporté le DoH depuis l'année dernière, en effectuant de nombreux tests, c’est en mai dernier que les développeurs de Google l'ont ajouté à Chrome. Mozilla a même dit que plusieurs utilisateurs ont adopté le DoH sur Firefox lors des essais. « Nous avons également été surpris et enthousiasmés par les plus de 70 000 utilisateurs qui ont déjà choisi d'activer explicitement DoH dans Firefox pour l’édition d’essai », a dit le développeur de Firefox.

Selon des informations sur le projet publiées mardi, Google dit que le premier test public de Chrome DoH est prévu pour le 22 octobre, et la version 78 de Chrome qui sortira à cette date passerait automatiquement à l'utilisation du nouveau protocole au lieu de DNS classique lorsque certains critères sont remplis.

Une autre différence majeure est qu’actuellement, Mozilla met en œuvre le support DoH en canalisant tout le trafic Firefox via les serveurs Cloudflare par défaut. Cependant, les utilisateurs de Firefox peuvent modifier ce paramètre pour utiliser des résolveurs DNS DoH personnalisés, toutefois, le fabricant du navigateur a été critiqué pour avoir utilisé Cloudflare par défaut.

Dans la mise en œuvre DoH de Google, le serveur DNS est substitué par ses homologues DoH offerts par les mêmes fournisseurs DNS. En effet, si un utilisateur Chrome utilise des serveurs DNS normaux de certaines sociétés qui utilisent également des résolveurs DNS compatibles DoH, Chrome enverra des requêtes DNS aux résolveurs DNS compatibles DoH du même fournisseur au lieu de les canaliser vers les serveurs un fournisseur tiers. Par exemple, si un utilisateur utilise les serveurs DNS de Cloudflare pour des requêtes DNS normales, Chrome enverra automatiquement les requêtes DNS au résolveur DNS compatible DoH de Cloudflare. Cette décision devrait répondre à la préoccupation des FAI selon laquelle une grande partie du trafic DNS Internet est orientée vers un seul fournisseur.

Toutefois, pour ce premier test, Google a dit qu'il passerait à DoH au lieu de DNS normal seulement pour quelques fournisseurs de DNS, et pas tous. La liste des fournisseurs DNS pris en charge comprend Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS et Quad9. Voici ce qu’a déclaré Kenji Baheux, chef de produit Chrome, à propos des fournisseurs sélectionnés :

« Les fournisseurs inclus dans la liste ont été sélectionnés pour leur position forte sur la confidentialité et la sécurité, ainsi que pour l'état de préparation de leurs services du ministère de la Santé, et ont également accepté de participer à l'expérience ».


Aussi, comme le support DoH s'étendra plus tard pour inclure également les serveurs DNS fournis par les fournisseurs de services Internet, le mécanisme de « changement de fournisseur » adopté par Mozilla conduira le DoH à contourner les filtres DNS mis en place au niveau des FAI. Par conséquent, un autre avantage de la solution de Google de remplacer les résolveurs DNS par des alternatives DoH des mêmes fournisseurs, est que les filtres DNS et les contrôles parentaux mis en place au niveau du fournisseur de DNS, y compris les FAI, resteront intacts.

En juillet, l’ISPA britannique a nommé Mozilla l’ « Internet Villain » pour avoir ajouté le support DoH à Firefox par défaut. Un FAI a soutenu qu'il ne pouvait pas filtrer le trafic pour les sites d'abus pédosexuels parce que le DoH permettrait aux utilisateurs de contourner les filtres qu'il avait mis en place. La réaction du fournisseur est intervenue après une réaction massive du public. Par la suite, Mozilla a annoncé en juillet qu'il n'activerait pas par défaut le support DoH pour les utilisateurs Firefox au Royaume-Uni.

Chrome a prévu une solution fallback au cas où les demandes DoH échoueraient

Si votre fournisseur de DNS ne figure pas sur la liste ci-dessus, cela signifie que vous ne participerez pas l'expérience DoH de Google pour la phase des premiers tests. Pour ceux qui sont inclus dans les tests, Google dit que si le commutateur tombe en panne ou si le résolveur DoH ne répond pas en temps voulu, Chrome reviendra automatiquement au service de résolution DNS classique. Voici ce qu’a déclaré M. Baheux à e propos :

« Les objectifs de cette expérience sont de valider notre mise en œuvre et d'évaluer l'impact sur la performance ». « Notre expérience s'exécutera sur toutes les plateformes supportées (à l'exception de Linux et iOS) pour une fraction des utilisateurs de Chrome. Sur Android 9 et au-dessus, si l'utilisateur a spécifié un fournisseur DNS-over-TLS dans les paramètres DNS privés, Chrome peut utiliser le fournisseur DoH associé, et reviendra au système DNS privé en cas d'erreur », a-t-il ajouté.

Le protocole DNS-over-TLS en question fonctionne en chiffrant le trafic DNS réel envoyé sur le port 853, plutôt que de le rediriger sur le port 443. Il s'agit d'un protocole considéré comme supérieur à celui du DoH.

Toutefois, les utilisateurs de Chrome ne sont pas obligés de participer à l’expérience Chrome DoH annoncée par Google. Pour ceux qui ne veulent pas être inclus dans l’expérience, Google dit qu’ils peuvent basculer chez un fournisseur DNS qui n'est pas sur sa liste – ce que la plupart des utilisateurs de Chrome font déjà – ou ils peuvent désactiver le support DoH en modifiant le drapeau chrome://flags/#dns-over-https. Par contre, s'ils veulent participer à l'expérience Chrome DoH, ils doivent configurer leur système d'exploitation pour utiliser les serveurs DNS des fournisseurs énumérés ci-dessus, d’après Google.

Aussi, si vous voulez activer DoH dès maintenant et ne voulez pas attendre jusqu'en fin octobre, Google dit que la seule façon d'utiliser DoH dans Chrome est de l'activer manuellement par un processus compliqué qui consiste à ajouter un argument de ligne de commande au raccourci exécutable Chrome.

L’une des plaintes des FAI à propos de l’ajout de DoH au navigateur est qu’ils ne peuvent plus jeter un coup d'œil dans le trafic DNS, ce qu’ils pouvaient faire avec les requêtes DNS en texte clair. Chrome n’échappera pas à cette discussion. Google prévoit un lancement à grande échelle pour plus tard si tout se déroule comme prévu.

Sources : Blog Chromium, Chromium

Et vous ?

Qu'en pensez-vous ?
Quels commentaires faites-vous de l’introduction du DoH par Google ?
Selon vous, pourquoi Google a attendu longtemps avant d’ajouter le DoH à Chrome ?

Lire aussi

Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump
Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées, en activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis, suite à une violation de données répertoriée
Firefox empêche désormais les sites Web et les annonceurs de vous suivre, et met fin au suivi de Facebook à partir des boutons "Partager" et "J'aime"
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS, qui s'appuie par défaut sur les serveurs Cloudfare

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Refuznik
Membre averti https://www.developpez.com
Le 02/10/2019 à 13:42
Je suis pour les dns chiffrés.

Sinon pour rassurer tous le monde avant de lire n'importe quoi (comme sur LinuxFR) l'option étant déja dispos sur Firefox.
C'est une option à cocher ou non donc vous n'êtes pas obligé de l'activer et de passer par Cloudfare.
Et vous avez aussi l'option pour utiliser vos propres dns chiffrés.

Bref ceux qui crie au scandale ce sont des gens qui ne veulent pas de chiffrement.
5  0 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 02/10/2019 à 11:38
Sur le principe, Google a raison de pousser une techno qui protège les utilisateurs.
Tant qu'ils ne poussent pas leurs propres serveurs DNS, tout va bien.
Ne crions pas au loup trop tôt
5  1 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 11/11/2019 à 11:05
Citation Envoyé par ddoumeche Voir le message
Je dis que c'est très bien, une raison supplémentaire de ne plus utiliser Firefox, un navigateur qui ne veut plus jouer le jeu du partage des tâches.
Quelles sont les autres raisons ?
Quel est ce "jeu du partage des tâches" ?
2  0 
Avatar de walfrat
Membre actif https://www.developpez.com
Le 03/10/2019 à 17:18
Citation Envoyé par Refuznik Voir le message
Je suis pour les dns chiffrés.

Sinon pour rassurer tous le monde avant de lire n'importe quoi (comme sur LinuxFR) l'option étant déja dispos sur Firefox.
C'est une option à cocher ou non donc vous n'êtes pas obligé de l'activer et de passer par Cloudfare.
Et vous avez aussi l'option pour utiliser vos propres dns chiffrés.

Bref ceux qui crie au scandale ce sont des gens qui ne veulent pas de chiffrement.
Oui... et non. Car si on regarde sur le monde entier, il n'y a pas 5% de la population qui iront regarder ça, encore moins se faire son réglage vers un autre DNS chiffré. Donc au moment (si ce n'est pas déjà le cas) où Chrome activera cette option par défaut, ce sera tout pour Google (à quelque miettes bien négligeable pour lui), ce qui sera sans aucun doute vu comme de la concurrence déloyale.

De plus on parle aussi de l'écologie, le HTTPS partout ce n'est pas négligeable surtout par dessus des flux vidéos (best-of : Streaming genre Twitch).

Par ailleurs, je ne ferait pas de commentaire du type "les autres 95% devraient sans soucier". Faire la liste de tous les paramètres logiciels sur chaque application qu'on devrait se soucier parce que les options activer automatiquement ne sont pas toujours dans notre propre intérêt, ça mériterait presque d'être un sujet de thèse à renouveler tous les deux/trois ans.
1  0 
Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 09/11/2019 à 18:54
Bonjour,

Je suis opérateur (FAI) (un petit, pas un des 4 grands).

En tant qu'usager je ne trouve pas terrible d'utiliser un résolveur qui est centralisé dans un gros DC chez cloudflare ou google. Surtout que ces gens là ne se privent pas de faire du profilage avec les données de requêtes.
Le mieux, c'est quand même d'avoir son propre résolveur.

mais surtout je trouve anormal que le browser ait son propre système de résolution DNS indépendant de celui de la machine où il tourne.

si tu as un résolveur local ou si t'as mofifié ton fichier etc/hosts pour qui dire que chezmoi.fr c'est un serveur local en 192.168.0.X. ou même en 127.0.0.1, il y a certainement une raison et le browser ne devrait pas l'ignorer.

D'autre part, si il y a en effet des possibilités de censure et de mensonge, une bonne part des interceptions DNS ne sont pas malveillantes et visent au contraire à résoudre des problèmes.

Exemple : Il y a presque 2 ans, quand il y a eu un gros problème avec 8.8.8.8 qui était injoignable depuis pas mal d'endroits, qu'est-ce que j'ai fait ?
bah j'ai fait un NAT bien sale qui redirigeait temporairement les requêtes vers mon propre résolveur.
problème réglé en 2 minutes et clients contents.

Et bien demain quand le serveur DoH de cloudflare sera HS, (et il le sera parce que tôt ou tard parce qu'il va se prendre des DDoS monstrueux) Et bien ça ne sera pas mon problème...

"Sisi monsieur, vous avez le net. ça ping. C'est le serveur DNS de cloudflare qui est mort. démerdez vous."

Bref, je ne dis pas que DoH est à jeter mais que ça n'est pas sans poser d'autres problèmes potentiellement plus graves.

Donc, si je salue l'existence de ce nouveau protocole, je ne suis en revanche pas du tout enthousiaste à l'idée de sa généralisation là où ça n'est pas nécessaire.
2  1 
Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 09/11/2019 à 19:01
Depuis quand c'est un rôle dévolu à l'ISP de fournir des services de résolution de nom ?
L'ISP fournis un service de résolution de nom parce que l'usager n'est pas foutu de monter son propre resolveur.
Mais aucun ISP (sérieux) n’empêche ses client d'utiliser un autre resolveur que le sien.

Pour la peine je serais tout à fait pour qu'ils est l'obligation légale de publié une liste des données récoltés chez leurs clients et des traitements qu'ils en font
Je suis d'accord. Pour ma part, la déclaration est vite faite : Aucune collecte et donc aucun traitement
1  0 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 10/11/2019 à 13:55
Evidemement puisqu'ils sont tous basés sur Chromium ils suivent leur maitre.

Firefox a initié le mouvement, il est le fer de lance de la protection de la vie privée.

Safari on sait pas. Vous dites "y a de fortes chances que" mais vous n'en savez rien.

Proposer l'option est une bonne chose, l'activer par défaut ne l'est pas à mon avis.
2  1 
Avatar de Cryde
Membre du Club https://www.developpez.com
Le 11/11/2019 à 21:14
Il faut noter en + que pour Firefox vous pouvez choisir de mentionner votre propre DNS-over-HTTPS (si vous ne voulez pas celui de Cloudflare)
1  0 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 12/11/2019 à 14:55
Citation Envoyé par pcdwarf Voir le message
Je suis certain que ça va poser des problèmes en entreprise.

comment ça ? serveur.local est injoignable ?
Et bah interroge donc le dns que le DHCP t'as donné. Peut-être qu'il le sait lui quelle est d'adresse de serveur.local
Ils ont prévu un mécanisme pour éviter ça.
Aux administrateurs informatiques de se tenir informé, la veille fait partie de leur métier.
1  0 
Avatar de mh-cbon
Membre extrêmement actif https://www.developpez.com
Le 12/09/2019 à 10:34
d'un point de vu plus technique...

On note l'arrivé d'un nouveau type de média "application/dns-message"
https://tools.ietf.org/html/rfc8484#section-6

Le protocole autorise les requête GET via une variable d'URL définie par un template (la rfc présente un cas utilisant un service utilisant la variable dns section 4.1.1), ou des requêtes POST
utilisant le le corps du message pour transmettre la requête.
https://tools.ietf.org/html/rfc8484#section-4
Le contenu est une requête DNS (comme présenté ici https://tools.ietf.org/html/rfc1035)
encodé au base64url (cf particularités sur le padding).

Comme c'est du HTTP, c'est facile à mettre en cache.
Comme c'est du HTTP, y'a des codes d'erreurs de retours (différent de dns classique).
En bref on ré utilise toute l'architecture construite autour d'http pour faire du dns.
0  0