Ungleich : désactivez Firefox DNS-over-HTTPS (DoH), maintenant,

Car c'est très mauvais pour nous tous, à bien des égards

Ungleich : désactivez Firefox DNS-over-HTTPS (DoH), maintenant
Car c'est très mauvais pour nous tous, à bien des égards

Après deux ans de travail sur le DNS-over-HTTPS (DoH), Mozilla a annoncé vendredi une activation progressive du protocole par défaut pour les utilisateurs de Firefox aux États-Unis plus tard ce mois-ci. Quand Mozilla a annoncé qu'il travaillait pour soutenir DoH dans Firefox, l’annonce a déclenché une controverse dès le départ. La nouvelle a suscité la joie dans certaines communautés tandis qu’elle n’a pas été bien accueillie dans certains groupes.

En effet, les défenseurs de la vie privée se sont réjouis, et pour de bonnes raisons, car DoH permettrait aux dissidents et autres groupes opprimés de contourner les filtres de trafic Web mis en place dans les régimes oppressifs. Tandis que cette possibilité de contournement des filtres Web faisait fâcher dans les environnements des fournisseurs d’accès à Internet, qui s’en servent justement pour filtrer le trafic des mauvais sites, imposer des blocs de sites autorisés par la loi ou collecter l'historique de navigation des utilisateurs pour le revendre aux annonceurs.


DoH Firefoxe signifie que Firefox concentrera tout le trafic DNS sur Cloudflare, en envoyant les requêtes DNS de tous les utilisateurs de Firefox aux Etats-Unis aux résolveurs DNS compatibles DoH du fournisseur. Et comme le support de DoH s'étendra plus tard pour inclure également les serveurs DNS fournis par les fournisseurs de services Internet, ce mécanisme de « changement de fournisseur » permettra à DoH de contourner les filtres DNS mis en place au niveau des FAI pour empêcher l'accès aux contenus pédopornographiques ou légalement requis par des listes de blocage au niveau national.

Le cercle de protestation contre le DoH Firefox continue de s’agrandir. Ungleich, un acteur du numérique a déclaré mercredi dans un billet de blog que le déploiement du DNS-over-HTTPS annoncé par Mozilla est très mauvais à bien des égards, pour nous tous. Par conséquent, le site Web incite les utilisateurs à désactiver le protocole sur leur navigateur Firefox.

Ungleich pensait que des discussions animées et préoccupantes sur cette question allaient depuis lors pousser Mozilla à faire « le bon choix et ne pas s'engager dans la mauvaise direction, mais notre peur devient une réalité imminente » avec l’annonce de Mozilla. Le site Web dit avoir lui-même écrit un article pour attirer l’attention sur la nouvelle résolution DNS de Mozilla comme étant très dangereuse.

Quelques raisons pour lesquelles le DoH Firefox est mauvais, selon Ungleich

Selon le site Web, « DoH signifie que Firefox concentrera tout le trafic DNS sur Cloudflare, et qu'il enverra le trafic de tous ses utilisateurs vers une seule entité ». Pour Ungleich, cela voudrait dire que les personnes à l'extérieur des États-Unis peuvent maintenant être entièrement suivies par le gouvernement américain, au grand dam de certains règlements comme le RGDP (Règlement général de l'UE sur la protection des données). « Il est en effet très douteux que le DoH soit déployé par défaut, puisque les utilisateurs ne choisissent PAS d'y participer, mais doivent s'en retirer », peut-on lire dans le billet de blog.



Selon le billet de blog, l’implémentation de DoH par Firefox n’est pas seulement mauvaise pour les utilisateurs en dehors des Etats-Unis. Elle l’est aussi pour les citoyens américains, « parce que, que vous fassiez confiance à Cloudflare ou non, vous finirez par supporter directement la centralisation en utilisant DoH dans Firefox ». Selon le billet de blog, la centralisation voulue par Mozilla fait dépendre les Américains d'un seul grand acteur, ce qui se traduit par moins de choix et va contre l'innovation. Ungleich dit que la centralisation de la résolution DNS affecte tout le monde en créant un dangereux déséquilibre de pouvoir et de ressources entre le centre et le reste.

Cependant, selon un commentateur du sujet, l’idée que Firefox dirigera par défaut les requêtes DoH vers les serveurs DNS exploités par CloudFlare aux États-Unis signifie que CloudFlare a la possibilité de voir les requêtes des utilisateurs est erronée. Selon le commentateur, Mozilla a mis en place une politique TRR (Trusted Recursive Resolver) qui interdit à CloudFlare ou à tout autre partenaire du DoH Firefox de collecter des informations d'identification personnelle. Pour atténuer ce risque, les partenaires sont contractuellement tenus de respecter cette politique, peut-on lire dans le commentaire.

Ce qui convient de faire pour une implémentation judicieuse du DoH, selon Ungleich

Selon le billet de Blog, la bonne façon serait d'uniformiser DoH et DoT, et d'ajouter le support dans les configurations d'adresses automatiques et les systèmes d'exploitation et non pas dans les applications. Ungleich dit également que Mozilla peut et doit annuler le changement qui concentre les requêtes vers un seul fournisseur DoH et permettre aux utilisateurs de s'inscrire facilement et sélectionner le fournisseur DoH qu’ils veulent au lieu de choisir par défaut Cloudflare.

Aussi, « Mozilla peut également prendre de vraies responsabilités et collaborer avec la communauté Internet et créer des RFC (requests for comments) pour que les publicités DHCPv4, DHCPv6 et routeur prennent en charge les URL DNS au lieu des adresses IP uniquement. Mozilla pourrait également aider à développer le support dans les systèmes d'exploitation, si la confidentialité était vraiment une préoccupation pour Mozilla », a écrit Ungleich.

Ungleich vous recommande absolument de désactiver DoH, si vous êtes dans la distribution de logiciels, « comme l'a fait un bon exemple d'OpenBSD ».


Si les choses restent en l’état, Ungleich exhorte les utilisateurs à utiliser des blogs ou tout autre moyen de communication Web pour pousser Mozilla à renoncer à son changement. Il dit que les utilisateurs peuvent aussi se plaindre directement à Mozilla via leur compte Twitter et Facebook. Une autre façon de faire est de changer le navigateur de Firefox, mais Ungleich ne sait pas quel autre navigateur recommander, car pour ce qui est de la protection de la vie privée, Firefox a été le dernier recours pour plusieurs personnes, selon la société.

Pour les FAI qui craignent que le DoH contourne leurs filtres Web, Mozilla a dit qu'après avoir activé DoH par défaut pour les utilisateurs américains, Firefox contiendra un mécanisme pour détecter la présence de tout logiciel de contrôle parental local ou de configurations d'entreprise. Si l'un d'entre eux est trouvé, Firefox désactivera automatiquement DoH, de sorte que le navigateur ne contournera pas les contrôles parentaux ou les configurations d'entreprise et les filtres de trafic qui ont été intentionnellement mis en place pour la sécurité des utilisateurs.

Google a aussi annoncé mardi qu’il va exécuter l’expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 de son navigateur qui sortira le 22 octobre prochain. Mais Google ne s’est pas limité à un seul fournisseur DoH.

Pour ceux qui veulent toutefois désactiver DoH dans leur navigateur Firefox, allez dans Paramètres->Paramètres réseau et décochez la case Activer DNS sur HTTPS. Alternativement, allez à about:config dans la barre d'adresse, recherchez network.trr.mode et réglez-le sur 5.

Sources : Ungleich

Et vous ?

Que pensez-vous ?
Pensez-vous aussi que le DoH Firefox est très dangereux pour tout le monde ?
De quoi vous vous préoccupez personnellement dans le cadre de l’implémentation de DoH dans les navigateurs ?

Lire aussi

Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome, à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain
Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées, en activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla
Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump
Mozilla ajoute un nouvel interpréteur JavaScript plus rapide dans Firefox 70, et promet des gains de performance non négligeables avec le navigateur qui sortira en octobre