IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Ungleich : désactivez Firefox DNS-over-HTTPS (DoH), maintenant,
Car c'est très mauvais pour nous tous, à bien des égards

Le , par Stan Adkens

98PARTAGES

16  0 
Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées
En activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla

Mozilla continue dans son processus de renforcement de la vie privée des utilisateurs sur son navigateur Firefox. Une nouvelle composante de la vie privée en ligne que le développeur de navigateur Internet veut commencer à ajouter à la fin de ce mois après deux ans de travail, c’est le protocole DNS-over-HTTPS (DoH). Le DNS sur HTTPS deviendra progressivement la norme par défaut, à commencer par les États-Unis à partir de fin septembre, verrouillant une plus grande partie de la navigation sur le Web sans nécessiter un basculement explicite comme auparavant.

Le DoH sur Firefox devrait rendre vos habitudes en ligne d'autant plus privées et sécurisées, avec moins de risques de détournement de DNS et de surveillance de l'activité. Dans un billet de blog publié vendredi dernier, Mozilla a déclaré ceci :

« Après de nombreuses expériences, nous avons démontré que nous disposons d'un service fiable dont les performances sont bonnes, que nous pouvons détecter et atténuer les principaux problèmes de déploiement et que la plupart de nos utilisateurs bénéficieront des meilleures protections du trafic DNS chiffré ». L’entreprise a ajouté que « Nous sommes confiants que l'activation de DoH par défaut est la bonne étape suivante. Lorsque la fonction DoH est activée, les utilisateurs seront informés et auront la possibilité de s'en retirer ».


En effet, depuis 2017, Mozilla a commencé à travailler sur le protocole le DoH. Et à partir de juin 2018, l’entreprise a commencé à faire des essais du protocole avec son navigateur pour s’assurer que les performances et l'expérience utilisateur sont excellentes. Selon Mozilla, plusieurs utilisateurs n’ont pas hésité à adopter le DoH sur Firefox lors des essais. « Nous avons également été surpris et enthousiasmés par les plus de 70 000 utilisateurs qui ont déjà choisi d'activer explicitement DoH dans Firefox pour l’édition d’essai ».

Ce prochain déploiement du DoH dans Firefox est aussi motivé par les résultats de certaines recherches, selon le billet de Blog. En effet, l’entreprise a « constaté que les contrôles parentaux d'OpenDNS et la fonction de recherche sécurisée de Google étaient rarement configurés par les utilisateurs de Firefox aux États-Unis. Au total, 4,3 % des utilisateurs de l'étude ont utilisé les contrôles parentaux ou la recherche sécurisée d'OpenDNS ».

Se basant sur les résultats fiables obtenus lors de ses travaux avec la version d’essai d’DoH et les résultats de ses recherches, le développeur a rendu publique vendredi dernier son approche pour mettre en œuvre le protocole DoH dans son navigateur. Dans son plan de déploiement, l’entreprise dit qu’elle va :

« Respecter le choix de l'utilisateur pour les contrôles parentaux explicite et désactiver DoH si nous les détectons ; respecter la configuration de l'entreprise et désactiver DoH à moins que la configuration de l'entreprise ne l'autorise explicitement ; et enfin retourner aux valeurs par défaut du système d'exploitation pour les DNS lorsque la configuration à « split horizon » ou d'autres problèmes de DNS provoquent des échecs de recherche ».

Ce plan est prévu pour veiller à ce que les changements ne fassent pas disparaitre les mesures initiales de protection des utilisateurs. En effet, dans le trafic ouvert, les adresses IP et les activités de navigation peuvent être profilées et les requêtes interceptées et manipulées. Le protocole DoH chiffre les adresses des sites Web, contournant les fournisseurs d'accès Internet locaux et se connectant directement aux serveurs de noms centraux. Cela signifie que le trafic ne peut pas être détourné. Mais cela signifie aussi que bon nombre des outils de filtrage et de protection en place aujourd'hui, habituellement administrés par les fournisseurs d’accès à Internet, ne fonctionneront plus.

Pour cela, toutes les requêtes n'utiliseront pas HTTPS, d’après Mozilla. Mozilla s'appuie sur la méthode « fallback » qui revient au DNS par défaut du système d'exploitation s'il y a un besoin spécifique, comme certains contrôles parentaux et certaines configurations d'entreprise ou un échec flagrant de recherche. Ainsi, les choix des utilisateurs et des responsables informatiques qui ont besoin que la nouvelle fonctionnalité soit désactivée seront respectés, a déclaré Mozilla dans son billet de blog.

Mozilla dit qu'elle travaille avec les fournisseurs de contrôles parentaux et les FSI pour que tout cela fonctionne dans la pratique. La société exploitera un système où de telles protections « ajouteront un domaine canary à leurs listes de blocage ». Cela signifie, fournir un site délibérément bloqué aux listes qui alerteront Firefox, indiquant au navigateur qu'une protection est en place afin qu’il puisse bloquer le DoH.

Toutefois, une telle approche est susceptible d'être utilisée à mauvais escient par des attaquants, qui pourraient usurper le système pour bloquer le DoH pour de mauvaises raisons. Mais Mozilla a aussi déjà pensé à cette éventualité. Mozilla dit que s’il découvre un abus de la désactivation du DoH, « dans les situations où les utilisateurs n'ont pas explicitement choisi d'y participer, nous réexaminerons notre approche ».

Pas plus tard que le 4 septembre dernier, Mozilla a annoncé d’autres mesures de vie privée dans la nouvelle version de son système d’exploitation. Désormais, le navigateur de Mozilla va bloquer par défaut les cookies de pistage tiers. Cette protection améliorée sera automatiquement activée pour tous les utilisateurs. Les fonctions de confidentialité améliorées ont été testées sur les nouveaux utilisateurs depuis juin 2019 et couvrent actuellement 20 % des utilisateurs Firefox. Ce pourcentage va passer à 100 %. Mozilla a également annoncé son intention de bloquer les mineurs de cryptomonnaies par défaut. Grâce à cette mesure, les sites Web tiers ne pourront utiliser les ressources informatiques des visiteurs sans leur consentement.

En ce qui concerne le DoH, Mozilla dit qu’il va effectuer un déploiement progressif aux États-Unis « à partir de fin septembre ». Dans un premier temps, un plus petit pourcentage d'utilisateurs verront le changement, Mozilla « surveillant tous les problèmes » avant que le déploiement ne soit étendu. « Si tout se passe bien », a dit la compagnie, « nous vous ferons savoir quand nous serons prêts pour un déploiement à 100% », a-t-elle ajouté. Les États-Unis sont les premiers, mais le reste du monde pourra suivre.

Pour l’heure, la compagnie encourage les administrateurs d'entreprise et les fournisseurs de contrôle parental à consulter sa documentation de configuration ici et à la contacter pour toute question. Cependant, l'introduction du DoH par défaut ne serait-elle pas préjudiciable à la sécurité en ligne, à la cybersécurité et au choix des consommateurs ?

Sources : Mozilla

Et vous ?

Qu’en pensez-vous ?
Quels commentaires faites-vous de l’introduction du DoH par défaut dans Firefox ?
Êtes-vous pour ou contre l’utilisation du DoH par défaut ?

Lire aussi

Firefox empêche désormais les sites Web et les annonceurs de vous suivre, et met fin au suivi de Facebook à partir des boutons "Partager" et "J'aime"
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis, suite à une violation de données répertoriée
Firefox 69.0 débarque avec le blocage des traceurs et des mineurs de cryptomonnaies par défaut, et propose le blocage de la lecture automatique des médias
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis, suite à une violation de données répertoriée
Mozilla ajoute un nouvel interpréteur JavaScript plus rapide dans Firefox 70, et promet des gains de performance non négligeables avec le navigateur qui sortira en octobre
Vous avez lu gratuitement 4 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de bk417
Membre actif https://www.developpez.com
Le 12/09/2019 à 17:33
Citation Envoyé par Aiekick Voir le message
les abus des monopole. finalement FireFox vaut pas mieux que Google faut croire.

mème si les fourniserus doh ont signé l'accord de non divulgation, le fait qu'il pussent sniffer les datas sans être inquiété est la preuve qu'il vont pas ce priver pour le faire.
Firefox n'a aucun monopole avec ses pauvres 4,6% de part de marché.
7  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 12/09/2019 à 19:08
Citation Envoyé par abriotde Voir le message
Après rien ne passe par le DNS,
Ce qui passe déjà, c'st le site que tu souhaite visiter. C'est déjà à elle seule une info de taille.

Citation Envoyé par abriotde Voir le message
la requête est faite une fois puis mise en cache.
La mise en cache a une durée de vie limitée. Passer cette durée, même si l'adresse est déjà connue, le dns est systématiquement re-interrogé.
La durée de vie de certains enregistrements dns est paramétrée à moins de 3 min. La pluspart sont généralement de l'ordre de 12 à 24h.

Citation Envoyé par abriotde Voir le message
Autre point si le DoH de Firefox ment cela fera très vite scandale
Ah bon ? Parce que les dns menteurs classiques actuels font scandale ?
Sur ce point il n'y aura pas plus de scandale. 99% des utilisateurs ne s'en rendront même pas compte, et non, de toute façon, pas les connaissances pour comprendre ce qu'il se passe.

Citation Envoyé par abriotde Voir le message
Il peut vous faire croire que vous êtes sur le site de votre banque alors que vous êtes sur son site grâce a votre DNS.
Sur ce point aucun changement, la faille existe toujours.
Ce n'est pas la réponse du dns qui est fiabilisée, c'est juste le tuyau de transport de la requête et de la réponse qui est chiffré.

Citation Envoyé par abriotde Voir le message
c'est Tor (appelé dark-web).
Faut quand même pas non plus tout mélanger.
TOR est un protocole d'établissement de connexion.
Le dark-web est une partie du web cachée. Et même si une toute petite partie spécifique de ce dark-web n'est accessible que par TOR, le dark-web ne se limite pas à TOR, bien au contraire. Et TOR est un outil qui peut tout aussi être utilisé sur le web classique.
7  0 
Avatar de Max Lothaire
Membre confirmé https://www.developpez.com
Le 13/09/2019 à 7:08
Ce qui est le plus énervant, c'est de s'embêter à configurer son résolveur (qui passe directement par les racines) chez soi, avec le dhcp qui va bien pour que tous les hôtes qui se connectent à son réseau l'utilisent, et que les applications qui usent le plus du DNS (les navigateurs) décident de s'en foutre.
Surtout quand tu as un domaine en *.lan qui ne marche que chez toi et qui ne fonctionnera plus du tout parce que ton DNS ne sera jamais interrogé.
3  0 
Avatar de vanquish
Membre chevronné https://www.developpez.com
Le 13/09/2019 à 8:57
Citation Envoyé par Steinvikel Voir le message
Que pensez-vous ?

En faite la formulation est trompeuse, car elle laisse penser que Mozilla paramètre Cloudflare par défaut mais vous laisse le choix... alors qu'en vérité, elle vous impose Cloudflare sans possibilité de le changer.
Absolument pas !
Quand on active l'option, une liste déroulante présente les choix CloudFlare et Autre.
Si on sélectionne "autre", on peut saisir l'adresse de n'importe quel DNS qui supporte le protocole.

Donc il n'y a que CloudFlare qui est pré-paramétré.
C'est sans aucun doute un moyen de financement pour Mozilla, tout comme le moteur de recherche paramétré par défaut.

Mais si les utilisateurs non averti vont être redirigé sans le savoir (ce qui peut être considéré comme un problème), les utilisateurs averti font et continueront de faire ce qu'ils veulent : activer ou pas, sur CloudFlare ou pas.

Pour ce qui est de l'espionnage, les US ont déjà bien d'autres moyens : des bouton Facebook ou Twitter en passant par Google Analytics et sans compter l'interrogation des bases pour savoir si la page visitée est sûre quand la protection de navigation est activé.
3  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 12/09/2019 à 19:52
Que pensez-vous ?
Citation Envoyé par Stan Adkens Voir le message
permettre aux utilisateurs de s'inscrire facilement et sélectionner le fournisseur DoH qu’ils veulent au lieu de choisir par défaut Cloudflare.
En faite la formulation est trompeuse, car elle laisse penser que Mozilla paramètre Cloudflare par défaut mais vous laisse le choix... alors qu'en vérité, elle vous impose Cloudflare sans possibilité de le changer.

De quoi vous vous préoccupez personnellement dans le cadre de l’implémentation de DoH dans les navigateurs ?
S'il était possible de paramétrer à quel DNS on souhaite communiquer, je ne verrais alors plus qu'un défaut : pourquoi choisir par défaut un acteur qui présente assez peu de garanties sur le respect de la vie privée, en comparaison d'une organisation à but non lucratif de grande ampleur tel que Quad9 (9.9.9.9) ?

Pensez-vous aussi que le DoH Firefox est très dangereux pour tout le monde ?
Oui, principalement parce que la seule chose qui contraint l'acteur en question c'est un contrat où il dit "promis je ferais pas ce que je fait d'habitude et je dis ainsi non à une bonne part du gâteau", aucun mécanisme de contrôle ne semble mis en oeuvre, ça repose uniquement sur de la confiance. N'y a-t-il pas eu assez de précédents pour se retrouver dans cette situation ?
Firefox a des réglages par défauts différents pour les moteurs de recherche en fonction des pays de l'utilisateur... pourquoi les paramétrages pour le DoH serait-il unique ? ...ça sent le contrat à plein nez.

Les paramètres par défaut sont très très important en terme de répercutions sur le marché... la grande majorité de la masse ne changera pas ses paramètres --> "j'y connais rien, et ça marche très bien comme ça !"
1  0 
Avatar de DevTroglodyte
Membre extrêmement actif https://www.developpez.com
Le 13/09/2019 à 8:52
Citation Envoyé par sevyc64 Voir le message
Je suis aussi dans ce cas, tant personnel que professionnel, et si le navigateur ne permet pas facilement de configurer(désactiver) cela, il sera tout simplement banni. En espérant qu'à terme il en reste au moins un de potable qui permette de gérer correctement cette situation.
C'est un simple radio button avec un petit formulaire pour choisir (dans une liste ou via un champ de saisie) le DNS ciblé. Enfin, pour l'instant.
1  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 13/09/2019 à 19:24
Citation Envoyé par vanquish Voir le message

Quand on active l'option, une liste déroulante présente les choix CloudFlare et Autre.
Si on sélectionne "autre", on peut saisir l'adresse de n'importe quel DNS qui supporte le protocole.
Mais justement, est-ce que "Autre" permet de sélectionner un DNS standard, pas DoH, localhost en l’occurrence pour moi en perso, par exemple?
C'est bien là, l'enjeu, est-ce que DoH est tout simplement totalement désactivable, ou est-il imposé, quelque soit le serveur utilisé ?
1  0 
Avatar de strato35
Membre éclairé https://www.developpez.com
Le 12/09/2019 à 17:46
Citation Envoyé par Aiekick Voir le message
les abus des monopole. finalement FireFox vaut pas mieux que Google faut croire.

mème si les fourniserus doh ont signé l'accord de non divulgation, le fait qu'il pussent sniffer les datas sans être inquiété est la preuve qu'il vont pas ce priver pour le faire.
Cet été, j’étais seul au bureau pendant au moins 1 semaine. J'aurai pu bosser à poil sans être inquiété et pourtant malgré la chaleur j'ai au moins conservé mon pantalon alors que techniquement, j'aurai pu ne pas ne priver puisque personne ne l'aurai su.
Exemple absurde certes mais c'est pas parce qu'on peut faire quelque chose qu'on le fait forcément...

Mais je reste d'accord sur un point, il ne faut pas qu'un seul fournisseur ai le monopole et plutôt attendre d'avoir d'autres alternatives pour activer la fonctionnalité, et surtout laisser le choix à l'utilisateur de quels autres fournisseurs Firefox doit utiliser.
Avec bien-sûr un choix par défaut plus large qu'actuellement pour les utilisateurs lambda qui ne souhaitent pas s'occuper d'une phase de personnalisation.

Bref tant que ce sera comme ça je désactiverai mais dès qu'une alternative se présentera je reviendrai sur mon jugement.
0  0 
Avatar de spyserver
Membre confirmé https://www.developpez.com
Le 12/09/2019 à 19:39
Moi j'ai activé DNScrypt (conçu par un français il me semble) directement au niveau de mon routeur et c'est encore plus simple
0  0 
Avatar de Lordanonymous
Candidat au Club https://www.developpez.com
Le 12/09/2019 à 22:09
Un truc que je ne comprend pas et qui n'est jamais traité c'est pourquoi ne pas utiliser la norme DNSSEC et par extension le protocole DANE (histoire de ce débarrasser une bonne fois pour toute des autorités de certification - une pierre deux coup) ?
Tout les navigateurs s'en sont détournés sans jamais rien expliquer et maintenant ils font passer du DNS dans du HTTPS (n*que le modèle OSI).

Leur prochaine lubie ce sera des paquets IPSec dans des GIF par stéganographie au travers du HTTPS si ça continu comme ça...

Franchement c'est à n'y rien comprendre .
0  0