Ungleich : désactivez Firefox DNS-over-HTTPS (DoH), maintenant,

Car c'est très mauvais pour nous tous, à bien des égards

Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées
En activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla

Mozilla continue dans son processus de renforcement de la vie privée des utilisateurs sur son navigateur Firefox. Une nouvelle composante de la vie privée en ligne que le développeur de navigateur Internet veut commencer à ajouter à la fin de ce mois après deux ans de travail, c’est le protocole DNS-over-HTTPS (DoH). Le DNS sur HTTPS deviendra progressivement la norme par défaut, à commencer par les États-Unis à partir de fin septembre, verrouillant une plus grande partie de la navigation sur le Web sans nécessiter un basculement explicite comme auparavant.

Le DoH sur Firefox devrait rendre vos habitudes en ligne d'autant plus privées et sécurisées, avec moins de risques de détournement de DNS et de surveillance de l'activité. Dans un billet de blog publié vendredi dernier, Mozilla a déclaré ceci :

« Après de nombreuses expériences, nous avons démontré que nous disposons d'un service fiable dont les performances sont bonnes, que nous pouvons détecter et atténuer les principaux problèmes de déploiement et que la plupart de nos utilisateurs bénéficieront des meilleures protections du trafic DNS chiffré ». L’entreprise a ajouté que « Nous sommes confiants que l'activation de DoH par défaut est la bonne étape suivante. Lorsque la fonction DoH est activée, les utilisateurs seront informés et auront la possibilité de s'en retirer ».


En effet, depuis 2017, Mozilla a commencé à travailler sur le protocole le DoH. Et à partir de juin 2018, l’entreprise a commencé à faire des essais du protocole avec son navigateur pour s’assurer que les performances et l'expérience utilisateur sont excellentes. Selon Mozilla, plusieurs utilisateurs n’ont pas hésité à adopter le DoH sur Firefox lors des essais. « Nous avons également été surpris et enthousiasmés par les plus de 70 000 utilisateurs qui ont déjà choisi d'activer explicitement DoH dans Firefox pour l’édition d’essai ».

Ce prochain déploiement du DoH dans Firefox est aussi motivé par les résultats de certaines recherches, selon le billet de Blog. En effet, l’entreprise a « constaté que les contrôles parentaux d'OpenDNS et la fonction de recherche sécurisée de Google étaient rarement configurés par les utilisateurs de Firefox aux États-Unis. Au total, 4,3 % des utilisateurs de l'étude ont utilisé les contrôles parentaux ou la recherche sécurisée d'OpenDNS ».

Se basant sur les résultats fiables obtenus lors de ses travaux avec la version d’essai d’DoH et les résultats de ses recherches, le développeur a rendu publique vendredi dernier son approche pour mettre en œuvre le protocole DoH dans son navigateur. Dans son plan de déploiement, l’entreprise dit qu’elle va :

« Respecter le choix de l'utilisateur pour les contrôles parentaux explicite et désactiver DoH si nous les détectons ; respecter la configuration de l'entreprise et désactiver DoH à moins que la configuration de l'entreprise ne l'autorise explicitement ; et enfin retourner aux valeurs par défaut du système d'exploitation pour les DNS lorsque la configuration à « split horizon » ou d'autres problèmes de DNS provoquent des échecs de recherche ».

Ce plan est prévu pour veiller à ce que les changements ne fassent pas disparaitre les mesures initiales de protection des utilisateurs. En effet, dans le trafic ouvert, les adresses IP et les activités de navigation peuvent être profilées et les requêtes interceptées et manipulées. Le protocole DoH chiffre les adresses des sites Web, contournant les fournisseurs d'accès Internet locaux et se connectant directement aux serveurs de noms centraux. Cela signifie que le trafic ne peut pas être détourné. Mais cela signifie aussi que bon nombre des outils de filtrage et de protection en place aujourd'hui, habituellement administrés par les fournisseurs d’accès à Internet, ne fonctionneront plus.

Pour cela, toutes les requêtes n'utiliseront pas HTTPS, d’après Mozilla. Mozilla s'appuie sur la méthode « fallback » qui revient au DNS par défaut du système d'exploitation s'il y a un besoin spécifique, comme certains contrôles parentaux et certaines configurations d'entreprise ou un échec flagrant de recherche. Ainsi, les choix des utilisateurs et des responsables informatiques qui ont besoin que la nouvelle fonctionnalité soit désactivée seront respectés, a déclaré Mozilla dans son billet de blog.

Mozilla dit qu'elle travaille avec les fournisseurs de contrôles parentaux et les FSI pour que tout cela fonctionne dans la pratique. La société exploitera un système où de telles protections « ajouteront un domaine canary à leurs listes de blocage ». Cela signifie, fournir un site délibérément bloqué aux listes qui alerteront Firefox, indiquant au navigateur qu'une protection est en place afin qu’il puisse bloquer le DoH.

Toutefois, une telle approche est susceptible d'être utilisée à mauvais escient par des attaquants, qui pourraient usurper le système pour bloquer le DoH pour de mauvaises raisons. Mais Mozilla a aussi déjà pensé à cette éventualité. Mozilla dit que s’il découvre un abus de la désactivation du DoH, « dans les situations où les utilisateurs n'ont pas explicitement choisi d'y participer, nous réexaminerons notre approche ».

Pas plus tard que le 4 septembre dernier, Mozilla a annoncé d’autres mesures de vie privée dans la nouvelle version de son système d’exploitation. Désormais, le navigateur de Mozilla va bloquer par défaut les cookies de pistage tiers. Cette protection améliorée sera automatiquement activée pour tous les utilisateurs. Les fonctions de confidentialité améliorées ont été testées sur les nouveaux utilisateurs depuis juin 2019 et couvrent actuellement 20 % des utilisateurs Firefox. Ce pourcentage va passer à 100 %. Mozilla a également annoncé son intention de bloquer les mineurs de cryptomonnaies par défaut. Grâce à cette mesure, les sites Web tiers ne pourront utiliser les ressources informatiques des visiteurs sans leur consentement.

En ce qui concerne le DoH, Mozilla dit qu’il va effectuer un déploiement progressif aux États-Unis « à partir de fin septembre ». Dans un premier temps, un plus petit pourcentage d'utilisateurs verront le changement, Mozilla « surveillant tous les problèmes » avant que le déploiement ne soit étendu. « Si tout se passe bien », a dit la compagnie, « nous vous ferons savoir quand nous serons prêts pour un déploiement à 100% », a-t-elle ajouté. Les États-Unis sont les premiers, mais le reste du monde pourra suivre.

Pour l’heure, la compagnie encourage les administrateurs d'entreprise et les fournisseurs de contrôle parental à consulter sa documentation de configuration ici et à la contacter pour toute question. Cependant, l'introduction du DoH par défaut ne serait-elle pas préjudiciable à la sécurité en ligne, à la cybersécurité et au choix des consommateurs ?

Sources : Mozilla

Et vous ?

Qu’en pensez-vous ?
Quels commentaires faites-vous de l’introduction du DoH par défaut dans Firefox ?
Êtes-vous pour ou contre l’utilisation du DoH par défaut ?

Lire aussi

Firefox empêche désormais les sites Web et les annonceurs de vous suivre, et met fin au suivi de Facebook à partir des boutons "Partager" et "J'aime"
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis, suite à une violation de données répertoriée
Firefox 69.0 débarque avec le blocage des traceurs et des mineurs de cryptomonnaies par défaut, et propose le blocage de la lecture automatique des médias
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis, suite à une violation de données répertoriée
Mozilla ajoute un nouvel interpréteur JavaScript plus rapide dans Firefox 70, et promet des gains de performance non négligeables avec le navigateur qui sortira en octobre