Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Ungleich : désactivez Firefox DNS-over-HTTPS (DoH), maintenant,
Car c'est très mauvais pour nous tous, à bien des égards

Le , par Stan Adkens

58PARTAGES

16  0 
Après deux ans de travail sur le DNS-over-HTTPS (DoH), Mozilla a annoncé vendredi une activation progressive du protocole par défaut pour les utilisateurs de Firefox aux États-Unis plus tard ce mois-ci. Quand Mozilla a annoncé qu'il travaillait pour soutenir DoH dans Firefox, l’annonce a déclenché une controverse dès le départ. La nouvelle a suscité la joie dans certaines communautés tandis qu’elle n’a pas été bien accueillie dans certains groupes.

En effet, les défenseurs de la vie privée se sont réjouis, et pour de bonnes raisons, car DoH permettrait aux dissidents et autres groupes opprimés de contourner les filtres de trafic Web mis en place dans les régimes oppressifs. Tandis que cette possibilité de contournement des filtres Web faisait fâcher dans les environnements des fournisseurs d’accès à Internet, qui s’en servent justement pour filtrer le trafic des mauvais sites, imposer des blocs de sites autorisés par la loi ou collecter l'historique de navigation des utilisateurs pour le revendre aux annonceurs.


DoH Firefoxe signifie que Firefox concentrera tout le trafic DNS sur Cloudflare, en envoyant les requêtes DNS de tous les utilisateurs de Firefox aux Etats-Unis aux résolveurs DNS compatibles DoH du fournisseur. Et comme le support de DoH s'étendra plus tard pour inclure également les serveurs DNS fournis par les fournisseurs de services Internet, ce mécanisme de « changement de fournisseur » permettra à DoH de contourner les filtres DNS mis en place au niveau des FAI pour empêcher l'accès aux contenus pédopornographiques ou légalement requis par des listes de blocage au niveau national.

Le cercle de protestation contre le DoH Firefox continue de s’agrandir. Ungleich, un acteur du numérique a déclaré mercredi dans un billet de blog que le déploiement du DNS-over-HTTPS annoncé par Mozilla est très mauvais à bien des égards, pour nous tous. Par conséquent, le site Web incite les utilisateurs à désactiver le protocole sur leur navigateur Firefox.

Ungleich pensait que des discussions animées et préoccupantes sur cette question allaient depuis lors pousser Mozilla à faire « le bon choix et ne pas s'engager dans la mauvaise direction, mais notre peur devient une réalité imminente » avec l’annonce de Mozilla. Le site Web dit avoir lui-même écrit un article pour attirer l’attention sur la nouvelle résolution DNS de Mozilla comme étant très dangereuse.

Quelques raisons pour lesquelles le DoH Firefox est mauvais, selon Ungleich

Selon le site Web, « DoH signifie que Firefox concentrera tout le trafic DNS sur Cloudflare, et qu'il enverra le trafic de tous ses utilisateurs vers une seule entité ». Pour Ungleich, cela voudrait dire que les personnes à l'extérieur des États-Unis peuvent maintenant être entièrement suivies par le gouvernement américain, au grand dam de certains règlements comme le RGDP (Règlement général de l'UE sur la protection des données). « Il est en effet très douteux que le DoH soit déployé par défaut, puisque les utilisateurs ne choisissent PAS d'y participer, mais doivent s'en retirer », peut-on lire dans le billet de blog.


Selon le billet de blog, l’implémentation de DoH par Firefox n’est pas seulement mauvaise pour les utilisateurs en dehors des Etats-Unis. Elle l’est aussi pour les citoyens américains, « parce que, que vous fassiez confiance à Cloudflare ou non, vous finirez par supporter directement la centralisation en utilisant DoH dans Firefox ». Selon le billet de blog, la centralisation voulue par Mozilla fait dépendre les Américains d'un seul grand acteur, ce qui se traduit par moins de choix et va contre l'innovation. Ungleich dit que la centralisation de la résolution DNS affecte tout le monde en créant un dangereux déséquilibre de pouvoir et de ressources entre le centre et le reste.

Cependant, selon un commentateur du sujet, l’idée que Firefox dirigera par défaut les requêtes DoH vers les serveurs DNS exploités par CloudFlare aux États-Unis signifie que CloudFlare a la possibilité de voir les requêtes des utilisateurs est erronée. Selon le commentateur, Mozilla a mis en place une politique TRR (Trusted Recursive Resolver) qui interdit à CloudFlare ou à tout autre partenaire du DoH Firefox de collecter des informations d'identification personnelle. Pour atténuer ce risque, les partenaires sont contractuellement tenus de respecter cette politique, peut-on lire dans le commentaire.

Ce qui convient de faire pour une implémentation judicieuse du DoH, selon Ungleich

Selon le billet de Blog, la bonne façon serait d'uniformiser DoH et DoT, et d'ajouter le support dans les configurations d'adresses automatiques et les systèmes d'exploitation et non pas dans les applications. Ungleich dit également que Mozilla peut et doit annuler le changement qui concentre les requêtes vers un seul fournisseur DoH et permettre aux utilisateurs de s'inscrire facilement et sélectionner le fournisseur DoH qu’ils veulent au lieu de choisir par défaut Cloudflare.

Aussi, « Mozilla peut également prendre de vraies responsabilités et collaborer avec la communauté Internet et créer des RFC (requests for comments) pour que les publicités DHCPv4, DHCPv6 et routeur prennent en charge les URL DNS au lieu des adresses IP uniquement. Mozilla pourrait également aider à développer le support dans les systèmes d'exploitation, si la confidentialité était vraiment une préoccupation pour Mozilla », a écrit Ungleich.

Ungleich vous recommande absolument de désactiver DoH, si vous êtes dans la distribution de logiciels, « comme l'a fait un bon exemple d'OpenBSD ».


Si les choses restent en l’état, Ungleich exhorte les utilisateurs à utiliser des blogs ou tout autre moyen de communication Web pour pousser Mozilla à renoncer à son changement. Il dit que les utilisateurs peuvent aussi se plaindre directement à Mozilla via leur compte Twitter et Facebook. Une autre façon de faire est de changer le navigateur de Firefox, mais Ungleich ne sait pas quel autre navigateur recommander, car pour ce qui est de la protection de la vie privée, Firefox a été le dernier recours pour plusieurs personnes, selon la société.

Pour les FAI qui craignent que le DoH contourne leurs filtres Web, Mozilla a dit qu'après avoir activé DoH par défaut pour les utilisateurs américains, Firefox contiendra un mécanisme pour détecter la présence de tout logiciel de contrôle parental local ou de configurations d'entreprise. Si l'un d'entre eux est trouvé, Firefox désactivera automatiquement DoH, de sorte que le navigateur ne contournera pas les contrôles parentaux ou les configurations d'entreprise et les filtres de trafic qui ont été intentionnellement mis en place pour la sécurité des utilisateurs.

Google a aussi annoncé mardi qu’il va exécuter l’expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 de son navigateur qui sortira le 22 octobre prochain. Mais Google ne s’est pas limité à un seul fournisseur DoH.

Pour ceux qui veulent toutefois désactiver DoH dans leur navigateur Firefox, allez dans Paramètres->Paramètres réseau et décochez la case Activer DNS sur HTTPS. Alternativement, allez à about:config dans la barre d'adresse, recherchez network.trr.mode et réglez-le sur 5.

Sources : Ungleich

Et vous ?

Que pensez-vous ?
Pensez-vous aussi que le DoH Firefox est très dangereux pour tout le monde ?
De quoi vous vous préoccupez personnellement dans le cadre de l’implémentation de DoH dans les navigateurs ?

Lire aussi

Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome, à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain
Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées, en activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla
Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump
Mozilla ajoute un nouvel interpréteur JavaScript plus rapide dans Firefox 70, et promet des gains de performance non négligeables avec le navigateur qui sortira en octobre

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de bk417
Membre régulier https://www.developpez.com
Le 12/09/2019 à 17:33
Citation Envoyé par Aiekick Voir le message
les abus des monopole. finalement FireFox vaut pas mieux que Google faut croire.

mème si les fourniserus doh ont signé l'accord de non divulgation, le fait qu'il pussent sniffer les datas sans être inquiété est la preuve qu'il vont pas ce priver pour le faire.
Firefox n'a aucun monopole avec ses pauvres 4,6% de part de marché.
7  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 12/09/2019 à 19:08
Citation Envoyé par abriotde Voir le message
Après rien ne passe par le DNS,
Ce qui passe déjà, c'st le site que tu souhaite visiter. C'est déjà à elle seule une info de taille.

Citation Envoyé par abriotde Voir le message
la requête est faite une fois puis mise en cache.
La mise en cache a une durée de vie limitée. Passer cette durée, même si l'adresse est déjà connue, le dns est systématiquement re-interrogé.
La durée de vie de certains enregistrements dns est paramétrée à moins de 3 min. La pluspart sont généralement de l'ordre de 12 à 24h.

Citation Envoyé par abriotde Voir le message
Autre point si le DoH de Firefox ment cela fera très vite scandale
Ah bon ? Parce que les dns menteurs classiques actuels font scandale ?
Sur ce point il n'y aura pas plus de scandale. 99% des utilisateurs ne s'en rendront même pas compte, et non, de toute façon, pas les connaissances pour comprendre ce qu'il se passe.

Citation Envoyé par abriotde Voir le message
Il peut vous faire croire que vous êtes sur le site de votre banque alors que vous êtes sur son site grâce a votre DNS.
Sur ce point aucun changement, la faille existe toujours.
Ce n'est pas la réponse du dns qui est fiabilisée, c'est juste le tuyau de transport de la requête et de la réponse qui est chiffré.

Citation Envoyé par abriotde Voir le message
c'est Tor (appelé dark-web).
Faut quand même pas non plus tout mélanger.
TOR est un protocole d'établissement de connexion.
Le dark-web est une partie du web cachée. Et même si une toute petite partie spécifique de ce dark-web n'est accessible que par TOR, le dark-web ne se limite pas à TOR, bien au contraire. Et TOR est un outil qui peut tout aussi être utilisé sur le web classique.
7  0 
Avatar de Max Lothaire
Membre confirmé https://www.developpez.com
Le 13/09/2019 à 7:08
Ce qui est le plus énervant, c'est de s'embêter à configurer son résolveur (qui passe directement par les racines) chez soi, avec le dhcp qui va bien pour que tous les hôtes qui se connectent à son réseau l'utilisent, et que les applications qui usent le plus du DNS (les navigateurs) décident de s'en foutre.
Surtout quand tu as un domaine en *.lan qui ne marche que chez toi et qui ne fonctionnera plus du tout parce que ton DNS ne sera jamais interrogé.
3  0 
Avatar de vanquish
Membre éprouvé https://www.developpez.com
Le 13/09/2019 à 8:57
Citation Envoyé par Steinvikel Voir le message
Que pensez-vous ?

En faite la formulation est trompeuse, car elle laisse penser que Mozilla paramètre Cloudflare par défaut mais vous laisse le choix... alors qu'en vérité, elle vous impose Cloudflare sans possibilité de le changer.
Absolument pas !
Quand on active l'option, une liste déroulante présente les choix CloudFlare et Autre.
Si on sélectionne "autre", on peut saisir l'adresse de n'importe quel DNS qui supporte le protocole.

Donc il n'y a que CloudFlare qui est pré-paramétré.
C'est sans aucun doute un moyen de financement pour Mozilla, tout comme le moteur de recherche paramétré par défaut.

Mais si les utilisateurs non averti vont être redirigé sans le savoir (ce qui peut être considéré comme un problème), les utilisateurs averti font et continueront de faire ce qu'ils veulent : activer ou pas, sur CloudFlare ou pas.

Pour ce qui est de l'espionnage, les US ont déjà bien d'autres moyens : des bouton Facebook ou Twitter en passant par Google Analytics et sans compter l'interrogation des bases pour savoir si la page visitée est sûre quand la protection de navigation est activé.
3  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 12/09/2019 à 19:52
Que pensez-vous ?
Citation Envoyé par Stan Adkens Voir le message
permettre aux utilisateurs de s'inscrire facilement et sélectionner le fournisseur DoH qu’ils veulent au lieu de choisir par défaut Cloudflare.
En faite la formulation est trompeuse, car elle laisse penser que Mozilla paramètre Cloudflare par défaut mais vous laisse le choix... alors qu'en vérité, elle vous impose Cloudflare sans possibilité de le changer.

De quoi vous vous préoccupez personnellement dans le cadre de l’implémentation de DoH dans les navigateurs ?
S'il était possible de paramétrer à quel DNS on souhaite communiquer, je ne verrais alors plus qu'un défaut : pourquoi choisir par défaut un acteur qui présente assez peu de garanties sur le respect de la vie privée, en comparaison d'une organisation à but non lucratif de grande ampleur tel que Quad9 (9.9.9.9) ?

Pensez-vous aussi que le DoH Firefox est très dangereux pour tout le monde ?
Oui, principalement parce que la seule chose qui contraint l'acteur en question c'est un contrat où il dit "promis je ferais pas ce que je fait d'habitude et je dis ainsi non à une bonne part du gâteau", aucun mécanisme de contrôle ne semble mis en oeuvre, ça repose uniquement sur de la confiance. N'y a-t-il pas eu assez de précédents pour se retrouver dans cette situation ?
Firefox a des réglages par défauts différents pour les moteurs de recherche en fonction des pays de l'utilisateur... pourquoi les paramétrages pour le DoH serait-il unique ? ...ça sent le contrat à plein nez.

Les paramètres par défaut sont très très important en terme de répercutions sur le marché... la grande majorité de la masse ne changera pas ses paramètres --> "j'y connais rien, et ça marche très bien comme ça !"
1  0 
Avatar de DevTroglodyte
Membre extrêmement actif https://www.developpez.com
Le 13/09/2019 à 8:52
Citation Envoyé par sevyc64 Voir le message
Je suis aussi dans ce cas, tant personnel que professionnel, et si le navigateur ne permet pas facilement de configurer(désactiver) cela, il sera tout simplement banni. En espérant qu'à terme il en reste au moins un de potable qui permette de gérer correctement cette situation.
C'est un simple radio button avec un petit formulaire pour choisir (dans une liste ou via un champ de saisie) le DNS ciblé. Enfin, pour l'instant.
1  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 13/09/2019 à 19:24
Citation Envoyé par vanquish Voir le message
Quand on active l'option, une liste déroulante présente les choix CloudFlare et Autre.
Si on sélectionne "autre", on peut saisir l'adresse de n'importe quel DNS qui supporte le protocole.
Mais justement, est-ce que "Autre" permet de sélectionner un DNS standard, pas DoH, localhost en l’occurrence pour moi en perso, par exemple?
C'est bien là, l'enjeu, est-ce que DoH est tout simplement totalement désactivable, ou est-il imposé, quelque soit le serveur utilisé ?
1  0 
Avatar de strato35
Membre actif https://www.developpez.com
Le 12/09/2019 à 17:46
Citation Envoyé par Aiekick Voir le message
les abus des monopole. finalement FireFox vaut pas mieux que Google faut croire.

mème si les fourniserus doh ont signé l'accord de non divulgation, le fait qu'il pussent sniffer les datas sans être inquiété est la preuve qu'il vont pas ce priver pour le faire.
Cet été, j’étais seul au bureau pendant au moins 1 semaine. J'aurai pu bosser à poil sans être inquiété et pourtant malgré la chaleur j'ai au moins conservé mon pantalon alors que techniquement, j'aurai pu ne pas ne priver puisque personne ne l'aurai su.
Exemple absurde certes mais c'est pas parce qu'on peut faire quelque chose qu'on le fait forcément...

Mais je reste d'accord sur un point, il ne faut pas qu'un seul fournisseur ai le monopole et plutôt attendre d'avoir d'autres alternatives pour activer la fonctionnalité, et surtout laisser le choix à l'utilisateur de quels autres fournisseurs Firefox doit utiliser.
Avec bien-sûr un choix par défaut plus large qu'actuellement pour les utilisateurs lambda qui ne souhaitent pas s'occuper d'une phase de personnalisation.

Bref tant que ce sera comme ça je désactiverai mais dès qu'une alternative se présentera je reviendrai sur mon jugement.
0  0 
Avatar de spyserver
Membre averti https://www.developpez.com
Le 12/09/2019 à 19:39
Moi j'ai activé DNScrypt (conçu par un français il me semble) directement au niveau de mon routeur et c'est encore plus simple
0  0 
Avatar de Lordanonymous
Candidat au Club https://www.developpez.com
Le 12/09/2019 à 22:09
Un truc que je ne comprend pas et qui n'est jamais traité c'est pourquoi ne pas utiliser la norme DNSSEC et par extension le protocole DANE (histoire de ce débarrasser une bonne fois pour toute des autorités de certification - une pierre deux coup) ?
Tout les navigateurs s'en sont détournés sans jamais rien expliquer et maintenant ils font passer du DNS dans du HTTPS (n*que le modèle OSI).

Leur prochaine lubie ce sera des paquets IPSec dans des GIF par stéganographie au travers du HTTPS si ça continu comme ça...

Franchement c'est à n'y rien comprendre .
0  0 
Contacter le responsable de la rubrique Développement Web

Partenaire : Hébergement Web