Lorsque vous visitez un nouveau site Web, votre ordinateur soumet probablement une demande au système de noms de domaine (DNS) pour traduire le nom de domaine (comme developpez.com) en une adresse IP. Actuellement, la plupart des requêtes DNS ne sont pas chiffrées, ce qui soulève des problèmes de confidentialité et de sécurité. Les entreprises Google et Mozilla voudraient répondre à ces préoccupations en implémentant la prise en charge dans leurs navigateurs de l’envoi de requêtes DNS via le protocole HTTPS crypté : c’est le protocole DNS-over-HTTPS (DoH).
Le protocole DNS-over-HTTPS et ses promesses
Le protocole DNS-over-HTTPS fonctionne en prenant un nom de domaine qu’un utilisateur a saisi sur son navigateur Web puis en envoyant une requête à un serveur DNS pour connaître l’adresse IP du serveur Web qui héberge ce site spécifique. Au cours de cette étape, la requête DNS est adressée à un serveur DNS compatible DoH (résolveur) via une connexion HTTPS chiffrée sur le port 443, plutôt qu’en texte clair sur le port 53. De cette façon, les requêtes DNS sont masquées à l’intérieur du trafic HTTPS régulier et le niveau de sécurité/confidentialité des séances de navigation est augmenté. Par ailleurs, chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des résolveurs par défaut du système d’exploitation (probablement DoH-non-compatible).
En théorie, ce système permet de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu. Il compromet également sérieusement la capacité de nombreux FAI à détecter et filtrer le trafic de leurs clients pour maintenir un historique de navigation et isoler les « ;sites malveillants ;» désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau.
L’avis des FAI aux États-Unis concernant ce projet
Mais c’était sans compter sur la réaction des principaux fournisseurs de services Internet qui n’ont pas caché leur scepticisme vis-à-vis de cette initiative. En juillet dernier, par exemple, l’association professionnelle des fournisseurs de services Internet (abrégé ISPA pour Internet Services Providers’ Association) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Donald Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « ;les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ;».
Plus récemment, dans une lettre datant du 19 septembre adressée au Congrès américain, les géants de l’industrie des télécommunications et de la câblodistribution ont averti que l’initiative DoH voulue par Google « ;pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ;». Comme leur homologue britannique de l’ISPA, les FAI des États-Unis assurent que l’adoption du protocole DoH va les empêcher de surveiller l’activité de leurs utilisateurs et qu’elle permettra à des acteurs tels que Google de transférer des millions d’utilisateurs vers leurs propres serveurs DNS, ce qui peut conduire à une concentration dangereuse du contrôle sur le DNS.
Dimanche dernier, le Wall Street Journal a rapporté que la Commission judiciaire de la Chambre des représentants prenait ces préoccupations des FAI au sérieux. Dans une lettre datée du 13 septembre, ladite Commission a demandé à la firme de Mountain View de fournir de plus amples détails sur ses plans concernant le DoH, notamment si Google prévoit d’utiliser à des fins commerciales les données recueillies dans le cadre du nouveau protocole.
Google expose sa vision du protocole DNS-over-HTTPS
Pour sa part, Google estime que ces préoccupations ne sont pas fondées et en dépit des insinuations avancées par les entreprises de télécommunications et leurs différents groupes de pression, la filiale d’Alphabet assure ne pas avoir pas l’intention de transférer les utilisateurs de son navigateur Chrome vers ses propres serveurs DNS ou de devenir un fournisseur de DNS chiffré qui concentrerait tous les pouvoirs. Il faut également préciser que, même si l’entreprise ne le dit pas, elle dispose de nombreux moyens de surveiller les habitudes de navigation des utilisateurs avec ou sans accès à leurs requêtes DNS.
À partir de la version 78, Chrome va commencer à expérimenter la nouvelle fonctionnalité DoH. Dans le cadre de cette expérience, le navigateur Web de Google « ​​vérifiera si le fournisseur DNS actuel de l’utilisateur fait partie d’une liste de fournisseurs compatibles DoH et procèdera à une mise à niveau vers le service DoH équivalent du même fournisseur ;», a indiqué Google. La firme de Mountain View a ajouté que « ;si le fournisseur DNS n’est pas dans la liste, Chrome continuera à fonctionner comme il le fait aujourd’hui ;». En d’autres termes, si votre fournisseur DNS ne figure pas sur la liste évoquée plus haut, vous ne participerez pas à l’expérience DoH. Par ailleurs, Google a confié que dans le cadre de cette phase test, Chrome reviendra automatiquement au service de résolution DNS classique si le commutateur tombe en panne ou si le résolveur DoH ne répond pas en temps voulu.
Une des raisons possibles de la confusion sur ce point est que Mozilla envisage un déploiement plus agressif de cette technologie : l’éditeur de Firefox prévoit de transférer progressivement l’ensemble de ses utilisateurs vers le système DoH, que leur fournisseur de DNS existant supporte ou non cette fonctionnalité. Cette transition fera de Cloudflare le fournisseur DNS par défaut pour de nombreux utilisateurs de Firefox, quels que soient les paramètres DNS du système d’exploitation sous-jacent. Mozilla a plus de latitude pour agir de la sorte, car la plupart des enquêtes montrent que Firefox a une part de marché à un chiffre qui est significativement moins élevée que celle de Chrome. De plus, Firefox n’est pas un fournisseur DNS majeur, contrairement à Google. Il n’y aurait donc pas de base pour un examen antitrust si Mozilla transférait ses utilisateurs vers un nouveau fournisseur DNS.
En résumé
Il faut bien l’avouer, l’absence de DNS chiffré arrange bien les affaires des FAI qui trouvent parfois utile de surveiller le trafic Internet de leurs clients et à des fins plus controversées, comme le ciblage publicitaire ou le contrôle de leurs réseaux en cas de violation du droit d’auteur. Au final, avec la mise en place du protocole DoH, les FAI se retrouveraient avec une visibilité réduite sur les habitudes de navigation de leurs clients et une marge de manœuvre plus limitée que jamais. Ces dernières années, les sites Web ont adopté le cryptage SSL pour le contenu de leurs sites. Le chiffrement DNS semble être la prochaine étape naturelle vers un Internet plus sûr. Il peut nécessiter quelques ajustements douloureux pour les FAI, mais cela ne semble guère être une raison pour les décideurs politiques pour bloquer le changement.
Source : Lettre des FAI du 19 septembre adressée au Congrès (PDF), Parts de marché des navigateurs
Et vous ?
Qu’en pensez-vous ?
Voir aussi
Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain
Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS
Voici pourquoi ils s'opposent à la mise en place du protocole DoH sur Chrome
Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS
Voici pourquoi ils s'opposent à la mise en place du protocole DoH sur Chrome
Le , par Christian Olivier
Une erreur dans cette actualité ? Signalez-nous-la !