Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS
Voici pourquoi ils s'opposent à la mise en place du protocole DoH sur Chrome

Le , par Christian Olivier

38PARTAGES

16  0 
Lorsque vous visitez un nouveau site Web, votre ordinateur soumet probablement une demande au système de noms de domaine (DNS) pour traduire le nom de domaine (comme developpez.com) en une adresse IP. Actuellement, la plupart des requêtes DNS ne sont pas chiffrées, ce qui soulève des problèmes de confidentialité et de sécurité. Les entreprises Google et Mozilla voudraient répondre à ces préoccupations en implémentant la prise en charge dans leurs navigateurs de l’envoi de requêtes DNS via le protocole HTTPS crypté : c’est le protocole DNS-over-HTTPS (DoH).


Le protocole DNS-over-HTTPS et ses promesses

Le protocole DNS-over-HTTPS fonctionne en prenant un nom de domaine qu’un utilisateur a saisi sur son navigateur Web puis en envoyant une requête à un serveur DNS pour connaître l’adresse IP du serveur Web qui héberge ce site spécifique. Au cours de cette étape, la requête DNS est adressée à un serveur DNS compatible DoH (résolveur) via une connexion HTTPS chiffrée sur le port 443, plutôt qu’en texte clair sur le port 53. De cette façon, les requêtes DNS sont masquées à l’intérieur du trafic HTTPS régulier et le niveau de sécurité/confidentialité des séances de navigation est augmenté. Par ailleurs, chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des résolveurs par défaut du système d’exploitation (probablement DoH-non-compatible).

En théorie, ce système permet de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu. Il compromet également sérieusement la capacité de nombreux FAI à détecter et filtrer le trafic de leurs clients pour maintenir un historique de navigation et isoler les « sites malveillants » désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau.

L’avis des FAI aux États-Unis concernant ce projet

Mais c’était sans compter sur la réaction des principaux fournisseurs de services Internet qui n’ont pas caché leur scepticisme vis-à-vis de cette initiative. En juillet dernier, par exemple, l’association professionnelle des fournisseurs de services Internet (abrégé ISPA pour Internet Services Providers’ Association) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Donald Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».

Plus récemment, dans une lettre datant du 19 septembre adressée au Congrès américain, les géants de l’industrie des télécommunications et de la câblodistribution ont averti que l’initiative DoH voulue par Google « pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ». Comme leur homologue britannique de l’ISPA, les FAI des États-Unis assurent que l’adoption du protocole DoH va les empêcher de surveiller l’activité de leurs utilisateurs et qu’elle permettra à des acteurs tels que Google de transférer des millions d’utilisateurs vers leurs propres serveurs DNS, ce qui peut conduire à une concentration dangereuse du contrôle sur le DNS.

Dimanche dernier, le Wall Street Journal a rapporté que la Commission judiciaire de la Chambre des représentants prenait ces préoccupations des FAI au sérieux. Dans une lettre datée du 13 septembre, ladite Commission a demandé à la firme de Mountain View de fournir de plus amples détails sur ses plans concernant le DoH, notamment si Google prévoit d’utiliser à des fins commerciales les données recueillies dans le cadre du nouveau protocole.


Google expose sa vision du protocole DNS-over-HTTPS

Pour sa part, Google estime que ces préoccupations ne sont pas fondées et en dépit des insinuations avancées par les entreprises de télécommunications et leurs différents groupes de pression, la filiale d’Alphabet assure ne pas avoir pas l’intention de transférer les utilisateurs de son navigateur Chrome vers ses propres serveurs DNS ou de devenir un fournisseur de DNS chiffré qui concentrerait tous les pouvoirs. Il faut également préciser que, même si l’entreprise ne le dit pas, elle dispose de nombreux moyens de surveiller les habitudes de navigation des utilisateurs avec ou sans accès à leurs requêtes DNS.

À partir de la version 78, Chrome va commencer à expérimenter la nouvelle fonctionnalité DoH. Dans le cadre de cette expérience, le navigateur Web de Google « ​​vérifiera si le fournisseur DNS actuel de l’utilisateur fait partie d’une liste de fournisseurs compatibles DoH et procèdera à une mise à niveau vers le service DoH équivalent du même fournisseur », a indiqué Google. La firme de Mountain View a ajouté que « si le fournisseur DNS n’est pas dans la liste, Chrome continuera à fonctionner comme il le fait aujourd’hui ». En d’autres termes, si votre fournisseur DNS ne figure pas sur la liste évoquée plus haut, vous ne participerez pas à l’expérience DoH. Par ailleurs, Google a confié que dans le cadre de cette phase test, Chrome reviendra automatiquement au service de résolution DNS classique si le commutateur tombe en panne ou si le résolveur DoH ne répond pas en temps voulu.

Une des raisons possibles de la confusion sur ce point est que Mozilla envisage un déploiement plus agressif de cette technologie : l’éditeur de Firefox prévoit de transférer progressivement l’ensemble de ses utilisateurs vers le système DoH, que leur fournisseur de DNS existant supporte ou non cette fonctionnalité. Cette transition fera de Cloudflare le fournisseur DNS par défaut pour de nombreux utilisateurs de Firefox, quels que soient les paramètres DNS du système d’exploitation sous-jacent. Mozilla a plus de latitude pour agir de la sorte, car la plupart des enquêtes montrent que Firefox a une part de marché à un chiffre qui est significativement moins élevée que celle de Chrome. De plus, Firefox n’est pas un fournisseur DNS majeur, contrairement à Google. Il n’y aurait donc pas de base pour un examen antitrust si Mozilla transférait ses utilisateurs vers un nouveau fournisseur DNS.


En résumé

Il faut bien l’avouer, l’absence de DNS chiffré arrange bien les affaires des FAI qui trouvent parfois utile de surveiller le trafic Internet de leurs clients et à des fins plus controversées, comme le ciblage publicitaire ou le contrôle de leurs réseaux en cas de violation du droit d’auteur. Au final, avec la mise en place du protocole DoH, les FAI se retrouveraient avec une visibilité réduite sur les habitudes de navigation de leurs clients et une marge de manœuvre plus limitée que jamais. Ces dernières années, les sites Web ont adopté le cryptage SSL pour le contenu de leurs sites. Le chiffrement DNS semble être la prochaine étape naturelle vers un Internet plus sûr. Il peut nécessiter quelques ajustements douloureux pour les FAI, mais cela ne semble guère être une raison pour les décideurs politiques pour bloquer le changement.

Source : Lettre des FAI du 19 septembre adressée au Congrès (PDF), Parts de marché des navigateurs

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Refuznik
Membre averti https://www.developpez.com
Le 02/10/2019 à 13:42
Je suis pour les dns chiffrés.

Sinon pour rassurer tous le monde avant de lire n'importe quoi (comme sur LinuxFR) l'option étant déja dispos sur Firefox.
C'est une option à cocher ou non donc vous n'êtes pas obligé de l'activer et de passer par Cloudfare.
Et vous avez aussi l'option pour utiliser vos propres dns chiffrés.

Bref ceux qui crie au scandale ce sont des gens qui ne veulent pas de chiffrement.
5  0 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 02/10/2019 à 11:38
Sur le principe, Google a raison de pousser une techno qui protège les utilisateurs.
Tant qu'ils ne poussent pas leurs propres serveurs DNS, tout va bien.
Ne crions pas au loup trop tôt
5  1 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 11/11/2019 à 11:05
Citation Envoyé par ddoumeche Voir le message
Je dis que c'est très bien, une raison supplémentaire de ne plus utiliser Firefox, un navigateur qui ne veut plus jouer le jeu du partage des tâches.
Quelles sont les autres raisons ?
Quel est ce "jeu du partage des tâches" ?
2  0 
Avatar de walfrat
Membre actif https://www.developpez.com
Le 03/10/2019 à 17:18
Citation Envoyé par Refuznik Voir le message
Je suis pour les dns chiffrés.

Sinon pour rassurer tous le monde avant de lire n'importe quoi (comme sur LinuxFR) l'option étant déja dispos sur Firefox.
C'est une option à cocher ou non donc vous n'êtes pas obligé de l'activer et de passer par Cloudfare.
Et vous avez aussi l'option pour utiliser vos propres dns chiffrés.

Bref ceux qui crie au scandale ce sont des gens qui ne veulent pas de chiffrement.
Oui... et non. Car si on regarde sur le monde entier, il n'y a pas 5% de la population qui iront regarder ça, encore moins se faire son réglage vers un autre DNS chiffré. Donc au moment (si ce n'est pas déjà le cas) où Chrome activera cette option par défaut, ce sera tout pour Google (à quelque miettes bien négligeable pour lui), ce qui sera sans aucun doute vu comme de la concurrence déloyale.

De plus on parle aussi de l'écologie, le HTTPS partout ce n'est pas négligeable surtout par dessus des flux vidéos (best-of : Streaming genre Twitch).

Par ailleurs, je ne ferait pas de commentaire du type "les autres 95% devraient sans soucier". Faire la liste de tous les paramètres logiciels sur chaque application qu'on devrait se soucier parce que les options activer automatiquement ne sont pas toujours dans notre propre intérêt, ça mériterait presque d'être un sujet de thèse à renouveler tous les deux/trois ans.
1  0 
Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 09/11/2019 à 18:54
Bonjour,

Je suis opérateur (FAI) (un petit, pas un des 4 grands).

En tant qu'usager je ne trouve pas terrible d'utiliser un résolveur qui est centralisé dans un gros DC chez cloudflare ou google. Surtout que ces gens là ne se privent pas de faire du profilage avec les données de requêtes.
Le mieux, c'est quand même d'avoir son propre résolveur.

mais surtout je trouve anormal que le browser ait son propre système de résolution DNS indépendant de celui de la machine où il tourne.

si tu as un résolveur local ou si t'as mofifié ton fichier etc/hosts pour qui dire que chezmoi.fr c'est un serveur local en 192.168.0.X. ou même en 127.0.0.1, il y a certainement une raison et le browser ne devrait pas l'ignorer.

D'autre part, si il y a en effet des possibilités de censure et de mensonge, une bonne part des interceptions DNS ne sont pas malveillantes et visent au contraire à résoudre des problèmes.

Exemple : Il y a presque 2 ans, quand il y a eu un gros problème avec 8.8.8.8 qui était injoignable depuis pas mal d'endroits, qu'est-ce que j'ai fait ?
bah j'ai fait un NAT bien sale qui redirigeait temporairement les requêtes vers mon propre résolveur.
problème réglé en 2 minutes et clients contents.

Et bien demain quand le serveur DoH de cloudflare sera HS, (et il le sera parce que tôt ou tard parce qu'il va se prendre des DDoS monstrueux) Et bien ça ne sera pas mon problème...

"Sisi monsieur, vous avez le net. ça ping. C'est le serveur DNS de cloudflare qui est mort. démerdez vous."

Bref, je ne dis pas que DoH est à jeter mais que ça n'est pas sans poser d'autres problèmes potentiellement plus graves.

Donc, si je salue l'existence de ce nouveau protocole, je ne suis en revanche pas du tout enthousiaste à l'idée de sa généralisation là où ça n'est pas nécessaire.
2  1 
Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 09/11/2019 à 19:01
Depuis quand c'est un rôle dévolu à l'ISP de fournir des services de résolution de nom ?
L'ISP fournis un service de résolution de nom parce que l'usager n'est pas foutu de monter son propre resolveur.
Mais aucun ISP (sérieux) n’empêche ses client d'utiliser un autre resolveur que le sien.

Pour la peine je serais tout à fait pour qu'ils est l'obligation légale de publié une liste des données récoltés chez leurs clients et des traitements qu'ils en font
Je suis d'accord. Pour ma part, la déclaration est vite faite : Aucune collecte et donc aucun traitement
1  0 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 10/11/2019 à 13:55
Evidemement puisqu'ils sont tous basés sur Chromium ils suivent leur maitre.

Firefox a initié le mouvement, il est le fer de lance de la protection de la vie privée.

Safari on sait pas. Vous dites "y a de fortes chances que" mais vous n'en savez rien.

Proposer l'option est une bonne chose, l'activer par défaut ne l'est pas à mon avis.
2  1 
Avatar de Cryde
Membre du Club https://www.developpez.com
Le 11/11/2019 à 21:14
Il faut noter en + que pour Firefox vous pouvez choisir de mentionner votre propre DNS-over-HTTPS (si vous ne voulez pas celui de Cloudflare)
1  0 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 12/11/2019 à 14:55
Citation Envoyé par pcdwarf Voir le message
Je suis certain que ça va poser des problèmes en entreprise.

comment ça ? serveur.local est injoignable ?
Et bah interroge donc le dns que le DHCP t'as donné. Peut-être qu'il le sait lui quelle est d'adresse de serveur.local
Ils ont prévu un mécanisme pour éviter ça.
Aux administrateurs informatiques de se tenir informé, la veille fait partie de leur métier.
1  0 
Avatar de Stérilux
Membre habitué https://www.developpez.com
Le 02/10/2019 à 11:24
Qu’en pensez-vous ?
Vous n'utilisez pas les DNS de google ? c'est pas grave on va trouver une méthode pour vous y forcer.

Bien sur, il y aura le choix, il faudra désactiver l'option active par défaut dans un coin avec tout plein de terme technique pour perdre le lambda.
1  1