Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS
Voici pourquoi ils s'opposent à la mise en place du protocole DoH sur Chrome

Le , par Christian Olivier

38PARTAGES

15  0 
Lorsque vous visitez un nouveau site Web, votre ordinateur soumet probablement une demande au système de noms de domaine (DNS) pour traduire le nom de domaine (comme developpez.com) en une adresse IP. Actuellement, la plupart des requêtes DNS ne sont pas chiffrées, ce qui soulève des problèmes de confidentialité et de sécurité. Les entreprises Google et Mozilla voudraient répondre à ces préoccupations en implémentant la prise en charge dans leurs navigateurs de l’envoi de requêtes DNS via le protocole HTTPS crypté : c’est le protocole DNS-over-HTTPS (DoH).


Le protocole DNS-over-HTTPS et ses promesses

Le protocole DNS-over-HTTPS fonctionne en prenant un nom de domaine qu’un utilisateur a saisi sur son navigateur Web puis en envoyant une requête à un serveur DNS pour connaître l’adresse IP du serveur Web qui héberge ce site spécifique. Au cours de cette étape, la requête DNS est adressée à un serveur DNS compatible DoH (résolveur) via une connexion HTTPS chiffrée sur le port 443, plutôt qu’en texte clair sur le port 53. De cette façon, les requêtes DNS sont masquées à l’intérieur du trafic HTTPS régulier et le niveau de sécurité/confidentialité des séances de navigation est augmenté. Par ailleurs, chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des résolveurs par défaut du système d’exploitation (probablement DoH-non-compatible).

En théorie, ce système permet de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu. Il compromet également sérieusement la capacité de nombreux FAI à détecter et filtrer le trafic de leurs clients pour maintenir un historique de navigation et isoler les « sites malveillants » désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau.

L’avis des FAI aux États-Unis concernant ce projet

Mais c’était sans compter sur la réaction des principaux fournisseurs de services Internet qui n’ont pas caché leur scepticisme vis-à-vis de cette initiative. En juillet dernier, par exemple, l’association professionnelle des fournisseurs de services Internet (abrégé ISPA pour Internet Services Providers’ Association) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Donald Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».

Plus récemment, dans une lettre datant du 19 septembre adressée au Congrès américain, les géants de l’industrie des télécommunications et de la câblodistribution ont averti que l’initiative DoH voulue par Google « pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ». Comme leur homologue britannique de l’ISPA, les FAI des États-Unis assurent que l’adoption du protocole DoH va les empêcher de surveiller l’activité de leurs utilisateurs et qu’elle permettra à des acteurs tels que Google de transférer des millions d’utilisateurs vers leurs propres serveurs DNS, ce qui peut conduire à une concentration dangereuse du contrôle sur le DNS.

Dimanche dernier, le Wall Street Journal a rapporté que la Commission judiciaire de la Chambre des représentants prenait ces préoccupations des FAI au sérieux. Dans une lettre datée du 13 septembre, ladite Commission a demandé à la firme de Mountain View de fournir de plus amples détails sur ses plans concernant le DoH, notamment si Google prévoit d’utiliser à des fins commerciales les données recueillies dans le cadre du nouveau protocole.


Google expose sa vision du protocole DNS-over-HTTPS

Pour sa part, Google estime que ces préoccupations ne sont pas fondées et en dépit des insinuations avancées par les entreprises de télécommunications et leurs différents groupes de pression, la filiale d’Alphabet assure ne pas avoir pas l’intention de transférer les utilisateurs de son navigateur Chrome vers ses propres serveurs DNS ou de devenir un fournisseur de DNS chiffré qui concentrerait tous les pouvoirs. Il faut également préciser que, même si l’entreprise ne le dit pas, elle dispose de nombreux moyens de surveiller les habitudes de navigation des utilisateurs avec ou sans accès à leurs requêtes DNS.

À partir de la version 78, Chrome va commencer à expérimenter la nouvelle fonctionnalité DoH. Dans le cadre de cette expérience, le navigateur Web de Google « ​​vérifiera si le fournisseur DNS actuel de l’utilisateur fait partie d’une liste de fournisseurs compatibles DoH et procèdera à une mise à niveau vers le service DoH équivalent du même fournisseur », a indiqué Google. La firme de Mountain View a ajouté que « si le fournisseur DNS n’est pas dans la liste, Chrome continuera à fonctionner comme il le fait aujourd’hui ». En d’autres termes, si votre fournisseur DNS ne figure pas sur la liste évoquée plus haut, vous ne participerez pas à l’expérience DoH. Par ailleurs, Google a confié que dans le cadre de cette phase test, Chrome reviendra automatiquement au service de résolution DNS classique si le commutateur tombe en panne ou si le résolveur DoH ne répond pas en temps voulu.

Une des raisons possibles de la confusion sur ce point est que Mozilla envisage un déploiement plus agressif de cette technologie : l’éditeur de Firefox prévoit de transférer progressivement l’ensemble de ses utilisateurs vers le système DoH, que leur fournisseur de DNS existant supporte ou non cette fonctionnalité. Cette transition fera de Cloudflare le fournisseur DNS par défaut pour de nombreux utilisateurs de Firefox, quels que soient les paramètres DNS du système d’exploitation sous-jacent. Mozilla a plus de latitude pour agir de la sorte, car la plupart des enquêtes montrent que Firefox a une part de marché à un chiffre qui est significativement moins élevée que celle de Chrome. De plus, Firefox n’est pas un fournisseur DNS majeur, contrairement à Google. Il n’y aurait donc pas de base pour un examen antitrust si Mozilla transférait ses utilisateurs vers un nouveau fournisseur DNS.


En résumé

Il faut bien l’avouer, l’absence de DNS chiffré arrange bien les affaires des FAI qui trouvent parfois utile de surveiller le trafic Internet de leurs clients et à des fins plus controversées, comme le ciblage publicitaire ou le contrôle de leurs réseaux en cas de violation du droit d’auteur. Au final, avec la mise en place du protocole DoH, les FAI se retrouveraient avec une visibilité réduite sur les habitudes de navigation de leurs clients et une marge de manœuvre plus limitée que jamais. Ces dernières années, les sites Web ont adopté le cryptage SSL pour le contenu de leurs sites. Le chiffrement DNS semble être la prochaine étape naturelle vers un Internet plus sûr. Il peut nécessiter quelques ajustements douloureux pour les FAI, mais cela ne semble guère être une raison pour les décideurs politiques pour bloquer le changement.

Source : Lettre des FAI du 19 septembre adressée au Congrès (PDF), Parts de marché des navigateurs

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Refuznik
Membre averti https://www.developpez.com
Le 02/10/2019 à 13:42
Je suis pour les dns chiffrés.

Sinon pour rassurer tous le monde avant de lire n'importe quoi (comme sur LinuxFR) l'option étant déja dispos sur Firefox.
C'est une option à cocher ou non donc vous n'êtes pas obligé de l'activer et de passer par Cloudfare.
Et vous avez aussi l'option pour utiliser vos propres dns chiffrés.

Bref ceux qui crie au scandale ce sont des gens qui ne veulent pas de chiffrement.
5  0 
Avatar de bk417
Membre régulier https://www.developpez.com
Le 02/10/2019 à 11:38
Sur le principe, Google a raison de pousser une techno qui protège les utilisateurs.
Tant qu'ils ne poussent pas leurs propres serveurs DNS, tout va bien.
Ne crions pas au loup trop tôt
5  1 
Avatar de walfrat
Membre actif https://www.developpez.com
Le 03/10/2019 à 17:18
Citation Envoyé par Refuznik Voir le message
Je suis pour les dns chiffrés.

Sinon pour rassurer tous le monde avant de lire n'importe quoi (comme sur LinuxFR) l'option étant déja dispos sur Firefox.
C'est une option à cocher ou non donc vous n'êtes pas obligé de l'activer et de passer par Cloudfare.
Et vous avez aussi l'option pour utiliser vos propres dns chiffrés.

Bref ceux qui crie au scandale ce sont des gens qui ne veulent pas de chiffrement.
Oui... et non. Car si on regarde sur le monde entier, il n'y a pas 5% de la population qui iront regarder ça, encore moins se faire son réglage vers un autre DNS chiffré. Donc au moment (si ce n'est pas déjà le cas) où Chrome activera cette option par défaut, ce sera tout pour Google (à quelque miettes bien négligeable pour lui), ce qui sera sans aucun doute vu comme de la concurrence déloyale.

De plus on parle aussi de l'écologie, le HTTPS partout ce n'est pas négligeable surtout par dessus des flux vidéos (best-of : Streaming genre Twitch).

Par ailleurs, je ne ferait pas de commentaire du type "les autres 95% devraient sans soucier". Faire la liste de tous les paramètres logiciels sur chaque application qu'on devrait se soucier parce que les options activer automatiquement ne sont pas toujours dans notre propre intérêt, ça mériterait presque d'être un sujet de thèse à renouveler tous les deux/trois ans.
1  0 
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 03/10/2019 à 22:28
Citation Envoyé par Refuznik Voir le message
Je suis pour les dns chiffrés.

Sinon pour rassurer tous le monde avant de lire n'importe quoi (comme sur LinuxFR) l'option étant déja dispos sur Firefox.
C'est une option à cocher ou non donc vous n'êtes pas obligé de l'activer et de passer par Cloudfare.
Et vous avez aussi l'option pour utiliser vos propres dns chiffrés.

Bref ceux qui crie au scandale ce sont des gens qui ne veulent pas de chiffrement.
tant que les DNS continuent d'offrir le même service...mais il suffirait qu'une partie du web ne soit plus accessible par DNS pour imposer une techno qui serait arrivée par la petite porte. On a déjà des warning sur le HTTP, on aurait également des warning sur la DNS.

je n'aime pas l'idée de chiffrer tout internet...le chiffrement des communications devrait être une encapsulation quand c'est nécessaire et non la norme, car le chiffrement (notamment de la résolution de de nom) ne nous protège pas de l'exploitation des données, cela permet simplement de concentrer l'information (ie les DNS Google pourront continuer à vous tracer à loisir)
1  0 
Avatar de Stérilux
Membre régulier https://www.developpez.com
Le 02/10/2019 à 11:24
Qu’en pensez-vous ?
Vous n'utilisez pas les DNS de google ? c'est pas grave on va trouver une méthode pour vous y forcer.

Bien sur, il y aura le choix, il faudra désactiver l'option active par défaut dans un coin avec tout plein de terme technique pour perdre le lambda.
1  1 
Avatar de greg91
Membre habitué https://www.developpez.com
Le 10/10/2019 à 16:07
La config du resolveur est une fonction de l'OS... Point final.
0  0 
Avatar de bilgetz
Membre averti https://www.developpez.com
Le 02/10/2019 à 11:43
Code : Sélectionner tout
Qu’en pensez-vous ?
Que le protocole HTTPS n'est pas crypté, mais chiffré et que le le cryptage SSL n'existe pas, mais le chiffrement SSL, oui.

Sinon pour le contenue de l'article:
Je suis pour le chiffrement des requêtes DNS, mais passer par du tunneling, c'est moyen.

Google commence à un peu trop abuser de sa position dominante avec chrome.
2  4