Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mozilla assure que les FAI ont menti au Congrès US au sujet du chiffrement DNS
Pour semer la confusion

Le , par Christian Olivier

54PARTAGES

17  0 
Les grands FAI aux États-Unis ne sont pas emballés par les projets de Google et Mozilla concernant le chiffrement DNS, deux entreprises d’Internet militant pour la mise en place du protocole DoH (DNS-over-HTTPS) sur leur navigateur respectif (Chrome et Firefox), et ils ne cachent pas leur scepticisme à l’égard de cette initiative.


En juillet dernier, l’association professionnelle des fournisseurs de services Internet (Internet Services Providers’ Association ou ISPA) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».

Plus tard, dans une lettre datant du 19 septembre adressée au Congrès US, les géants de l’industrie des télécommunications et de la câblodistribution ont averti que l’initiative DoH voulue par Google « pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ». Comme leur homologue britannique de l’ISPA, les FAI des États-Unis assurent que l’adoption du protocole DoH va les empêcher de surveiller l’activité de leurs utilisateurs et qu’elle permettra à des acteurs tels que Google de transférer des millions d’utilisateurs vers leurs propres serveurs DNS, ce qui peut conduire à une concentration dangereuse du contrôle sur le DNS.

Les activités de lobbying agressives des FAI américains auprès des législateurs américains ont poussé ces derniers à demander à la firme de Mountain View de fournir de plus amples détails sur ses plans concernant le protocole DoH. La filiale d’Alphabet doit notamment expliquer si elle prévoit d’utiliser à des fins commerciales les données recueillies dans le cadre du nouveau protocole et comment elle compte mettre en œuvre cette technologie sans violer les lois sur la concurrence, sachant qu’elle fait déjà l’objet de plusieurs enquêtes où elle est suspectée de s’adonner à des pratiques antitrust.


Mozilla est récemment monté aux créneaux pour dénoncer « la campagne de diabolisation » menée à l’encontre de l’initiative DoH (DNS-over-HTTPS) qui, au final, vise simplement l’amélioration de la protection de la vie privée des internautes. L’éditeur de Firefox exhorte notamment le Congrès US à ne pas se laisser abuser par les activités de lobbying des acteurs de l’industrie du haut débit dans ce dossier, tout en s’interrogeant sur les réelles motivations de ces derniers. L’entreprise affirme que la mise à niveau de confidentialité est devenue une nécessité pour protéger les utilisateurs au vu du grand nombre d’abus commis par les FAI vis-à-vis de la gestion des données personnelles de leurs clients, citant la vente illicite de ces données, la manipulation du DNS pour le ciblage publicitaire, la surveillance de l’activité des utilisateurs, la surfacturation pour bénéficier d’une confidentialité qui devrait faire partie du package minimum…

Dans la lettre qu’elle a adressée aux présidents et membres des trois commissions mandatées par la Chambre des représentants, Mozilla estime que l’attitude des FAI à l’égard d’une fonctionnalité qui met en avant la protection de la vie privée des internautes « soulève des questions sur la façon dont ils utilisent les données de navigation Web de leurs clients ». L’éditeur de Firefox soutient par ailleurs que les FAI ont donné des informations inexactes aux législateurs. Il les encourage même à examiner publiquement les politiques actuelles de collecte et d’utilisation des données des FAI, au motif que « plus d’informations sur les pratiques des FAI pourraient être utiles au Comité dans la poursuite de ses délibérations à ce sujet ».

Marshall Erwin, manager senior de la division Trust & Security chez Mozilla et signataire de la lettre, a expliqué : « Comme on pouvait s’y attendre, notre travail sur le DoH a été la cible d’une campagne qui vise à prévenir ces mesures de protection de la vie privée et de la sécurité, comme en témoigne la récente lettre adressée au Congrès par les principales associations de télécommunications. Cette lettre contenait un certain nombre d’inexactitudes factuelles ».

Il précise que les internautes sont suivis par Google, Facebook et d’autres sociétés de publicité, mais précise que les fournisseurs d’accès à Internet ont un « accès privilégié » à l’historique de navigation des utilisateurs. Selon lui, il existe déjà « un microciblage remarquablement sophistiqué sur le Web » et « c’est une erreur d’utiliser le DNS à ces fins ». En ce qui concerne les inquiétudes des FAI vis-à-vis de l’usage abusif que pourrait faire Google de l’exploitation du DoH, Erwin assure qu’il ne s’agit que d’un leurre : « l’effort de lobbying s’est concentré sur l’utilisation de Google comme croque-mitaine, au vu des préoccupations antitrust multiples qui existent aujourd’hui, pour susciter beaucoup d’incertitude sur les implications potentielles du DNS over HTTPS ».

Les ambitions de Mozilla avec le DoH

Pour rappel, la mise en œuvre à grande échelle du protocole DoH permettrait en théorie de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu. Il compromet également sérieusement la capacité de nombreux FAI à détecter et filtrer le trafic de leurs clients pour maintenir un historique de navigation et isoler les « sites malveillants » désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau.

Mozilla envisage un déploiement plus agressif de cette fonctionnalité dédiée à la protection de la vie privée en ligne. Il prévoit de transférer progressivement l’ensemble des utilisateurs de Firefox vers le système DoH, que leur fournisseur de DNS existant supporte ou non cette nouvelle fonctionnalité. Ce mouvement fera de Cloudflare le fournisseur DNS par défaut pour les utilisateurs du navigateur Web Firefox, quels que soient les paramètres DNS du système d’exploitation sous-jacent. Mozilla a plus de latitude pour agir de la sorte, car la plupart des enquêtes montrent que Firefox a une part de marché à un chiffre qui est significativement moins élevée que celle de Chrome. De plus, Firefox n’est pas un fournisseur DNS majeur, contrairement à Google. Il n’y aurait donc pas de base pour un examen antitrust si Mozilla transférait ses utilisateurs vers un nouveau fournisseur DNS.

Mozilla a établi des exigences spécifiques que les fournisseurs DNS doivent respecter pour obtenir une place dans son programme DoH. Par exemple, les résolveurs DNS doivent supprimer les données permettant d’identifier les utilisateurs dans un délai de 24 heures et ne les utiliser que « dans le but d’exploiter le service ». Par ailleurs, les fournisseurs « ne doivent pas conserver, vendre ou transférer à un tiers (sauf si la loi l’exige) des données personnelles, des adresses IP ou d’autres identificateurs d’utilisateurs ou des modèles de requêtes d’utilisateurs provenant des requêtes DNS envoyées par le navigateur Firefox ».

La politique de Mozilla interdit également de bloquer ou de filtrer le contenu sauf si les utilisateurs l’autorisent ou si la loi l’exige. Mozilla exige en outre un avis public de confidentialité qui détaille les pratiques de conservation des données du fournisseur de DNS ainsi que des rapports annuels de transparence qui documentent comment le fournisseur de DNS « traitera les demandes de données d’utilisateurs des services répressifs et qui documentera les types et le nombre de demandes reçues et auxquelles il aura répondu, sauf dans les cas où cette divulgation est interdite par la loi ».

La lettre de Mozilla au Congrès déplorait le fait que « les fournisseurs d’accès à Internet ne tiennent souvent pas d’avis de confidentialité pour leurs services DNS ». Résultat : « on ne sait pas exactement quelles données sont conservées, comment elles sont utilisées ou avec qui elles sont partagées » ! Parce qu’il y a si peu de réglementation sur les pratiques des fournisseurs de services à large bande en matière de protection de la vie privée, Mozilla estime que c’est aux éditeurs de navigateurs qu’il incombe de protéger les utilisateurs. L’entreprise précise toutefois que « pour vraiment protéger la vie privée, il faut mettre en place une combinaison de solutions techniques et réglementaires ».

Source : Lettre de Mozilla

Et vous ?

Que pensez-vous des arguments avancés par Mozilla dans cette affaire ?

Voir aussi

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain
Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS, voici pourquoi ils s'opposent à la mise en place du protocole DoH sur Chrome

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de bk417
Membre habitué https://www.developpez.com
Le 11/11/2019 à 11:05
Citation Envoyé par ddoumeche Voir le message
Je dis que c'est très bien, une raison supplémentaire de ne plus utiliser Firefox, un navigateur qui ne veut plus jouer le jeu du partage des tâches.
Quelles sont les autres raisons ?
Quel est ce "jeu du partage des tâches" ?
2  0 
Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 09/11/2019 à 18:54
Bonjour,

Je suis opérateur (FAI) (un petit, pas un des 4 grands).

En tant qu'usager je ne trouve pas terrible d'utiliser un résolveur qui est centralisé dans un gros DC chez cloudflare ou google. Surtout que ces gens là ne se privent pas de faire du profilage avec les données de requêtes.
Le mieux, c'est quand même d'avoir son propre résolveur.

mais surtout je trouve anormal que le browser ait son propre système de résolution DNS indépendant de celui de la machine où il tourne.

si tu as un résolveur local ou si t'as mofifié ton fichier etc/hosts pour qui dire que chezmoi.fr c'est un serveur local en 192.168.0.X. ou même en 127.0.0.1, il y a certainement une raison et le browser ne devrait pas l'ignorer.

D'autre part, si il y a en effet des possibilités de censure et de mensonge, une bonne part des interceptions DNS ne sont pas malveillantes et visent au contraire à résoudre des problèmes.

Exemple : Il y a presque 2 ans, quand il y a eu un gros problème avec 8.8.8.8 qui était injoignable depuis pas mal d'endroits, qu'est-ce que j'ai fait ?
bah j'ai fait un NAT bien sale qui redirigeait temporairement les requêtes vers mon propre résolveur.
problème réglé en 2 minutes et clients contents.

Et bien demain quand le serveur DoH de cloudflare sera HS, (et il le sera parce que tôt ou tard parce qu'il va se prendre des DDoS monstrueux) Et bien ça ne sera pas mon problème...

"Sisi monsieur, vous avez le net. ça ping. C'est le serveur DNS de cloudflare qui est mort. démerdez vous."

Bref, je ne dis pas que DoH est à jeter mais que ça n'est pas sans poser d'autres problèmes potentiellement plus graves.

Donc, si je salue l'existence de ce nouveau protocole, je ne suis en revanche pas du tout enthousiaste à l'idée de sa généralisation là où ça n'est pas nécessaire.
2  1 
Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 09/11/2019 à 19:01
Depuis quand c'est un rôle dévolu à l'ISP de fournir des services de résolution de nom ?
L'ISP fournis un service de résolution de nom parce que l'usager n'est pas foutu de monter son propre resolveur.
Mais aucun ISP (sérieux) n’empêche ses client d'utiliser un autre resolveur que le sien.

Pour la peine je serais tout à fait pour qu'ils est l'obligation légale de publié une liste des données récoltés chez leurs clients et des traitements qu'ils en font
Je suis d'accord. Pour ma part, la déclaration est vite faite : Aucune collecte et donc aucun traitement
1  0 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 10/11/2019 à 13:55
Evidemement puisqu'ils sont tous basés sur Chromium ils suivent leur maitre.

Firefox a initié le mouvement, il est le fer de lance de la protection de la vie privée.

Safari on sait pas. Vous dites "y a de fortes chances que" mais vous n'en savez rien.

Proposer l'option est une bonne chose, l'activer par défaut ne l'est pas à mon avis.
2  1 
Avatar de Cryde
Membre du Club https://www.developpez.com
Le 11/11/2019 à 21:14
Il faut noter en + que pour Firefox vous pouvez choisir de mentionner votre propre DNS-over-HTTPS (si vous ne voulez pas celui de Cloudflare)
1  0 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 12/11/2019 à 14:55
Citation Envoyé par pcdwarf Voir le message
Je suis certain que ça va poser des problèmes en entreprise.

comment ça ? serveur.local est injoignable ?
Et bah interroge donc le dns que le DHCP t'as donné. Peut-être qu'il le sait lui quelle est d'adresse de serveur.local
Ils ont prévu un mécanisme pour éviter ça.
Aux administrateurs informatiques de se tenir informé, la veille fait partie de leur métier.
1  0 
Avatar de defZero
Membre averti https://www.developpez.com
Le 05/11/2019 à 21:02
Que pensez-vous des arguments avancés par Mozilla dans cette affaire ?
Qu'ils sont tout à fait valides et justifiés.

Je rajouterai même que pour moi, dans "ISP", le plus important et le cœur de métier est le côté "Provider".
Depuis quand c'est un rôle dévolu à l'ISP de fournir des services de résolution de nom ?
Si l'on déclare que c'est effectivement leurs rôles, alors je dit légiférons sur ce qu'ils ont le droits de faire ou pas.
Sinon, ils ne devraient pas avoir droit/voix au chapitre et laisser leurs clients choisir ce qui est le mieux pour eux, sans faire intervenir les politiques.
Pour la peine je serais tout à fait pour qu'ils est l'obligation légale de publié une liste des données récoltés chez leurs clients et des traitements qu'ils en font (tiens ça me rappel le RGPD, que pourtant je ne défend pas dans les grandes lignes).
0  0 
Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 13/11/2019 à 18:04
Ils ont prévu un mécanisme pour éviter ça.
Aux administrateurs informatiques de se tenir informé, la veille fait partie de leur métier.
Donc si je comprends bien, il suffit de faire ça pour desactiver DoH.
c'est moi ou c'est aux antipodes de l'objectif (légitime) initial à savoir contourner les systèmes de censure ou de redirection?

J'ai l'impression que ça sent furieusement le bricolage et l'improvisation ce truc là.

Voici qui a l'air beaucoup plus sérieux : https://tools.ietf.org/html/draft-peterson-doh-dhcp-00
mais ça n'est encore qu'un draft.
1  1 
Avatar de _janfi_
Nouveau membre du Club https://www.developpez.com
Le 14/11/2019 à 10:48
Je viens de l'activer (Firefox sous Linux), il n'y était pas par défaut.
Je trouve très bien que mon FAI (Free en l'occurrence) ne puisse pas tout pister.
0  0 
Avatar de bk417
Membre habitué https://www.developpez.com
Le 14/11/2019 à 13:46
Citation Envoyé par pcdwarf Voir le message
Donc si je comprends bien, il suffit de faire ça pour desactiver DoH.
c'est moi ou c'est aux antipodes de l'objectif (légitime) initial à savoir contourner les systèmes de censure ou de redirection?

J'ai l'impression que ça sent furieusement le bricolage et l'improvisation ce truc là.

Voici qui a l'air beaucoup plus sérieux : https://tools.ietf.org/html/draft-peterson-doh-dhcp-00
mais ça n'est encore qu'un draft.
Le navigateur peut être basculé en DoH forcé (network.trr.mode=3).
Mais c'est vrai que si les FAI (chinois, russes, iraniens au hasard) mettent en place le canary domain ça ruine tout l'intérêt du activé par défaut.
0  0