IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le DNS-over-HTTPS finira probablement par être déployé sur tous les navigateurs, malgré l'opposition des FAI,
Le support du DoH est déjà effectif sur Edge, Firefox, Opera, Vivaldi, Chrome et Brave

Le , par Christian Olivier

169PARTAGES

23  0 
Au moins six éditeurs de navigateurs Web prévoient ou prennent déjà en charge le protocole DNS-over-HTTPS (DoH) - qui permet de chiffrer le trafic DNS et contribue à améliorer la confidentialité de l’utilisateur sur Internet - sur leurs produits. Le protocole DOH semblait initialement bénéficier du soutien exclusif de Google et de Mozilla parmi les éditeurs de navigateurs Web. Mais des sources proches du dossier suggèrent qu’en réalité, les principaux fournisseurs de navigateurs Web (notamment Microsoft, Apple, Google, et Mozilla) prévoient d’implémenter cette technologie au sein de leur navigateur Web, sous une forme ou sous une autre. Chrome, Firefox, Opera, Vivaldi, Safari, Edge et Brave sont concernés par cette annonce.


Pour rappel, le protocole DNS-over-HTTPS a été l’un des sujets d’actualité de l’année, car il donne la possibilité aux navigateurs Web de masquer les requêtes et les réponses DNS dans le trafic HTTPS d’apparence normale afin de rendre le trafic DNS d’un utilisateur invisible. Il compromet par la même occasion la capacité des observateurs tiers du réseau - tels que les FAI - à détecter et filtrer le trafic de leurs clients. En théorie, la mise en œuvre à grande échelle de cette technologie permettrait aussi de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.

Tandis que les défenseurs de la vie privée et les éditeurs de navigateurs dans leur grande majorité considèrent le DOH comme une aubaine pour les utilisateurs, les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau, plus sceptiques à l’égard de cette technologie, mettent en garde contre les dangers et abus qui découleraient de la mise en œuvre de ce projet. Aux USA par exemple, les géants de l’industrie des télécommunications et de la câblodistribution soutiennent que l’initiative DoH « ;pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ;». Ils assurent par ailleurs que l’adoption de ce protocole va les empêcher de surveiller l’activité de leurs utilisateurs et qu’elle permettra à des acteurs tels que Google de transférer des millions d’utilisateurs vers leurs propres serveurs DNS, ce qui peut conduire à une concentration dangereuse du contrôle sur le DNS.

Firefox et le DoH

Mozilla est à l’origine de la création du DoH avec Cloudflare. L’éditeur de Firefox va progressivement transférer l’ensemble des utilisateurs de son navigateur Web vers son système DoH maison, que le fournisseur DNS existant de ces derniers supporte ou non la nouvelle fonctionnalité. Ce mouvement fera de Cloudflare le fournisseur DNS par défaut pour les utilisateurs de Firefox, quels que soient les paramètres DNS du système d’exploitation sous-jacent.


Mozilla a établi des exigences spécifiques que les fournisseurs DNS doivent respecter pour obtenir une place dans son programme DoH. Par exemple, les résolveurs DNS doivent supprimer les données permettant d’identifier les utilisateurs dans un délai de 24 heures et ne les utiliser que « ;dans le but d’exploiter le service ;». Par ailleurs, les fournisseurs « ;ne doivent pas conserver, vendre ou transférer à un tiers (sauf si la loi l’exige) des données personnelles, des adresses IP ou d’autres identificateurs d’utilisateurs ou des modèles de requêtes d’utilisateurs provenant des requêtes DNS envoyées par le navigateur Firefox ;».

La politique de Mozilla interdit également de bloquer ou de filtrer le contenu sauf si les utilisateurs l’autorisent ou si la loi l’exige. Mozilla exige en outre un avis public de confidentialité qui détaille les pratiques de conservation des données du fournisseur de DNS ainsi que des rapports annuels de transparence qui documentent comment le fournisseur de DNS « ;traitera les demandes de données d’utilisateurs des services répressifs et qui documentera les types et le nombre de demandes reçues et auxquelles il aura répondu, sauf dans les cas où cette divulgation est interdite par la loi ;».

La prise en charge de DoH est déjà disponible dans les versions stables de Firefox. Vous pouvez l’activer dans la section Paramètres du navigateur, dans la section Réseau.

Chrome et le DoH

Google est la deuxième organisation, après Mozilla, à avoir ouvertement affiché son soutien à l'initiative. Google mène actuellement une expérience limitée avec un petit nombre d’utilisateurs pour voir comment DoH se comporte en situation réelle. Contrairement à Firefox, qui force tout le trafic DoH vers Cloudflare par défaut, le support DoH de Chrome est différent. Une fois la fonctionnalité DoH activée dans Chrome, ce dernier enverra les requêtes DNS aux mêmes serveurs DNS qu’auparavant. Si le serveur DNS cible possède une interface compatible DoH, Chrome chiffre le trafic DNS et l’envoie vers l’interface DoH du même serveur DNS. Dans le cas contraire, il continuera à opérer comme auparant. Par ailleurs, la société a précisé que dans le cadre de cette expérience, Chrome basculera automatiquement vers le service de résolution DNS classique si le commutateur tombe en panne ou si le résolveur DoH ne répond pas en temps voulu.


En raison de la façon dont Google a implémenté le support de DoH dans Chrome, les utilisateurs de ce navigateur risquent de ne jamais pouvoir utiliser cette fonctionnalité. C’est parce que le système d’exploitation d’un utilisateur obtient ses paramètres DNS d’une autorité centrale du réseau, qui est généralement le FAI. Si ce dernier ne veut pas utiliser un paramètre DNS compatible DoH, alors vous n’aurez jamais le DoH avec Chrome. Heureusement, des solutions permettant de contourner ce problème existent. Pour activer la fonctionnalité DoH sur Chrome, rendez-vous sur : chrome://flags/#dns-over-https.

Edge et le DoH

L’année prochaine, Microsoft prévoit de déployer une nouvelle version de son navigateur Web Edge architecturée autour de Chromium. La version Chromium de Edge supporte déjà DoH. Les utilisateurs peuvent l’activer en se rendant sur le site : edge://flags/#dns-over-https. Cette manœuvre activera la fonctionnalité DoH, mais cette dernière sera vraiment fonctionnelle que si votre ordinateur utilise un serveur DNS compatible DoH, ce n’est généralement pas le cas dans 99 % des cas.


Opera et le DoH

Opera a déjà déployé le support DoH. La fonction est désactivée par défaut pour tous les utilisateurs, mais elle peut être activée à tout moment dans la version stable. Opera à l’avantage de ne nécessiter aucune configuration supplémentaire de la part de l’utilisateur pour utiliser le DoH, car ce navigateur utilise un résolveur DoH par défaut, similaire à Firefox, qui échappe au contrôle des FAI, comme avec Chrome. Tout le trafic d’Opera DoH est actuellement acheminé vers le résolveur DoH de Cloudflare. Il est, cependant, obligatoire de désactiver le VPN intégré d’Opera pour que le DoH fonctionne. Pour activer DoH dans Opera, rendez-vous sur : opera://flags/opera-doh.


Safari et le DoH

Apple semble assez pointilleux concernant les fonctionnalités axées sur la protection de la vie privée des utilisateurs, de sorte qu’il y a de fortes chances pour que le DoH arrive sur Safari.

Vivaldi et le DoH

Un porte-parole de Vilvadi a déclaré que son soutien du DoH est étroitement lié à la mise en œuvre de Chrome. Les utilisateurs peuvent l’activer en se rendant sur le site : vivaldi://flags/#dns-over-https. Il faut cependant garder à l’esprit que l’implémentation du DoH sur Vivaldi est identique à celle qu’on retrouve sur Chrome. De ce fait, le support du DoH de Vivaldi pourrait changer à l’avenir, en fonction de la façon dont Google modifie le support DoH de Chromium.


Brave et le DoH

Même si l’éditeur de Brave - une solution basée sur Chromium - n’a pas encore d’échéancier précis pour le déploiement du DoH, Tom Lowenthal, chef de produit de la division Privacy & Security chez Brave, s’est voulu clair à ce propos : « ;Nous voulons absolument le mettre en œuvre ;». Vous pouvez activer le DoH sur le navigateur Brave en visitant l’URL suivante : brave://flags/#dns-over-https.


Et vous ?

Qu’en pensez-vous ?

Voir aussi

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de bk417
Membre actif https://www.developpez.com
Le 10/11/2019 à 13:55
Evidemement puisqu'ils sont tous basés sur Chromium ils suivent leur maitre.

Firefox a initié le mouvement, il est le fer de lance de la protection de la vie privée.

Safari on sait pas. Vous dites "y a de fortes chances que" mais vous n'en savez rien.

Proposer l'option est une bonne chose, l'activer par défaut ne l'est pas à mon avis.
2  0 
Avatar de bk417
Membre actif https://www.developpez.com
Le 11/11/2019 à 11:05
Citation Envoyé par ddoumeche Voir le message
Je dis que c'est très bien, une raison supplémentaire de ne plus utiliser Firefox, un navigateur qui ne veut plus jouer le jeu du partage des tâches.
Quelles sont les autres raisons ?
Quel est ce "jeu du partage des tâches" ?
2  0 
Avatar de Cryde
Membre du Club https://www.developpez.com
Le 11/11/2019 à 21:14
Il faut noter en + que pour Firefox vous pouvez choisir de mentionner votre propre DNS-over-HTTPS (si vous ne voulez pas celui de Cloudflare)
2  0 
Avatar de bk417
Membre actif https://www.developpez.com
Le 12/11/2019 à 14:55
Citation Envoyé par pcdwarf Voir le message
Je suis certain que ça va poser des problèmes en entreprise.

comment ça ? serveur.local est injoignable ?
Et bah interroge donc le dns que le DHCP t'as donné. Peut-être qu'il le sait lui quelle est d'adresse de serveur.local
Ils ont prévu un mécanisme pour éviter ça.
Aux administrateurs informatiques de se tenir informé, la veille fait partie de leur métier.
1  0 
Avatar de pcdwarf
Membre éprouvé https://www.developpez.com
Le 13/11/2019 à 18:04
Ils ont prévu un mécanisme pour éviter ça.
Aux administrateurs informatiques de se tenir informé, la veille fait partie de leur métier.
Donc si je comprends bien, il suffit de faire ça pour desactiver DoH.
c'est moi ou c'est aux antipodes de l'objectif (légitime) initial à savoir contourner les systèmes de censure ou de redirection?

J'ai l'impression que ça sent furieusement le bricolage et l'improvisation ce truc là.

Voici qui a l'air beaucoup plus sérieux : https://tools.ietf.org/html/draft-pe...on-doh-dhcp-00
mais ça n'est encore qu'un draft.
1  1 
Avatar de _janfi_
Nouveau membre du Club https://www.developpez.com
Le 14/11/2019 à 10:48
Je viens de l'activer (Firefox sous Linux), il n'y était pas par défaut.
Je trouve très bien que mon FAI (Free en l'occurrence) ne puisse pas tout pister.
0  0 
Avatar de bk417
Membre actif https://www.developpez.com
Le 14/11/2019 à 13:46
Citation Envoyé par pcdwarf Voir le message
Donc si je comprends bien, il suffit de faire ça pour desactiver DoH.
c'est moi ou c'est aux antipodes de l'objectif (légitime) initial à savoir contourner les systèmes de censure ou de redirection?

J'ai l'impression que ça sent furieusement le bricolage et l'improvisation ce truc là.

Voici qui a l'air beaucoup plus sérieux : https://tools.ietf.org/html/draft-pe...on-doh-dhcp-00
mais ça n'est encore qu'un draft.
Le navigateur peut être basculé en DoH forcé (network.trr.mode=3).
Mais c'est vrai que si les FAI (chinois, russes, iraniens au hasard) mettent en place le canary domain ça ruine tout l'intérêt du activé par défaut.
0  0 
Avatar de ChezMoi
Futur Membre du Club https://www.developpez.com
Le 03/11/2020 à 14:29
Quitte à être pisté dans la résolution du DNS, mieux vaut que ça soit au profit du FAI français, avec les obligations légales locales, que par celle du DNS-over-HTTPS, sous contrôle américain (le DNS, amis aussi l'autorité de certification ou l'hexagone ne pèse pas lours à l'échelon mondiale).

PAs de débat: je force la résolution DNS à mon FAI exclusivement.

C'est mon choix et mon avis.
0  0 
Avatar de Fleur en plastique
Membre extrêmement actif https://www.developpez.com
Le 10/11/2019 à 18:30
Les arguments des uns et des autres se tiennent. Mais il y a forcément une bonne solution et une mauvaise.

Citation Envoyé par bk417 Voir le message
Safari on sait pas. Vous dites "y a de fortes chances que" mais vous n'en savez rien.
En effet. On peut faire confiance à Apple pour faire le bon choix en ce qui concerne la vie privée et nous sortir de cette ridicule dispute.

Une fois qu'Apple aura choisi, on saura qui est le vrai mal : DNS-over-HTTPS ou juste DNS.
2  3 
Avatar de pcdwarf
Membre éprouvé https://www.developpez.com
Le 11/11/2019 à 22:58
Je suis certain que ça va poser des problèmes en entreprise.

comment ça ? serveur.local est injoignable ?
Et bah interroge donc le dns que le DHCP t'as donné. Peut-être qu'il le sait lui quelle est d'adresse de serveur.local
0  1