Firefox passe a une autre étape dans la mise en œuvre de son programme Trusted Recursive Resolver (TRR). En plus des premiers fournisseurs de DNS dans le programme, un tout premier fournisseur d’accès à Internet (FAI), Comcast, s’associe à Mozilla pour déployer des recherches DNS chiffrées sur le navigateur Firefox, d’après une annoncé conjointe faite jeudi par les deux sociétés. La version Comcast du DNS-over-HTTPS (DoH) sera activée par défaut pour les utilisateurs de Firefox sur le réseau à large bande de Comcast, mais les gens pourront passer à d'autres options comme Cloudflare et NextDNS.
Le protocole DNS-over-HTTPS a vu le jour pour donner la possibilité aux navigateurs Web de masquer les requêtes et les réponses DNS dans le trafic HTTPS d’apparence normale afin de rendre le trafic DNS d’un utilisateur invisible. Il compromet par la même occasion la capacité des observateurs tiers du réseau (tels que les FAI) à détecter et filtrer le trafic de leurs clients. En théorie, la mise en œuvre à grande échelle de cette technologie permettrait aussi de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.
Selon Mozilla, le chiffrement des données DNS avec le DoH est la première étape. « Une deuxième étape nécessaire consiste à exiger que les entreprises qui traitent ces données aient mis en place des règles appropriées - comme celles qui sont décrites dans le programme TRR de Mozilla ». Le programme TRR vise à normaliser les exigences dans trois domaines : limiter la collecte et la conservation des données, assurer la transparence de toute rétention de données qui se produit et limiter le blocage ou la modification du contenu. Pour toute entreprise partenaire de Mozilla, l'éditeur s'attend à ce qu'elles respectent les normes modernes de confidentialité et de sécurité pour nos utilisateurs.
Comcast est le premier FAI à rejoindre le programme TRR de Firefox, et a pris des mesures importantes visant à respecter les normes du TRR, a déclaré Mozilla jeudi dans un article de blog. Cloudflare et NextDNS, deux fournisseurs de DNS, faisaient déjà partie du programme de Mozilla, qui exige des fournisseurs de DNS chiffré qu'ils respectent des critères de confidentialité et de transparence et s'engagent à ne pas bloquer ou filtrer des domaines par défaut « sauf si la loi de la juridiction dans laquelle le résolveur opère l'exige spécifiquement ».
« L'ajout des FAI dans le programme TRR ouvre la voie pour fournir aux clients la sécurité d'une résolution DNS de confiance, tout en offrant les avantages d'un résolveur fourni par leur FAI tels que les services de contrôle parental et des résultats mieux optimisés et localisés », selon l'annonce. « Mozilla et Comcast effectueront conjointement des tests pour informer sur la manière dont Firefox peut attribuer le meilleur TRR disponible à chaque utilisateur », lit-on.
Eric Rescorla, directeur technique de Firefox, a déclaré que « L'intégration des FAI dans le programme TRR nous aide à protéger la vie privée des utilisateurs en ligne sans perturber les expériences des utilisateurs existants. Nous espérons que cela créera un précédent pour la poursuite de la coopération entre les navigateurs et les FAI ».
Depuis plusieurs dizaines d’années, le DNS sert de mécanisme clé pour accéder aux sites et aux services sur Internet. Fonctionnant comme le carnet d'adresses de l'Internet, le DNS traduit les noms de sites Web, comme Developpez.com, en adresses Internet qu'un ordinateur comprend afin que le navigateur puisse charger le site Web correct. Au cours des dernières années, des entreprises comme Mozilla, Comcast et d'autres acteurs du secteur ont travaillé au développement, à la normalisation et au déploiement d'une technologie de chiffrement du DNS appelée, le DoH.
En rejoignant le programme de Mozilla, Comcast a accepté de ne pas « conserver, vendre ou transférer à un tiers (sauf si la loi l'exige) des informations personnelles, des adresses IP ou d'autres identificateurs d'utilisateurs, ou des modèles de requêtes d'utilisateurs à partir des requêtes DNS envoyées par le navigateur Firefox », ainsi que d'autres exigences.
Dès lors que le DNS chiffré de Comcast sera lancé, le changement devrait être automatique pour les utilisateurs, à moins qu'ils n'aient choisi un autre fournisseur de DoH ou qu'ils aient désactivé complètement le DoH, d’après l’article. Dans une déclaration, Comcast a dit que « les utilisateurs de Firefox sur Xfinity devraient automatiquement utiliser par défaut les résolveurs Xfinity du programme Trusted Recursive Resolver de Mozilla, à moins qu'ils n'aient choisi manuellement un autre résolveur, ou si le DoH est désactivé ».
Un accord après que Comcast ait combattu le travail de Mozilla sur le DNS chiffré
Jason Livingood, vice-président de la politique et des normes technologiques de Comcast, a déclaré : « Nous sommes fiers d'être le premier fournisseur d'accès Internet à se joindre à Mozilla pour soutenir cette évolution importante de la confidentialité du DNS. L'engagement avec la communauté technologique mondiale nous donne de meilleurs outils pour protéger nos clients, et des partenariats comme celui-ci font avancer notre mission de rendre l'expérience Internet de nos clients plus privée et plus sûre ».
Toutefois, cet accord arrive après que les FAI, y compris Comcast, aient combattu les plans de déploiement du DNS-over-HTTPS dans les navigateurs. En septembre 2019, des groupes industriels, dont le lobby du câble NCTA auquel appartient Comcast, ont écrit une lettre au Congrès pour s'opposer aux plans de Google concernant le DNS chiffré dans Chrome et Android. Comcast a fait une présentation aux membres du Congrès qui affirmait que le plan de DNS chiffré « centraliserait la majorité des données DNS mondiales avec Google » et « donnerait à un seul fournisseur le contrôle du routage du trafic Internet et de vastes quantités de nouvelles données sur les consommateurs et les concurrents ». La présentation de lobbying de Comcast s'est également plainte du plan de Mozilla pour Firefox.
En réponse, Mozilla a accusé les fournisseurs d'accès Internet de mentir au Congrès afin de semer la confusion sur le DNS chiffré. La lettre de Mozilla au Congrès a critiqué Comcast, pointant un incident en 2014 dans lequel Comcast « a injecté des publicités aux utilisateurs connectés à ses hotspots Wi-Fi publics, créant potentiellement de nouvelles vulnérabilités de sécurité dans les sites Web ». Mozilla a déclaré qu'en raison de l'incident Comcast et d'autres incidents impliquant Verizon et AT&T, « nous pensons que de telles mesures proactives [pour mettre en œuvre un DNS chiffré] sont devenues nécessaires pour protéger les utilisateurs à la lumière des nombreux cas d'abus de données personnelles par les FAI ».
Alors que Mozilla allait de l'avant avec des plans visant à passer automatiquement les utilisateurs de Firefox à des fournisseurs de DNS chiffré tels que Cloudflare, Comcast a lancé une version bêta publique de sa propre version de DoH. Finalement, ils ont commencé à travailler ensemble, et Mozilla a dit dans une déclaration que « Comcast et Mozilla discutent du chiffrement du DNS depuis 2019 et ont signé un accord pour déployer le DoH aux utilisateurs de Firefox sur les réseaux de Comcast en mars 2020 ».
Mozilla n’a pas connu des oppositions seulement qu’aux États-Unis. En juillet 2019, l’association professionnelle des fournisseurs de services Internet (ISPA) du Royaume-Uni a nominé Mozilla parmi les "Internet Villain" pour son support de DNS-over-HTTPS. Selon l’association, ce système compromet sérieusement la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour isoler les « sites malveillants » désignés par les régulateurs. L’ISPA a déploré le fait que cette initiative permettra aux internautes de contourner les obligations de filtrage, les contrôles parentaux et, plus largement, les normes de sécurité Internet en vigueur au Royaume-Uni.
Selon Mozilla, le DoH de Comcast dans Firefox sera "opt-out", les utilisateurs pouvant passer de Comcast à Cloudflare ou NextDNS. Google aussi exécute l’expérience DNS-over-HTTPS dans Google Chrome. Le DNS chiffré de Comcast devrait également arriver sur Chrome à un moment donné.
Certains commentateurs s’inquiètent que « Comcast renifle, enregistre, suive le trafic DNS de ses utilisateurs », a écrit l’un d’eux. Mais la société dit le contraire et a, par ailleurs, signé un contrat pour respecter les règles du programme TRR de Mozilla. Et vous, que pensez-vous de cette association ?
Source : Mozilla
Et vous ?
Que pensez-vous de cette association ?
Pensez-vous que les utilisateurs ont quelque chose à craindre des FAI qui déploient le DNS chiffré ?
Voir aussi :
Firefox active par défaut le DNS-over-HTTPS pour ses utilisateurs aux États-Unis, et donne la marche à suivre pour les utilisateurs dans d'autres régions du monde
Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla, à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS, qui s'appuie par défaut sur les serveurs Cloudfare
Comcast et Mozilla concluent un accord de confidentialité pour chiffrer les recherches DNS dans Firefox,
Faisant de Comcast le premier FAI à rejoindre le programme TRR de Mozilla
Comcast et Mozilla concluent un accord de confidentialité pour chiffrer les recherches DNS dans Firefox,
Faisant de Comcast le premier FAI à rejoindre le programme TRR de Mozilla
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !