Les ingénieurs de Cloudflare, Apple et du réseau de distribution Fastly ont mis au point Oblivious DoH, un changement majeur du système de noms de domaine actuel qui traduit des noms de domaine conviviaux en adresses IP dont les ordinateurs ont besoin pour trouver d'autres ordinateurs sur Internet. Les entreprises travaillent avec l'Internet Engineering Task Force (IETF, organisme qui élabore et promeut des standards Internet, en particulier les standards qui composent la suite de protocoles Internet) dans l'espoir qu'il deviendra une norme à l'échelle de l'industrie. Abrégé en ODoH, Oblivious DoH s'appuie sur une amélioration DNS distincte appelée DNS-over-HTTPS (abrégé DoH), qui n'en est qu'à ses tout débuts d'adoption.Tout d'abord, il est important de mettre les éléments dans leurs contextes. DNS est une base de données qui relie un nom convivial, tel que www.developpez.com, à une série de nombres informatisés, appelée une adresse IP (par exemple 192.0.2.1). En effectuant une « recherche » dans cette base de données, votre navigateur Web peut trouver des sites Web en votre nom. En raison de la conception initiale du DNS il y a des décennies, les navigateurs effectuant des recherches DNS pour les sites Web (même les sites https:// chiffrés) devaient effectuer ces recherches sans chiffrement. Parce qu'il n'y a pas de chiffrement, d'autres appareils en cours de route peuvent également collecter (ou même bloquer ou modifier) ces données. Les recherches DNS sont envoyées à des serveurs qui peuvent espionner l'historique de navigation de votre site Web sans vous en informer ou publier une politique sur ce qu'ils font de ces informations.
Lors de la création d’Internet, ce type de menaces à la vie privée et à la sécurité des personnes était connu, mais n’était pas encore exploité. Aujourd'hui, nous savons que le DNS non chiffré est non seulement vulnérable à l'espionnage, mais également exploité, et les acteurs de l'industrie ont apporté leur aide afin qu'Internet puisse opter pour des alternatives plus sécurisées. Pour ce faire, des navigateurs ont choisi d’effectuer des recherches DNS dans une connexion HTTPS chiffrée. Cela permet de masquer votre historique de navigation aux attaquants sur le réseau, d'empêcher la collecte de données par des tiers sur le réseau qui relie votre ordinateur aux sites Web que vous visitez.
C’est ainsi que le protocole DNS-over-HTTPS a vu le jour ; il donne la possibilité aux navigateurs Web de masquer les requêtes et les réponses DNS dans le trafic HTTPS d’apparence normale afin de rendre le trafic DNS d’un utilisateur invisible. Il compromet par la même occasion la capacité des observateurs tiers du réseau (tels que les FAI) à détecter et filtrer le trafic de leurs clients.
Pour protéger le DNS des entités tierces, l’IETF a normalisé le chiffrement DNS avec DNS over HTTPS (DoH) et DNS over TLS (DoT). Les deux protocoles empêchent les requêtes d'être interceptées, redirigées ou modifiées entre le client et le résolveur. La prise en charge des clients pour DoT et DoH se développe, ayant été implémentée dans les versions récentes de Firefox, iOS, et plus encore. En théorie, la mise en œuvre à grande échelle de cette technologie permettrait aussi de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.
Les fournisseurs à offrir un service public DoH / DoT ne sont pas légion (notons que Cloudflare en fait partie). Aussi, jusqu'à ce qu'il y ait un déploiement plus large parmi les fournisseurs de services Internet, il y a deux préoccupations principales qui sont soulevées :
- L’une d’elles est que la centralisation du DNS introduit des points de défaillance uniques.
- L'autre problème est que le résolveur peut toujours lier toutes les requêtes aux adresses IP des clients.
Comment fonctionne Oblivious DNS over HTTPS (ODoH)?
ODoH est un protocole émergent en cours de développement à l'IETF. ODoH fonctionne en ajoutant une couche de chiffrement à clé publique, ainsi qu'un proxy réseau entre les clients et les serveurs DoH tels que 1.1.1.1. Selon Cloudflare, la combinaison de ces deux éléments ajoutés garantit que seul l'utilisateur a accès à la fois aux messages DNS et à sa propre adresse IP en même temps.