1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    584
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 584
    Points : 19 870
    Points
    19 870

    Par défaut Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d’adresse DNS

    Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d’adresse DNS
    Qui s’appuie par défaut sur les serveurs Cloudfare

    Mozilla travaille au chiffrement des requêtes (et réponses) DNS. L’éditeur a passé l’annonce au mois de mars de cette année. L’effort qui vise à améliorer la confidentialité du navigateur Firefox se divise en deux initiatives. Dans la mouvance de la première qui consiste à implémenter le protocole DNS over HTTPS (DoH), Mozilla est entré en partenariat avec Cloudfare. La manœuvre suscite des inquiétudes chez des observateurs avertis.

    La mise en œuvre de DNS over HTTPS intervient comme une solution à une meilleure prise en charge de la vie privée des utilisateurs de ce navigateur. Comme avec le DNS sans chiffrement, le schéma demeure le même : un client qui émet des trames et un serveur qui répond, l’additif dans le cas de DoH étant que les contenus sont chiffrés. Mozilla s’est associé à Cloudfare qui met son résolveur DNS récursif à contribution.

    « Le nouveau mécanisme de résolution de Mozilla est dangereux. Tout votre trafic DNS sera envoyé à Cloudfare », titrent alors les chercheurs. « Lorsque Mozilla va activer le mécanisme Trusted Recursive Resolver (TRR) par défaut, vos paramétrages DNS n’auront plus aucun effet. La résolution d’adresse se fera au sein de l’application en s’appuyant sur un serveur DNS de Cloudfare aux États-Unis. L’entreprise pourra alors lire les requêtes DNS de tous les utilisateurs », ajoutent-ils.

    Au sein des équipes de Mozilla, l’opération est sujette à controverse. En mars, Henri Sivonen – un employé de Mozilla – est monté au créneau pour exprimer ses préoccupations : « je pense que nous ne devrions pas lancer cette opération sous cette forme. Envoyer des informations sur ce qui est consulté à une partie tierce va éroder la confiance dans Mozilla à cause de l’envoi d’informations confidentielles (adresse IP et nom d'hôte) à une partie tierce sans consentement explicite. »

    Nom : trr.png
Affichages : 6796
Taille : 129,5 Ko

    D’après Mozilla, la manœuvre est destinée à empêcher que les utilisateurs ne divulguent des informations cruciales à des attaquants au travers de serveurs douteux. L’éditeur s’engage à trouver de bons partenaires pour gérer ce volet. Chez Mozilla on est d’avis que la qualité des clauses de confidentialité de Cloudfare est un excellent gage de sécurité. Sur cet aspect particulier, les responsables de Mozilla ont laissé filtrer qu’ils se sont assurés que Cloudfare ne conserve pas de log des adresses IP des internautes.

    « Nous croyons qu’il est plus pratique que nous prenions en charge la négociation d’un accord de confidentialité que de laisser cet aspect aux utilisateurs. Imaginez l’un de ceux-ci en train d’appeler son FAI résidentiel pour lui demander de démontrer qu’il n'enregistre pas son adresse IP sur son serveur DNS », écrit Mozilla.

    Grosso modo, l’effort de Mozilla peut être jugé comme louable, mais au-delà des aspects techniques mentionnés, un détail supplémentaire vient enfoncer le clou de la méfiance : les serveurs Cloudfare sont sur un sol où des agences gouvernementales peuvent requérir de jeter un œil à la cuisine interne.

    Mozilla a entamé avec les tests de ce nouveau mécanisme sur le canal nightly de Firefox 60. À date, la fonctionnalité n’est donc pas activée pour le grand public. Mozilla n’a pas encore fixé de date, mais l’activation par défaut de cette fonctionnalité semble inéluctable.

    « Nous voulons en faire la configuration par défaut pour tous les utilisateurs. Nous pensons que chacun de nos utilisateurs mérite de profiter de ce degré de sécurité et de confidentialité, ce, même s’il ne maîtrise pas les aspects sécurité liés au DNS », écrit Mozilla.

    Source : billet de blog

    Et vous ?

    Partagez-vous l’inquiétude de ces observateurs ?

    De façon générale comment gérez-vous vos paramètres de configuration DNS pour être sûr d’être à l’abri de mauvaises surprises ?


    Voir aussi :

    Mozilla prévoit de lancer un Shield Study de DNS over HTTPS sur Firefox Nightly, mais la forme suscite la controverse même au sein de ses équipes

    Un ingénieur de Mozilla affirme que YouTube est plus lent sur Firefox et Microsoft Edge que sur Google Chrome

    Firefox 60 est disponible avec le support de la norme de sécurité WebAuthn pour Windows, macOS et Linux

    Comme Firefox et Chrome, Microsoft Edge se dote du support de WebAuthn, la norme de sécurité visant à mettre fin aux mots de passe sur le Web

    Net Applications : Firefox tombe en dessous des 10 % de parts de marché sur desktop, Firefox Quantum pourrait-il relancer le navigateur de Mozilla ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre actif
    Homme Profil pro
    Développeur Java
    Inscrit en
    août 2003
    Messages
    350
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 350
    Points : 287
    Points
    287

    Par défaut

    DNSSEC ne garantit pas déjà une bonne sécurité ?

  3. #3
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2007
    Messages
    25 421
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2007
    Messages : 25 421
    Points : 48 649
    Points
    48 649

    Par défaut

    A ma connaissance DNSSEC ne crypte rien, il ne fait que signer les enregistrement pour éviter les DNS rogue.

  4. #4
    Candidat au Club
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    août 2018
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Chercheur en informatique

    Informations forums :
    Inscription : août 2018
    Messages : 1
    Points : 2
    Points
    2

    Par défaut

    En est-il de même pour la version mobile ?

    Vivement que le DNS sécurisé soit implémenté dans les OS directement, comme doit le faire Android P avec DNS-over-TLS.
    A priori, ça serait activé pour la version 62 de Firefox.
    Mais effectivement, l'activer par défaut, et ainsi bypasser le fonctionnement normal de résolution DNS qui doit être de niveau système, est assez cavalier.

Discussions similaires

  1. Réponses: 2
    Dernier message: 06/01/2017, 16h12
  2. Réponses: 4
    Dernier message: 11/08/2016, 17h29
  3. Réponses: 0
    Dernier message: 08/08/2016, 20h06
  4. Google lance un programme de subvention des chercheurs en sécurité
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 4
    Dernier message: 04/02/2015, 11h47
  5. Des chercheurs en sécurité découvrent Dexter
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 6
    Dernier message: 19/12/2012, 19h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo