IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 384
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 384
    Points : 196 429
    Points
    196 429
    Par défaut Trolldi :Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS
    Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS,
    aux côtés de l'article 13 et de Donald Trump

    L'association professionnelle des fournisseurs de services Internet (ISPA - Internet Services Providers’ Association) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de cette année.

    Dans un billet de blog, elle a déclaré :

    « L’Association des fournisseurs de services Internet est heureuse d’annoncer les finalistes du Internet Hero and Villain 2019.

    « À une époque où la technologie et Internet ont pris une place prépondérante et sont un moteur d'innovation et de croissance, les problèmes politiques posés par cette perturbation font désormais partie des plus grands problèmes auxquels sont confrontés les décideurs dans le monde.

    « Les nominations Internet Hero cette année incluent les entités qui font campagne pour améliorer la confiance et la confidentialité en ligne; tirant vers le haut l’évolution du paysage haut débit au Royaume-Uni; et travaillant sur les questions de gouvernance mondiale de l'internet. Tandis que les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».

    Nom : ispa.png
Affichages : 10540
Taille : 33,0 Ko

    L’ISPA britannique a publié la liste ci-dessous « après des semaines de consultation et un grand nombre de candidatures reçues par le public via e-mail et Twitter » :

    ISPA Internet Hero
    • Sir Tim Berners-Lee : pour avoir lancé une Magna carta pour le Web visant à rétablir la confiance et à protéger la nature ouverte et libre d’Internet à l’occasion du trentième anniversaire du World Wide Web. Le contrat pour le Web est un effort visant à réunir les gouvernements, les entreprises, la société civile et les utilisateurs du Web afin de développer une feuille de route pour créer un Web au service de l’humanité et qui constitue un bien public pour tous, partout dans le monde.

      L’objectif est de se servir du contrat pour que chaque partie soit tenue responsable de faire sa part afin de créer un Web ouvert et gratuit.

      Ceux qui souscrivent aux principes contractuels auront l’occasion de définir un contrat complet dans le cadre d’un processus de collaboration avec les gouvernements, les entreprises et les internautes individuels, en négociant des actions spécifiques à entreprendre par chaque partie.
    • Andrew Ferguson OBE, éditeur, Thinkbroadband : pour ses analyses indépendantes et ses précieuses données sur le marché du haut débit au Royaume-Uni depuis 2000
    • Oscar Tapp-Scotting & Paul Blaker, équipe mondiale de la gouvernance de l’Internet, DCMS : pour avoir dirigé les efforts du gouvernement britannique pour assurer un programme équilibré et proportionné à la Conférence de l’Union internationale des télécommunications

    ISPA Internet Villain
    • Mozilla : pour son approche proposée visant à introduire DNS sur HTTPS de manière à contourner les obligations de filtrage et les contrôles parentaux du Royaume-Uni, sapant ainsi les normes de sécurité Internet au Royaume-Uni
    • Article 13 de la directive sur le droit d'auteur : pour menacer la liberté d'expression en ligne en exigeant des « technologies de reconnaissance du contenu » sur toutes les plateformes
    • Le président Donald Trump : pour avoir créé une énorme incertitude dans la chaîne logistique mondiale complexe de télécommunications dans le but de protéger la sécurité nationale.

    Le cas de Mozilla

    L’ISPA britannique a donc dans sa liste des Internet Villain Mozilla en raison des projets de la Fondation visant à prendre en charge le protocole DNS sur HTTPS (DoH) dans son navigateur Firefox.

    Qu’est-ce que DoH et pourquoi cela n’enchante pas les FAI ?

    Le protocole DNS sur HTTPS (IETF RFC8484) fonctionne en envoyant des demandes DNS via une connexion HTTPS chiffrée, plutôt qu'en utilisant une demande UDP en texte brut classique, comme le système DNS classique fonctionne.

    L'autre différence est qu'en plus d'être chiffré, le protocole DoH fonctionne également au niveau de l'application, plutôt qu'au niveau du système d'exploitation.

    Toutes les connexions DNS sur HTTPS ont lieu entre une application (telle qu'un navigateur ou une application mobile) et un serveur DNS sécurisé et compatible DoH (résolveur).

    Nom : villain.png
Affichages : 4339
Taille : 230,5 Ko

    Tout le trafic DoH est fondamentalement juste HTTPS. Les requêtes de noms de domaine DoH sont chiffrées, puis cachées dans le trafic Web normal envoyé au résolveur DNS DoH, qui répond ensuite avec l'adresse IP d'un nom de domaine, également dans un HTTPS chiffré.

    Comme effet secondaire de cette conception, cela signifie également que chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des serveurs DNS par défaut du système d'exploitation (qui sont probablement DoH-non-compatible).

    Cette conception de protocole signifie que les demandes DNS d'un utilisateur sont invisibles pour les observateurs tiers, tels que les fournisseurs de services Internet; et toutes les requêtes et réponses DNS DoH cachées dans un nuage de connexions chiffrées, indiscernables de l’autre trafic HTTPS.

    En théorie, le protocole est un rêve des défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d'appareils de sécurité réseau.

    Le Royaume-Uni a peur que DoH soit un handicap pour son schéma national de blocage du Web

    Au Royaume-Uni, les fournisseurs de services Internet sont légalement contraints de bloquer certains types de sites Web, tels que ceux qui hébergent des contenus portant atteinte aux droits d'auteur ou faisant l'objet d'une marque. Certains fournisseurs d'accès bloquent également d'autres sites à leur discrétion, tels que ceux qui affichent un contenu extrémiste, des images pour adultes et de la pornographie enfantine. Ces derniers blocages sont volontaires et ne sont pas les mêmes partout au Royaume-Uni, mais la plupart des fournisseurs de services Internet ont généralement tendance à bloquer le contenu sur la maltraitance des enfants.

    Il ne faut pas oublier que, pour pallier le problème de la facilité de consommer du média pour adulte en ligne, le gouvernement britannique a mis en œuvre les dispositions du projet de loi sur l'économie numérique adopté par le Parlement britannique en 2017. En vertu de la loi, les sites pornographiques commerciaux seront tenus de vérifier qu'un utilisateur britannique a plus de 18 ans avant de lui permettre d'accéder à du matériel pornographique. Les censeurs britanniques auront également le pouvoir d'interdire la pornographie en ligne « extrême », qui comprend certains types de contenu sexuel violent ainsi que du contenu impliquant des actes sexuels avec des cadavres ou des animaux.

    Nom : Firefox-about.jpg
Affichages : 4762
Taille : 32,0 Ko

    En prévoyant de prendre en charge DNS-over-HTTPS, Mozilla compromet la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour les « sites malveillants » mandatés par le gouvernement.

    Certains FAI basés au Royaume-Uni, tels que British Telecom, ont manifesté leur soutien public au protocole DoH, mais pas la grande majorité.

    Conclusion

    L’attaque de l’ISPA britannique fait suite à une période de deux mois au cours de laquelle Google et Mozilla ont été critiqués au Royaume-Uni pour leur projet de prise en charge de DNS-over-HTTPS dans leurs navigateurs respectifs, Chrome et Firefox.

    À la mi-mai, la baronne Thornton, députée du parti travailliste, a évoqué le protocole DoH et le soutien imminent des éditeurs de navigateurs lors d'une session de la Chambre des communes, qualifiant le projet de menace pour la sécurité en ligne du Royaume-Uni.

    De même, le GCHQ, les services de renseignement britanniques, a également critiqué Google et Mozilla, affirmant que le nouveau protocole entraverait les enquêtes de la police et risquerait de saper les protections que le gouvernement dispose déjà contre les sites Web malveillants.

    Quoiqu’il en soit, les gagnants des Heroes and Villains de cette année seront choisis par le Conseil ISPA et seront annoncés lors de la cérémonie de remise des prix ISPA le 11 juillet à Londres.

    Source : ISPA

    Et vous ?

    Que pensez-vous des différents nominés dans ces deux catégories ?
    Auriez-vous voté pour une ou plusieurs autres entités ? Lesquelles ?
    Que pensez-vous de la nomination de Mozilla ?
    Qui mérite selon vous d'être lauréat chez les Heroes et chez les Villain ?

    Voir aussi :

    Parlement UK : EA préfère le terme "mécanique de surprise" à "loot box", assurant qu'il ne s'agit pas d'un jeu de hasard mais d'un système éthique
    Apple et Google condamnent la proposition UK visant à espionner les messages chiffrés, en ajoutant un participant "fantôme" aux discussions de groupe
    UK : dès le 15 juillet, les sites pornographiques seront obligés de procéder à une vérification de l'âge, sous peine d'être bloqués par les FAI
    UK : Facebook ne doit pas se considérer comme étant un « gangster numérique » qui est au-dessus des lois, les législateurs envisagent de le superviser
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite Avatar de onilink_
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    597
    Détails du profil
    Informations personnelles :
    Âge : 32
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 597
    Points : 2 439
    Points
    2 439
    Par défaut
    Donc le DoH c'est mal car ça respecte la vie privée?
    Circuits intégrés mis à nu: https://twitter.com/TICS_Game

  3. #3
    Membre confirmé
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Juillet 2018
    Messages
    120
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Russie

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2018
    Messages : 120
    Points : 599
    Points
    599
    Par défaut
    Je suis d'accord avec 2 de la liste des "Villain", particulièrement l'article 13, mais Mozilla je l'aurai mis dans les héros. Chacun ses intérêts ...
    J'aurai rajouté la nouvelle loi sur la cyberhaine à la place de Mozilla, mais bon, ne soyons pas chauvin

  4. #4
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2017
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Janvier 2017
    Messages : 16
    Points : 164
    Points
    164
    Par défaut
    Mozilla lutte pour la vie privé des utilisateurs, pour l'open source etcontre la collecte des données. De plus, elle offre beaucoup d'outils gratuitement qui sont une véritable alternative face aux grands du Net. Mettre la Fondation parmis les villains du Net est totalement déshonorant.

    Cela montre bien le but politique de la manœuvre. C'est pas en rajoutant des blocages que l'Internet va s'améliorer, cela va uniquement accentuer la censure au profit des dirigeant du moment.
    Pour le coup, la catégorie Trolldi est bien méritée

  5. #5
    Invité
    Invité(e)
    Par défaut
    Dommage que Google n'ait pas sorti son moteur de recherche pour la Chine, il aurait remporté le podium pour avoir rétabli la confiance et contribué à faire respecter les normes de sécurité Internet !

  6. #6
    Membre averti
    Homme Profil pro
    Ingénieur de recherche
    Inscrit en
    Décembre 2011
    Messages
    68
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur de recherche
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2011
    Messages : 68
    Points : 342
    Points
    342
    Par défaut
    DoH me plais bien pour le coté "chiffré sur https", mais beaucoup moins pour le coté "résolution au niveau application plutôt que système".
    Dans la mesure ou je n'utilise que des systèmes que je peux rooté, cela demande de déplacer la confiance sur le niveau applicatif, et je ne sais pas forcément comment contourner les réglages applicatif (alors que je sais le faire pour le système).
    Un mode qui force DoH à passer par une centralisé système me plairais bien.
    Par exemple, si je veux changer une adresse spécifique pour la renvoyer sur mon site de test (ou la bloquer) comment je fais pour le dire à toutes mes applications ?

    Firefox for ever.

  7. #7
    Membre actif
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    Août 2018
    Messages
    83
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Chercheur en informatique

    Informations forums :
    Inscription : Août 2018
    Messages : 83
    Points : 228
    Points
    228
    Par défaut
    Et DNS-over-TLS pose le même souci alors, c'est des requêtes DNS chiffrées envoyées sur le port 853.
    Déjà en fonctionnement sur Android 9.
    A mois que les FAI anglais aient l'intention de bloquer DNS-over-TLS.

  8. #8
    Membre chevronné
    Profil pro
    Inscrit en
    Octobre 2005
    Messages
    940
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France

    Informations forums :
    Inscription : Octobre 2005
    Messages : 940
    Points : 1 816
    Points
    1 816
    Par défaut
    Plus je lis les critiques contre DoH, et plus je me dis que c'est une bonne idée. Je suis le seul?

  9. #9
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 537
    Points : 3 909
    Points
    3 909
    Par défaut
    bravo Firefox, on se passera des anglais, ca ne me gêne aucunement

  10. #10
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 260
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 260
    Points : 3 402
    Points
    3 402
    Par défaut
    pour ceux qui n'ont pas la foi de cherché mais qui sont intéressé... j'ai nommé : le vertueux Quad9.
    il propose plusieurs DNS lookup avec différent filtres.
    Les voici :

    Quad9 (US, CleanerDNS)
    9.9.9.10 2620:fe::10 (resolveurs non sécurisés --> sans filtre)
    9.9.9.9/149.112x3 2620:fe::fe/9 (provides DNSSEC validation on the primary resolver)
    DNS over TLS sur le port 853 --> dns.quad9.net.
    DNS over HTTPS, port 53 --> dns.quad9.net.
    DNS on HTTP, port 9953 --> dns.quad9.net.
    il ne filtre pas le contenu, uniquement les domaines... de phishing, de malwares, et exploit kit domain, connu.
    il clame ne pas stocker de données sur les utilisateurs... les logs sont partiels --> queried, timestamp, city, state, country ...mais pas le reste (IP)
    son business model se fait par le retour de la télémetrie anonymisé concernant la liste des sites malicieux que les entreprises de sécurité lui ont fourni. On est donc plutôt bien immunisé contre le profilage de régies publicitaire, puisque le modèle économique semble logiquement viable.

    il y a aussi les expanded addresses for IPv6 :
    2620:fe::fe --> 2620:fe:0:0:0:0:0:fe
    2620:fe::9 --> 2620:fe:0:0:0:0:0:9
    2620:fe::10 --> 2620:fe:0:0:0:0:0:10
    2620:fe::fe:10 --> 2620:fe:0:0:0:0:fe:10

    have fun !
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  11. #11
    Expert éminent sénior

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mars 2017
    Messages
    1 177
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2017
    Messages : 1 177
    Points : 78 774
    Points
    78 774
    Par défaut Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla
    Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla
    À l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS

    L’association professionnelle des fournisseurs de services Internet (abrégé ISPA - Internet Services Providers’ Association) du Royaume-Uni a récemment désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Donald Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».

    L’ISPA a retenu la fondation Mozilla à cause de son initiative DNS-over-HTTPS (DoH) visant à mettre en place sur son navigateur une spécification pour la résolution à distance du Domain Name System (DNS) via le protocole HTTPS. D’après la Fondation, la mise en œuvre du DoH devrait améliorer la confidentialité et la sécurité des internautes tout en empêchant l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.

    Nom : 453.png
Affichages : 10782
Taille : 65,0 Ko

    Le protocole DoH fonctionne en prenant un nom de domaine qu'un utilisateur a tapé dans son navigateur puis en envoyant une requête à un serveur DNS pour connaître l'adresse IP numérique du serveur web qui héberge ce site spécifique. Mais il prend la requête DNS et l'envoie à un serveur DNS compatible DoH (résolveur) via une connexion HTTPS chiffrée sur le port 443, plutôt qu'en texte clair sur le port 53. De cette façon, il masque les requêtes DNS dans le trafic HTTPS régulier et augmente le niveau de sécurité / confidentialité des séances de navigation. Par ailleurs, chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des résolveurs par défaut du système d’exploitation (probablement DoH-non-compatible).

    Le problème du point de vue de l’ISPA

    En théorie, ce système compromet sérieusement la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour isoler les « sites malveillants » désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau. L’ISPA déplore le fait que cette initiative permettra aux internautes de contourner les obligations de filtrage, les contrôles parentaux et, plus largement, les normes de sécurité Internet en vigueur au Royaume-Uni. L’organisation estime que le DoH va nuire à l’obligation de filtrage et de régulation du contenu accessible en ligne instituée dans le pays et qui a été renforcée depuis l’adoption de la « Digital Economy Act 2017 ».

    La réponse de Mozilla

    « Nous sommes surpris et déçus qu’une association regroupant des FAI ait décidé de dénaturer une amélioration de l’infrastructure Internet vieille de plusieurs décennies », a déclaré un porte-parole de Mozilla en guise de réponse aux allégations de l’ISPA. Il assure en outre : « un DNS plus privé ne pourrait pas empêcher l’utilisation du filtrage de contenu ou des contrôles parentaux au Royaume-Uni. DNS-over-HTTPS offrirait de réels avantages en matière de sécurité aux citoyens britanniques ».

    Mozilla insiste sur le fait que son objectif est de construire un Internet plus sûr et qu’elle milite pour une approche constructive sur les questions en rapport avec la sécurité lors des discussions avec les différentes « parties prenantes crédibles au Royaume-Uni », sans toutefois préciser si elle considérait l’ISPA comme tel.

    L’éditeur de Firefox ne prévoit pas d’activer le DoH par défaut au Royaume-Uni. Cependant, son porte-parole a confié : « nous explorons actuellement des partenaires potentiels du DoH en Europe afin d’apporter cette importante fonctionnalité de sécurité à d’autres Européens de manière plus générale ».

    Comment activer le DoH

    Le guide ci-dessous montre aux utilisateurs de Firefox comment activer cette fonctionnalité. Les paramètres devraient s'appliquer immédiatement. Dans le cas contraire, redémarrer Firefox après la configuration.

    Étape 1 : tapez about:config dans la barre d’adresse et appuyez sur Entrée pour accéder au panneau de configuration de Firefox. Ici, les utilisateurs devront activer et modifier trois paramètres.

    Étape 2 : le premier réglage concerne le mode « network.trr.mode » qui active le support du DoH. Ce réglage prend en charge quatre valeurs :

    • 0 - Valeur par défaut dans les installations Firefox standard
    • 1 - DoH est activé, mais Firefox choisit s'il utilise DoH ou un DNS régulier basé sur lequel renvoie des réponses de requête plus rapides
    • 2 - DoH est activé, et le DNS régulier fonctionne comme une sauvegarde
    • 3 - DoH est activé, et le DNS régulier est désactivé
    • 5 - Le DoH est désactivé

    Nom : doh-1.png
Affichages : 9539
Taille : 27,2 Ko

    Étape 3 (facultative) : le deuxième paramètre qui doit être modifié est « network.trr.uri ». Il s'agit de l'adresse du serveur DNS DoH compatible où Firefox enverra des requêtes DNS DoH. Par défaut, Firefox utilise le service DoH de Cloudflare. Toutefois, les utilisateurs peuvent utiliser leur propre URL de serveur DoH.

    Nom : doh-2.png
Affichages : 9580
Taille : 29,6 Ko

    Source : Forbes, Wiki Mozilla

    Et vous ?

    Que pensez-vous de la réponse de Mozilla ?
    Quel serait votre classement du « top 3 des meilleurs vilains d’Internet » pour 2019 ?

    Voir aussi

    DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
    Parlement UK : EA préfère le terme "mécanique de surprise" à "loot box", assurant qu'il ne s'agit pas d'un jeu de hasard mais d'un système éthique
    Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  12. #12
    Membre éclairé Avatar de viper1094
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2019
    Messages
    570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2019
    Messages : 570
    Points : 853
    Points
    853
    Par défaut
    J'ai pas trop compris ce qu'était doh, mais j'ai compris que ça rend https plus sécurisé et que ça permet des contournements de restrictions. Bon... Je crois que je suis pour.
    "C'est d'un ennui…"

    Shikamaru Nara

  13. #13
    Nouveau membre du Club
    Inscrit en
    Février 2007
    Messages
    27
    Détails du profil
    Informations forums :
    Inscription : Février 2007
    Messages : 27
    Points : 35
    Points
    35
    Par défaut
    Ce que je ne comprends pas ici, c'est comment se passe la résolution initiale du nom du service de DoH ? On passe toujours par du DNS classique ?

    Si oui ce n'est pas trés sûr non plus. Pour moi tout service de résolution de noms ne peux être qu'accéder que sur son addresse IP.

  14. #14
    Membre éprouvé
    Homme Profil pro
    Everything
    Inscrit en
    Décembre 2013
    Messages
    361
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Italie

    Informations professionnelles :
    Activité : Everything

    Informations forums :
    Inscription : Décembre 2013
    Messages : 361
    Points : 1 277
    Points
    1 277
    Par défaut
    Louable fonctionnalité qui a effectivement plusieurs avantages du point de vue de l'utilisateur final :
    1-) Contourner la censure sur les requêtes DNS,
    2-) Rendre beaucoup plus difficile pour le FAI de maintenir un historique de navigation,
    3-) Grandement compliquer les attaques du type "homme du milieu".

    Merci Mozilla
    Ceux qui abandonnent une liberté essentielle pour une sécurité minime et temporaire ne méritent ni la liberté ni la sécurité.
    Benjamin Franklin

  15. #15
    Membre éprouvé
    Femme Profil pro
    Inscrit en
    Juillet 2012
    Messages
    263
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Italie

    Informations forums :
    Inscription : Juillet 2012
    Messages : 263
    Points : 998
    Points
    998
    Par défaut
    Merci Mozilla et a vous pour cet article

  16. #16
    Membre éclairé
    Homme Profil pro
    Développeur Web
    Inscrit en
    Janvier 2016
    Messages
    188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Janvier 2016
    Messages : 188
    Points : 818
    Points
    818
    Par défaut
    Citation Envoyé par The F0x Voir le message
    Ce que je ne comprends pas ici, c'est comment se passe la résolution initiale du nom du service de DoH ? On passe toujours par du DNS classique ?

    Si oui ce n'est pas trés sûr non plus. Pour moi tout service de résolution de noms ne peux être qu'accéder que sur son addresse IP.
    En général, les DNS sont enregistrés par leur IP. Il n'y a donc pas de résolution initiale.

    Citation Envoyé par Jiji66 Voir le message
    Louable fonctionnalité qui a effectivement plusieurs avantages du point de vue de l'utilisateur final :
    1-) Contourner la censure sur les requêtes DNS,
    2-) Rendre beaucoup plus difficile pour le FAI de maintenir un historique de navigation,
    3-) Grandement compliquer les attaques du type "homme du milieu".

    Merci Mozilla
    Ce qui embête le plus les FAI à mon avis, c'est qu'après avoir perdu l'accès à ce que tu échange à cause d'HTTPS, ils perdront aussi le nom du site avec qui tu échanges.

  17. #17
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 260
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 260
    Points : 3 402
    Points
    3 402
    Par défaut
    Citation Envoyé par viper1094 Voir le message
    J'ai pas trop compris ce qu'était doh, mais j'ai compris que ça rend https plus sécurisé et que ça permet des contournements de restrictions. Bon... Je crois que je suis pour.
    Tu n'as pas bien saisi le contexte. Je vais tenter de l'expliquer.

    D'un coté tu as internet, dont le premier maillon est obligatoirement l’infrastructure de ton FAI (ou de celui qui le loue à ton FAI), et de l'autre tu as ton réseau local (ton PC), et ta box internet a un pied dans chaque coté en faisant office de routeur.
    Quand tu tapes une adresse web qui n'est pas sous la forme d'une IP, cela déclenche une requête DNS pour en trouver l'équivalent en IP.
    Ton PC envoie la requête à ta box, qui est relayé à l'infrastructure connecté physiquement à ta box, puis est relayé à ton FAI (afin qu'il applique à ton trafic tout ce en quoi il est obligé ...ou a envie), puis transite dans l'internet jusqu'a atterrir sur le résolveur DNS qui te renvoies alors l'IP à travers le chemin inverse.
    Jusque là, à travers le port 43 (non chiffré), c'est comme une jolie carte postale (pas une lettre sous enveloppe opaque) que tout les intermédiaires lisent avec une grande curiosité ! x)
    La différence avec le DoH (ou mieux : DoT --> TLS), c'est que ce qui était fait auparavant avec ton IP, la requête, l'identifiant du navigateur web... est effectué uniquement pour échanger les clé publique et privé, la connexion sécurisé étant établie, la requête est envoyée.

    J'espère que tu as saisies la différence plutôt conséquente.

    Avant, pour sécuriser les échanges DNS, on était plutôt sur ce type de raisonnement :
    l'envoi de la requête entre la source et le DNS s'effectue sans aucune authentification, n'importe quel tiers peu scrupuleux peu en tirer partie.
    De nombreux détournements sont possibles, en particulier : par attaque sur le système de routage (opéré par un intermédiaire, ou bien par un FAI malhonnête)
    NB : un FAI concurrent utilise l'infrastructure (mutualisé) de son concurrent ...il y a donc déjà un intermédiaire dans ce cas là.
    Il n'y a donc aucunes garanties qu'on parle bien aux DNS resolvers. Pour s'en protéger, il existe plusieurs solutions techniques mais aucune ne semble réaliste.
    Les seules solutions DNS (j'exclus IPsec et compagnie) possibles sont TSIG (RFC 2845), et SIG(0) (RFC 2931) (que personne n'a jamais déployé). TSIG repose sur un secret partagé, et est donc inutilisable pour un service public comme Google DNS
    NB: Pour un minimum de sécurité DNS over HTTPS et DNS over TLS sont apparu.
    NB: faire appel a un service non-Google, un tiers qui ne gèrent qu'un unique service limite les corrélations qu'ils peuvent établir et donc le mal qu'ils peuvent faire. Au contraire, Google, ayant une offre complète, peut établir des relations, mettre en connexion des données, et représente donc un danger potentiel plus important.
    Externaliser son courrier à Gmail (ou son DNS à Google DNS), est une chose. Externaliser tous ses services en est une autre. Cela revient à avoir la même entreprise qui serait à la fois votre banque, votre médecin, votre épicier et votre garagiste...
    Google peut gagner de l'argent (spéculation) :
    en exploitant l'information recueillie pour améliorer le moteur de recherche,
    en vendant cette information (les noms les plus populaires, par exemple, une information qui intéressera les domainers, surtout si la réponse est NXDOMAIN, indiquant que le domaine est libre),
    en hébergeant, dans le futur (ce service n'existe pas aujourd'hui), moyennant finances, des serveurs faisant autorité, qui profiteront de la proximité du résolveur pour de meilleures performances. Google, futur hébergeur de TLD ?
    Reconstituer la totalité d'un TLD, même lorsque celui-ci ne publie pas cette information, en comptant les noms dans les requêtes et les réponses obtenues.
    Ou, tout simplement, s'assurer que l'Internet fonctionne bien, pour que les clients puissent aller voir les autres services de Google (chez certains FAI, les résolveurs DNS marchent mal, ce qui gêne sans doute Google dans son cœur de métier).
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  18. #18
    Membre éclairé Avatar de viper1094
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2019
    Messages
    570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2019
    Messages : 570
    Points : 853
    Points
    853
    Par défaut
    C'est un peu plus clair merci.
    "C'est d'un ennui…"

    Shikamaru Nara

  19. #19
    Membre habitué
    Homme Profil pro
    WANT
    Inscrit en
    Juin 2011
    Messages
    45
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Finlande

    Informations professionnelles :
    Activité : WANT

    Informations forums :
    Inscription : Juin 2011
    Messages : 45
    Points : 170
    Points
    170
    Par défaut
    et dans l’exemple tout passe encore par cloudflare …

    Pour ceux que cela interesse https://www.bortzmeyer.org/ regorge de détails rfc

  20. #20
    Membre confirmé
    Inscrit en
    Mai 2007
    Messages
    335
    Détails du profil
    Informations forums :
    Inscription : Mai 2007
    Messages : 335
    Points : 511
    Points
    511
    Par défaut
    Citation Envoyé par Kulvar Voir le message
    En général, les DNS sont enregistrés par leur IP. Il n'y a donc pas de résolution initiale.



    Ce qui embête le plus les FAI à mon avis, c'est qu'après avoir perdu l'accès à ce que tu échange à cause d'HTTPS, ils perdront aussi le nom du site avec qui tu échanges.
    Pas tout à fait!
    Vu qu'on passe par de l'https, le certificat est validé obligatoirement par nom de domaine (je crois qu'il y a une exception mais c'est à la marge)
    J'ai assisté à la conf d'un des certificateur, au JDLL, et sa réponse "passe par le hosts"

    Du coup on configure son DNS par hostname, et on met l'ip du hostname dans le fichier "hosts"

    autre astuce, lors de sa démo, ils se connectait à son dns en mode classique pour avoir le host en cache, puis switchait sur le mode doh. c'est juste une démo, je me demande dans quelle mesure c'est fiable.

    Edit:
    la seule exception permettant un certificat (valide!) par IP est justement le 1.1.1.1 qui correspond à Cloudflare!

Discussions similaires

  1. Trolldi : Google et l'ONU sont parmi les pires auteurs d'erreurs liées aux MdP en 2018
    Par Stéphane le calme dans le forum Humour Informatique
    Réponses: 2
    Dernier message: 17/12/2018, 12h20
  2. Réponses: 4
    Dernier message: 01/12/2018, 14h31
  3. Réponses: 13
    Dernier message: 26/03/2018, 10h37
  4. Réponses: 10
    Dernier message: 24/01/2014, 14h03
  5. Réponses: 2
    Dernier message: 30/08/2004, 15h48

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo