Discussion :

[Stan Adkens]

Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées
En activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla

Mozilla continue dans son processus de renforcement de la vie privée des utilisateurs sur son navigateur Firefox. Une nouvelle composante de la vie privée en ligne que le développeur de navigateur Internet veut commencer à ajouter à la fin de ce mois après deux ans de travail, c’est le protocole DNS-over-HTTPS (DoH). Le DNS sur HTTPS deviendra progressivement la norme par défaut, à commencer par les États-Unis à partir de fin septembre, verrouillant une plus grande partie de la navigation sur le Web sans nécessiter un basculement explicite comme auparavant.

Le DoH sur Firefox devrait rendre vos habitudes en ligne d'autant plus privées et sécurisées, avec moins de risques de détournement de DNS et de surveillance de l'activité. Dans un billet de blog publié vendredi dernier, Mozilla a déclaré ceci :

« Après de nombreuses expériences, nous avons démontré que nous disposons d'un service fiable dont les performances sont bonnes, que nous pouvons détecter et atténuer les principaux problèmes de déploiement et que la plupart de nos utilisateurs bénéficieront des meilleures protections du trafic DNS chiffré ». L’entreprise a ajouté que « Nous sommes confiants que l'activation de DoH par défaut est la bonne étape suivante. Lorsque la fonction DoH est activée, les utilisateurs seront informés et auront la possibilité de s'en retirer ».

En effet, depuis 2017, Mozilla a commencé à travailler sur le protocole le DoH. Et à partir de juin 2018, l’entreprise a commencé à faire des essais du protocole avec son navigateur pour s’assurer que les performances et l'expérience utilisateur sont excellentes. Selon Mozilla, plusieurs utilisateurs n’ont pas hésité à adopter le DoH sur Firefox lors des essais. « Nous avons également été surpris et enthousiasmés par les plus de 70 000 utilisateurs qui ont déjà choisi d'activer explicitement DoH dans Firefox pour l’édition d’essai ».

Ce prochain déploiement du DoH dans Firefox est aussi motivé par les résultats de certaines recherches, selon le billet de Blog. En effet, l’entreprise a « constaté que les contrôles parentaux d'OpenDNS et la fonction de recherche sécurisée de Google étaient rarement configurés par les utilisateurs de Firefox aux États-Unis. Au total, 4,3 % des utilisateurs de l'étude ont utilisé les contrôles parentaux ou la recherche sécurisée d'OpenDNS ».

Se basant sur les résultats fiables obtenus lors de ses travaux avec la version d’essai d’DoH et les résultats de ses recherches, le développeur a rendu publique vendredi dernier son approche pour mettre en œuvre le protocole DoH dans son navigateur. Dans son plan de déploiement, l’entreprise dit qu’elle va :

« Respecter le choix de l'utilisateur pour les contrôles parentaux explicite et désactiver DoH si nous les détectons ; respecter la configuration de l'entreprise et désactiver DoH à moins que la configuration de l'entreprise ne l'autorise explicitement ; et enfin retourner aux valeurs par défaut du système d'exploitation pour les DNS lorsque la configuration à « split horizon » ou d'autres problèmes de DNS provoquent des échecs de recherche ».

Ce plan est prévu pour veiller à ce que les changements ne fassent pas disparaitre les mesures initiales de protection des utilisateurs. En effet, dans le trafic ouvert, les adresses IP et les activités de navigation peuvent être profilées et les requêtes interceptées et manipulées. Le protocole DoH chiffre les adresses des sites Web, contournant les fournisseurs d'accès Internet locaux et se connectant directement aux serveurs de noms centraux. Cela signifie que le trafic ne peut pas être détourné. Mais cela signifie aussi que bon nombre des outils de filtrage et de protection en place aujourd'hui, habituellement administrés par les fournisseurs d’accès à Internet, ne fonctionneront plus.

Pour cela, toutes les requêtes n'utiliseront pas HTTPS, d’après Mozilla. Mozilla s'appuie sur la méthode « fallback » qui revient au DNS par défaut du système d'exploitation s'il y a un besoin spécifique, comme certains contrôles parentaux et certaines configurations d'entreprise ou un échec flagrant de recherche. Ainsi, les choix des utilisateurs et des responsables informatiques qui ont besoin que la nouvelle fonctionnalité soit désactivée seront respectés, a déclaré Mozilla dans son billet de blog.

Mozilla dit qu'elle travaille avec les fournisseurs de contrôles parentaux et les FSI pour que tout cela fonctionne dans la pratique. La société exploitera un système où de telles protections « ajouteront un domaine canary à leurs listes de blocage ». Cela signifie, fournir un site délibérément bloqué aux listes qui alerteront Firefox, indiquant au navigateur qu'une protection est en place afin qu’il puisse bloquer le DoH.

Toutefois, une telle approche est susceptible d'être utilisée à mauvais escient par des attaquants, qui pourraient usurper le système pour bloquer le DoH pour de mauvaises raisons. Mais Mozilla a aussi déjà pensé à cette éventualité. Mozilla dit que s’il découvre un abus de la désactivation du DoH, « dans les situations où les utilisateurs n'ont pas explicitement choisi d'y participer, nous réexaminerons notre approche ».

Pas plus tard que le 4 septembre dernier, Mozilla a annoncé d’autres mesures de vie privée dans la nouvelle version de son système d’exploitation. Désormais, le navigateur de Mozilla va bloquer par défaut les cookies de pistage tiers. Cette protection améliorée sera automatiquement activée pour tous les utilisateurs. Les fonctions de confidentialité améliorées ont été testées sur les nouveaux utilisateurs depuis juin 2019 et couvrent actuellement 20 % des utilisateurs Firefox. Ce pourcentage va passer à 100 %. Mozilla a également annoncé son intention de bloquer les mineurs de cryptomonnaies par défaut. Grâce à cette mesure, les sites Web tiers ne pourront utiliser les ressources informatiques des visiteurs sans leur consentement.

En ce qui concerne le DoH, Mozilla dit qu’il va effectuer un déploiement progressif aux États-Unis « à partir de fin septembre ». Dans un premier temps, un plus petit pourcentage d'utilisateurs verront le changement, Mozilla « surveillant tous les problèmes » avant que le déploiement ne soit étendu. « Si tout se passe bien », a dit la compagnie, « nous vous ferons savoir quand nous serons prêts pour un déploiement à 100% », a-t-elle ajouté. Les États-Unis sont les premiers, mais le reste du monde pourra suivre.

Pour l’heure, la compagnie encourage les administrateurs d'entreprise et les fournisseurs de contrôle parental à consulter sa documentation de configuration ici et à la contacter pour toute question. Cependant, l'introduction du DoH par défaut ne serait-elle pas préjudiciable à la sécurité en ligne, à la cybersécurité et au choix des consommateurs ?

Sources : Mozilla

Et vous ?

Qu’en pensez-vous ?
Quels commentaires faites-vous de l’introduction du DoH par défaut dans Firefox ?
Êtes-vous pour ou contre l’utilisation du DoH par défaut ?

Lire aussi

Firefox empêche désormais les sites Web et les annonceurs de vous suivre, et met fin au suivi de Facebook à partir des boutons "Partager" et "J'aime"
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis, suite à une violation de données répertoriée
Firefox 69.0 débarque avec le blocage des traceurs et des mineurs de cryptomonnaies par défaut, et propose le blocage de la lecture automatique des médias
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis, suite à une violation de données répertoriée
Mozilla ajoute un nouvel interpréteur JavaScript plus rapide dans Firefox 70, et promet des gains de performance non négligeables avec le navigateur qui sortira en octobre

[bk417]

C'est bien mais il faut aussi activer l'eSNI (encrypted Server Name Indication) pour que la protection soit complète.

network.security.esni.enabled

[pmithrandir]

Je me demande quel sera l'impact sur des services de redirection (par exemple quand on se connecte sur un réseau nécessitant une authentification) ou qu'on essaye d'accéder à des DNS locaux(comme pour la freebox)

[Steinvikel]

La différence de l'usage habituel du DNS avec le DoH (ou mieux : DoT --> TLS), c'est que ce qui est fait en premier lieu avec ton IP, la requête... est effectué uniquement pour échanger les clé publique et privé, la connexion sécurisé étant établie, la requête est envoyée.

Quels commentaires faites-vous de l’introduction du DoH par défaut dans Firefox ?
De ce que je comprend, seul HTTPS est implémenté, qu'en est-il de DNS over TLS, ou de tunnel SSH ? Pourra-t-on les paramétrer en place de DoH ?
Si la réponse est "non", c'est dommage de choisir l'implémentation de la solution la moins sécurisé (entre DNS over TLS, DNS over HTTPS, et tunnel SSH).

[bk417]

De ce que je comprend, seul HTTPS est implémenté, qu'en est-il de DNS over TLS
c'est dommage de choisir l'implémentation de la solution la moins sécurisé

DNS over TLS c'est pas du ressort du navigateur, c'est au niveau de l'OS donc c'est à Windows et macOS d'implémenter le truc (MS et Apple).
Mozilla n'a pas "choisi", ils ont fait ce qui était faisable dans le navigateur.

[Steinvikel]

DNS over TLS c'est pas du ressort du navigateur, c'est au niveau de l'OS donc c'est à Windows et macOS d'implémenter le truc (MS et Apple).

J'ai du mal à comprendre en quoi l'implémentation d'un protocole est du ressort de tel ou tel partie de ta machine.
Le navigateur web souhaite établir une communication sécurisé, il a alors 2 choix :
1) il demande à l'OS d'établir une communication sécurisé
2) il établi lui-même une communication sécurisé.

"Mozilla n'a pas "choisi", ils ont fait ce qui était faisable dans le navigateur."
Je ne saisi pas non plus. Qu'entends-tu par "faisable"... on parle bien d'implémentation là ? (et donc d'ajouter ce qui n'existe pas dedans)

[bk417]

Pour respecter un minimum les couches du modèle OSI.
C'est déjà bien dégueu d'avoir des requêtes DNS dans de l'HTTP, dans une logique puriste de respect du modèle OSI c'est à l'OS de gérer les requêtes DNS chiffrées. Comme le fait Android 9+ par exemple.
La preuve que c'est dégueulasse avec HTTP: Mozilla annonce des exceptions et des manips à faire pour éviter de casser des trucs (le coup de use-application-dns.net par ex).

[Steinvikel]

Pour respecter un minimum les couches du modèle OSI.
C'est déjà bien dégueu d'avoir des requêtes DNS dans de l'HTTP, dans une logique puriste de respect du modèle OSI c'est à l'OS de gérer les requêtes DNS chiffrées. Comme le fait Android 9+ par exemple.
La preuve que c'est dégueulasse avec HTTP: Mozilla annonce des exceptions et des manips à faire pour éviter de casser des trucs (le coup de use-application-dns.net par ex).

Je comprends mieux ton point de vu. Donc selon toi, Signal, Telegram... sont de mauvaises approches de conceptions ? --> elles ne s'appuient pas sur l'OS pour sécuriser les communications, elles recentrent la confiance pour la sécurité dans leur logiciel, plutôt qu'un OS propriétaire.

[bk417]

Je comprends mieux ton point de vu. Donc selon toi, Signal, Telegram... sont de mauvaises approches de conceptions ? --> elles ne s'appuient pas sur l'OS pour sécuriser les communications, elles recentrent la confiance pour la sécurité dans leur logiciel, plutôt qu'un OS propriétaire.

Les applications de messagerie se suffisent à elles-même, c'est pas comme un navigateur sur lequel on utilise des applis métier, des ERP, des intranet, etc... c'est bien plus complexe il y a un écosystème de services mis en place dans les entreprises qui s'appuient sur le navigateur.

OS propriétaire, aïe le mot est laché, un libriste qui pratique le sarcasme ça fait mal.
Que l'OS soit libre n'est pas le sujet ici. Tu vas me dire que si ça se trouve Windows envoie les url lues par Firefox à la NSA, du coup DoH est inutile sur un OS non-libre...

edit: je pense que le choix de DoH s'est fait parce que sur le port 443 ça passe les pare-feux facilement et ça n'est pas blocable aussi facilement que le port 853.

[yokosano]

Bonjour à tous,

L'affirmation : "Le protocole DoH chiffre les adresses des sites Web, contournant les fournisseurs d'accès Internet locaux et se connectant directement aux serveurs de noms centraux." est erronée.
Pour cela il faut réexpliquer brièvement le fonctionnement du DNS

Votre terminal (1) se connecte à un résolveur (2) (celui de votre FAI la plupart du temps) et ce dernier qui fait souvent office de cache (tampon de données) se connecte aux serveurs faisant autorité (3) (ceux qui détiennent réellement l'information DNS)

Le DOH ne protège que les échanges entre 1 et 2

L'activation par défaut dans Firefox (about:config recherche sur trr) de DOH redirige vers la résolveur (2) de Cloudflare. Au lieu d'être pisté par votre FAI qui respecte le RGPD, vous serez pisté par Cloudflare qui est une entreprise étasunienne soumise au "CloudAct" : loi qui oblige toute entreprise étasunienne à fournir les données quelle possède quelque soit leur localisation dans le monde !

Plus d'informations ici : https://www.bortzmeyer.org/8484.html et ici : https://www.bortzmeyer.org/7626.html

Les solutions possibles ?
* faire passer vos requêtes DNS via Tor
* installer votre propre résolveur (2) et lui faire interroger directement les serveurs faisant autorité : https://www.bortzmeyer.org/son-propr...lveur-dns.html

[Steinvikel]

Les applications de messagerie se suffisent à elles-même, c'est pas comme un navigateur sur lequel on utilise des applis métier, des ERP, des intranet, etc... c'est bien plus complexe il y a un écosystème de services mis en place dans les entreprises qui s'appuient sur le navigateur.

OS propriétaire, aïe le mot est laché, un libriste qui pratique le sarcasme ça fait mal.
Que l'OS soit libre n'est pas le sujet ici. Tu vas me dire que si ça se trouve Windows envoie les url lues par Firefox à la NSA, du coup DoH est inutile sur un OS non-libre...

edit: je pense que le choix de DoH s'est fait parce que sur le port 443 ça passe les pare-feux facilement et ça n'est pas blocable aussi facilement que le port 853.

J'admet ne pas saisir en quoi un logiciel se limitant à la communication textuelle, et un autre logiciel dont ce n'est qu'une partie, ne peuvent mettre en oeuvre les mêmes solutions logicielles (implémentations). Oui, il y a des écosystèmes de services déjà en place, qu'il serait dommage de perturber, mais ça ne les remplaces pas, ça apporte des alternatives, sur lesquels l'écosystème évoluera ou non.

Je ne m'en cache pas, quand il est question de sécurité, je préfère largement m’appuyer au maximum sur des solutions libres, ou à défaut, des solutions pleinement documentés/sourcé.
En sécurité, il est important de garder à l'esprit 3 points :
1) pour avoir le contrôle absolu, il faut avoir la connaissance/maîtrise de tous les maillons de la chaine.
2) dans le cas contraire, sur tout les maillons que l'on ne maîtrise pas, c'est une simple affaire de confiance.
3) ne pas "contrôler" un maillon peut hypothétiquement avoir une incidence sur le contrôle que l'on a sur les maillons suivants.

Vous avez un téléphone qui communique en passant par des protocoles qui ne vous conviennent pas, alors vous faites appel à un programme qui, lui, utilise ceux qui vous conviennent. Doit-on attendre de Mocrosoft qu'il sécurise notre vie privée ?... moi je ne lui fait pas confiance, d'autant plus qu'une part de son économie est basé dessus.
Cela fait-il de moi un libriste ? absolument, oui !
C'est pour moi une simple affaire de logique, je ne suis pas omniscient, il se peut que je me trompe, je suis donc ouvert à toute critique.

[Stan Adkens]

Ungleich : désactivez Firefox DNS-over-HTTPS (DoH), maintenant
Car c'est très mauvais pour nous tous, à bien des égards

Après deux ans de travail sur le DNS-over-HTTPS (DoH), Mozilla a annoncé vendredi une activation progressive du protocole par défaut pour les utilisateurs de Firefox aux États-Unis plus tard ce mois-ci. Quand Mozilla a annoncé qu'il travaillait pour soutenir DoH dans Firefox, l’annonce a déclenché une controverse dès le départ. La nouvelle a suscité la joie dans certaines communautés tandis qu’elle n’a pas été bien accueillie dans certains groupes.

En effet, les défenseurs de la vie privée se sont réjouis, et pour de bonnes raisons, car DoH permettrait aux dissidents et autres groupes opprimés de contourner les filtres de trafic Web mis en place dans les régimes oppressifs. Tandis que cette possibilité de contournement des filtres Web faisait fâcher dans les environnements des fournisseurs d’accès à Internet, qui s’en servent justement pour filtrer le trafic des mauvais sites, imposer des blocs de sites autorisés par la loi ou collecter l'historique de navigation des utilisateurs pour le revendre aux annonceurs.

DoH Firefoxe signifie que Firefox concentrera tout le trafic DNS sur Cloudflare, en envoyant les requêtes DNS de tous les utilisateurs de Firefox aux Etats-Unis aux résolveurs DNS compatibles DoH du fournisseur. Et comme le support de DoH s'étendra plus tard pour inclure également les serveurs DNS fournis par les fournisseurs de services Internet, ce mécanisme de « changement de fournisseur » permettra à DoH de contourner les filtres DNS mis en place au niveau des FAI pour empêcher l'accès aux contenus pédopornographiques ou légalement requis par des listes de blocage au niveau national.

Le cercle de protestation contre le DoH Firefox continue de s’agrandir. Ungleich, un acteur du numérique a déclaré mercredi dans un billet de blog que le déploiement du DNS-over-HTTPS annoncé par Mozilla est très mauvais à bien des égards, pour nous tous. Par conséquent, le site Web incite les utilisateurs à désactiver le protocole sur leur navigateur Firefox.

Ungleich pensait que des discussions animées et préoccupantes sur cette question allaient depuis lors pousser Mozilla à faire « le bon choix et ne pas s'engager dans la mauvaise direction, mais notre peur devient une réalité imminente » avec l’annonce de Mozilla. Le site Web dit avoir lui-même écrit un article pour attirer l’attention sur la nouvelle résolution DNS de Mozilla comme étant très dangereuse.

Quelques raisons pour lesquelles le DoH Firefox est mauvais, selon Ungleich

Selon le site Web, « DoH signifie que Firefox concentrera tout le trafic DNS sur Cloudflare, et qu'il enverra le trafic de tous ses utilisateurs vers une seule entité ». Pour Ungleich, cela voudrait dire que les personnes à l'extérieur des États-Unis peuvent maintenant être entièrement suivies par le gouvernement américain, au grand dam de certains règlements comme le RGDP (Règlement général de l'UE sur la protection des données). « Il est en effet très douteux que le DoH soit déployé par défaut, puisque les utilisateurs ne choisissent PAS d'y participer, mais doivent s'en retirer », peut-on lire dans le billet de blog.

Selon le billet de blog, l’implémentation de DoH par Firefox n’est pas seulement mauvaise pour les utilisateurs en dehors des Etats-Unis. Elle l’est aussi pour les citoyens américains, « parce que, que vous fassiez confiance à Cloudflare ou non, vous finirez par supporter directement la centralisation en utilisant DoH dans Firefox ». Selon le billet de blog, la centralisation voulue par Mozilla fait dépendre les Américains d'un seul grand acteur, ce qui se traduit par moins de choix et va contre l'innovation. Ungleich dit que la centralisation de la résolution DNS affecte tout le monde en créant un dangereux déséquilibre de pouvoir et de ressources entre le centre et le reste.

Cependant, selon un commentateur du sujet, l’idée que Firefox dirigera par défaut les requêtes DoH vers les serveurs DNS exploités par CloudFlare aux États-Unis signifie que CloudFlare a la possibilité de voir les requêtes des utilisateurs est erronée. Selon le commentateur, Mozilla a mis en place une politique TRR (Trusted Recursive Resolver) qui interdit à CloudFlare ou à tout autre partenaire du DoH Firefox de collecter des informations d'identification personnelle. Pour atténuer ce risque, les partenaires sont contractuellement tenus de respecter cette politique, peut-on lire dans le commentaire.

Ce qui convient de faire pour une implémentation judicieuse du DoH, selon Ungleich

Selon le billet de Blog, la bonne façon serait d'uniformiser DoH et DoT, et d'ajouter le support dans les configurations d'adresses automatiques et les systèmes d'exploitation et non pas dans les applications. Ungleich dit également que Mozilla peut et doit annuler le changement qui concentre les requêtes vers un seul fournisseur DoH et permettre aux utilisateurs de s'inscrire facilement et sélectionner le fournisseur DoH qu’ils veulent au lieu de choisir par défaut Cloudflare.

Aussi, « Mozilla peut également prendre de vraies responsabilités et collaborer avec la communauté Internet et créer des RFC (requests for comments) pour que les publicités DHCPv4, DHCPv6 et routeur prennent en charge les URL DNS au lieu des adresses IP uniquement. Mozilla pourrait également aider à développer le support dans les systèmes d'exploitation, si la confidentialité était vraiment une préoccupation pour Mozilla », a écrit Ungleich.

Ungleich vous recommande absolument de désactiver DoH, si vous êtes dans la distribution de logiciels, « comme l'a fait un bon exemple d'OpenBSD ».

Si les choses restent en l’état, Ungleich exhorte les utilisateurs à utiliser des blogs ou tout autre moyen de communication Web pour pousser Mozilla à renoncer à son changement. Il dit que les utilisateurs peuvent aussi se plaindre directement à Mozilla via leur compte Twitter et Facebook. Une autre façon de faire est de changer le navigateur de Firefox, mais Ungleich ne sait pas quel autre navigateur recommander, car pour ce qui est de la protection de la vie privée, Firefox a été le dernier recours pour plusieurs personnes, selon la société.

Pour les FAI qui craignent que le DoH contourne leurs filtres Web, Mozilla a dit qu'après avoir activé DoH par défaut pour les utilisateurs américains, Firefox contiendra un mécanisme pour détecter la présence de tout logiciel de contrôle parental local ou de configurations d'entreprise. Si l'un d'entre eux est trouvé, Firefox désactivera automatiquement DoH, de sorte que le navigateur ne contournera pas les contrôles parentaux ou les configurations d'entreprise et les filtres de trafic qui ont été intentionnellement mis en place pour la sécurité des utilisateurs.

Google a aussi annoncé mardi qu’il va exécuter l’expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 de son navigateur qui sortira le 22 octobre prochain. Mais Google ne s’est pas limité à un seul fournisseur DoH.

Pour ceux qui veulent toutefois désactiver DoH dans leur navigateur Firefox, allez dans Paramètres->Paramètres réseau et décochez la case Activer DNS sur HTTPS. Alternativement, allez à about:config dans la barre d'adresse, recherchez network.trr.mode et réglez-le sur 5.

Sources : Ungleich

Et vous ?

Que pensez-vous ?
Pensez-vous aussi que le DoH Firefox est très dangereux pour tout le monde ?
De quoi vous vous préoccupez personnellement dans le cadre de l’implémentation de DoH dans les navigateurs ?

Lire aussi

Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome, à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain
Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées, en activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla
Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump
Mozilla ajoute un nouvel interpréteur JavaScript plus rapide dans Firefox 70, et promet des gains de performance non négligeables avec le navigateur qui sortira en octobre

[Aiekick]

les abus des monopole. finalement FireFox vaut pas mieux que Google faut croire.

mème si les fourniserus doh ont signé l'accord de non divulgation, le fait qu'il pussent sniffer les datas sans être inquiété est la preuve qu'il vont pas ce priver pour le faire.

[bk417]

les abus des monopole. finalement FireFox vaut pas mieux que Google faut croire.

mème si les fourniserus doh ont signé l'accord de non divulgation, le fait qu'il pussent sniffer les datas sans être inquiété est la preuve qu'il vont pas ce priver pour le faire.

Firefox n'a aucun monopole avec ses pauvres 4,6% de part de marché.

[strato35]

les abus des monopole. finalement FireFox vaut pas mieux que Google faut croire.

mème si les fourniserus doh ont signé l'accord de non divulgation, le fait qu'il pussent sniffer les datas sans être inquiété est la preuve qu'il vont pas ce priver pour le faire.

Cet été, j’étais seul au bureau pendant au moins 1 semaine. J'aurai pu bosser à poil sans être inquiété et pourtant malgré la chaleur j'ai au moins conservé mon pantalon alors que techniquement, j'aurai pu ne pas ne priver puisque personne ne l'aurai su.
Exemple absurde certes mais c'est pas parce qu'on peut faire quelque chose qu'on le fait forcément...

Mais je reste d'accord sur un point, il ne faut pas qu'un seul fournisseur ai le monopole et plutôt attendre d'avoir d'autres alternatives pour activer la fonctionnalité, et surtout laisser le choix à l'utilisateur de quels autres fournisseurs Firefox doit utiliser.
Avec bien-sûr un choix par défaut plus large qu'actuellement pour les utilisateurs lambda qui ne souhaitent pas s'occuper d'une phase de personnalisation.

Bref tant que ce sera comme ça je désactiverai mais dès qu'une alternative se présentera je reviendrai sur mon jugement.

[abriotde]

Arrêtez, en quoi est-ce grave que potentiellement les USA sachent sur quel site vous soyez aller? Beaucoup moins grave que le gouvernement français, ou n'importe quel pirate le sache et surtout vous bloque. Les USA bloquent beaucoup moins même les sites iraniens. Après rien ne passe par le DNS, une fois que vous êtes sur le site, on ne passe plus par le DoH, pire ils peuvent même pas savoir combien de fois vous y allez, la requête est faite une fois puis mise en cache. De plus très probablement, il y aura des serveurs DoH alternatif et libre en Europe.
Autre point si le DoH de Firefox ment cela fera très vite scandale, alors que l'on sait que les DoH français mentent et pas que pour le terrorisme, le porno, le téléchargement illégal...

Le protocole DoH est une grosse faille très facile a détourner pour un pirate. Il peut vous faire croire que vous êtes sur le site de votre banque alors que vous êtes sur son site grâce a votre DNS. Il faut être ignare ou fou pour refuser le DoH. Le risque est bien plus grand a utiliser le DNS que de se faire épier par la NSA.

La meilleur et seul alternative, si vous ne voulez vraiment pas du DoH et pas vous faire épier par la NSA ou la DGSE c'est Tor (appelé dark-web).

[sevyc64]

Après rien ne passe par le DNS,

Ce qui passe déjà, c'st le site que tu souhaite visiter. C'est déjà à elle seule une info de taille.

la requête est faite une fois puis mise en cache.

La mise en cache a une durée de vie limitée. Passer cette durée, même si l'adresse est déjà connue, le dns est systématiquement re-interrogé.
La durée de vie de certains enregistrements dns est paramétrée à moins de 3 min. La pluspart sont généralement de l'ordre de 12 à 24h.

Autre point si le DoH de Firefox ment cela fera très vite scandale

Ah bon ? Parce que les dns menteurs classiques actuels font scandale ?
Sur ce point il n'y aura pas plus de scandale. 99% des utilisateurs ne s'en rendront même pas compte, et non, de toute façon, pas les connaissances pour comprendre ce qu'il se passe.

Il peut vous faire croire que vous êtes sur le site de votre banque alors que vous êtes sur son site grâce a votre DNS.

Sur ce point aucun changement, la faille existe toujours.
Ce n'est pas la réponse du dns qui est fiabilisée, c'est juste le tuyau de transport de la requête et de la réponse qui est chiffré.

c'est Tor (appelé dark-web).

Faut quand même pas non plus tout mélanger.
TOR est un protocole d'établissement de connexion.
Le dark-web est une partie du web cachée. Et même si une toute petite partie spécifique de ce dark-web n'est accessible que par TOR, le dark-web ne se limite pas à TOR, bien au contraire. Et TOR est un outil qui peut tout aussi être utilisé sur le web classique.

[spyserver]

Moi j'ai activé DNScrypt (conçu par un français il me semble) directement au niveau de mon routeur et c'est encore plus simple

[Steinvikel]

Que pensez-vous ?

permettre aux utilisateurs de s'inscrire facilement et sélectionner le fournisseur DoH qu’ils veulent au lieu de choisir par défaut Cloudflare.

En faite la formulation est trompeuse, car elle laisse penser que Mozilla paramètre Cloudflare par défaut mais vous laisse le choix... alors qu'en vérité, elle vous impose Cloudflare sans possibilité de le changer.

De quoi vous vous préoccupez personnellement dans le cadre de l’implémentation de DoH dans les navigateurs ?
S'il était possible de paramétrer à quel DNS on souhaite communiquer, je ne verrais alors plus qu'un défaut : pourquoi choisir par défaut un acteur qui présente assez peu de garanties sur le respect de la vie privée, en comparaison d'une organisation à but non lucratif de grande ampleur tel que Quad9 (9.9.9.9) ?

Pensez-vous aussi que le DoH Firefox est très dangereux pour tout le monde ?
Oui, principalement parce que la seule chose qui contraint l'acteur en question c'est un contrat où il dit "promis je ferais pas ce que je fait d'habitude et je dis ainsi non à une bonne part du gâteau", aucun mécanisme de contrôle ne semble mis en oeuvre, ça repose uniquement sur de la confiance. N'y a-t-il pas eu assez de précédents pour se retrouver dans cette situation ?
Firefox a des réglages par défauts différents pour les moteurs de recherche en fonction des pays de l'utilisateur... pourquoi les paramétrages pour le DoH serait-il unique ? ...ça sent le contrat à plein nez.

Les paramètres par défaut sont très très important en terme de répercutions sur le marché... la grande majorité de la masse ne changera pas ses paramètres --> "j'y connais rien, et ça marche très bien comme ça !"

[Lordanonymous]

Un truc que je ne comprend pas et qui n'est jamais traité c'est pourquoi ne pas utiliser la norme DNSSEC et par extension le protocole DANE (histoire de ce débarrasser une bonne fois pour toute des autorités de certification - une pierre deux coup) ?
Tout les navigateurs s'en sont détournés sans jamais rien expliquer et maintenant ils font passer du DNS dans du HTTPS (n*que le modèle OSI).

Leur prochaine lubie ce sera des paquets IPSec dans des GIF par stéganographie au travers du HTTPS si ça continu comme ça...

Franchement c'est à n'y rien comprendre .