Discussion :

[Stan Adkens]

Google va exécuter l’expérience DNS-over-HTTPS (DoH) dans Google Chrome
A partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain

Dans sa quête de plus de sécurité et de confidentialité, Google a annoncé mardi son intention de tester officiellement le nouveau protocole DNS-over-HTTPS (DoH) dans son navigateur Google Chrome. Les tests prévus à partir de fin octobre de cette année commenceront avec la version 78 de Chrome dès sa sortie et avec un nombre limité de fournisseurs DNS. Le protocole DoH fonctionne en envoyant des requêtes DNS à des résolveurs DNS spéciaux compatibles DoH. L'un des objectifs de cette méthode est d'accroître la confidentialité et la sécurité des utilisateurs en empêchant l'écoute et la manipulation des données DNS par des attaquants qui utilisent des techniques comme le man-in-the-middle.

L'avantage vient du fait que les requêtes DNS sont envoyées via le port 443, comme du trafic HTTPS chiffré, plutôt qu'en texte clair, via le port 53. Ce qui permet de cacher les requêtes DoH dans le flux interminable de trafic HTTPS qui se déplace sur le Web à tout moment de la journée, et empêche les observateurs tiers de suivre l'historique de navigation des utilisateurs en enregistrant et en consultant leurs données DNS non chiffrées.

Mozilla a commencé à travailler sur le protocole le DoH depuis 2017, avant d’annoncer le vendredi dernier son intention d’en faire progressivement la norme par défaut sur son navigateur Firefox, à commencer par les États-Unis à partir de fin septembre. « Après de nombreuses expériences, nous avons démontré que nous disposons d'un service fiable dont les performances sont bonnes, que nous pouvons détecter et atténuer les principaux problèmes de déploiement et que la plupart de nos utilisateurs bénéficieront des meilleures protections du trafic DNS chiffré », a déclaré la société. Si tout se passe comme prévu, le fabricant du navigateur espère que la fonctionnalité sera activée par défaut pour tous les utilisateurs américains d'ici l'année prochaine. Mais la stratégie DoH de Google diffère de celle de Mozilla.

Plan de mise en œuvre du DNS-over-HTTPS par Google

Le plan de Google pour soutenir DoH est complètement différent à l'implémentation faite par Mozilla. La première différence est qu’alors que Firefox a supporté le DoH depuis l'année dernière, en effectuant de nombreux tests, c’est en mai dernier que les développeurs de Google l'ont ajouté à Chrome. Mozilla a même dit que plusieurs utilisateurs ont adopté le DoH sur Firefox lors des essais. « Nous avons également été surpris et enthousiasmés par les plus de 70 000 utilisateurs qui ont déjà choisi d'activer explicitement DoH dans Firefox pour l’édition d’essai », a dit le développeur de Firefox.

Selon des informations sur le projet publiées mardi, Google dit que le premier test public de Chrome DoH est prévu pour le 22 octobre, et la version 78 de Chrome qui sortira à cette date passerait automatiquement à l'utilisation du nouveau protocole au lieu de DNS classique lorsque certains critères sont remplis.

Une autre différence majeure est qu’actuellement, Mozilla met en œuvre le support DoH en canalisant tout le trafic Firefox via les serveurs Cloudflare par défaut. Cependant, les utilisateurs de Firefox peuvent modifier ce paramètre pour utiliser des résolveurs DNS DoH personnalisés, toutefois, le fabricant du navigateur a été critiqué pour avoir utilisé Cloudflare par défaut.

Dans la mise en œuvre DoH de Google, le serveur DNS est substitué par ses homologues DoH offerts par les mêmes fournisseurs DNS. En effet, si un utilisateur Chrome utilise des serveurs DNS normaux de certaines sociétés qui utilisent également des résolveurs DNS compatibles DoH, Chrome enverra des requêtes DNS aux résolveurs DNS compatibles DoH du même fournisseur au lieu de les canaliser vers les serveurs un fournisseur tiers. Par exemple, si un utilisateur utilise les serveurs DNS de Cloudflare pour des requêtes DNS normales, Chrome enverra automatiquement les requêtes DNS au résolveur DNS compatible DoH de Cloudflare. Cette décision devrait répondre à la préoccupation des FAI selon laquelle une grande partie du trafic DNS Internet est orientée vers un seul fournisseur.

Toutefois, pour ce premier test, Google a dit qu'il passerait à DoH au lieu de DNS normal seulement pour quelques fournisseurs de DNS, et pas tous. La liste des fournisseurs DNS pris en charge comprend Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS et Quad9. Voici ce qu’a déclaré Kenji Baheux, chef de produit Chrome, à propos des fournisseurs sélectionnés :

« Les fournisseurs inclus dans la liste ont été sélectionnés pour leur position forte sur la confidentialité et la sécurité, ainsi que pour l'état de préparation de leurs services du ministère de la Santé, et ont également accepté de participer à l'expérience ».

Aussi, comme le support DoH s'étendra plus tard pour inclure également les serveurs DNS fournis par les fournisseurs de services Internet, le mécanisme de « changement de fournisseur » adopté par Mozilla conduira le DoH à contourner les filtres DNS mis en place au niveau des FAI. Par conséquent, un autre avantage de la solution de Google de remplacer les résolveurs DNS par des alternatives DoH des mêmes fournisseurs, est que les filtres DNS et les contrôles parentaux mis en place au niveau du fournisseur de DNS, y compris les FAI, resteront intacts.

En juillet, l’ISPA britannique a nommé Mozilla l’ « Internet Villain » pour avoir ajouté le support DoH à Firefox par défaut. Un FAI a soutenu qu'il ne pouvait pas filtrer le trafic pour les sites d'abus pédosexuels parce que le DoH permettrait aux utilisateurs de contourner les filtres qu'il avait mis en place. La réaction du fournisseur est intervenue après une réaction massive du public. Par la suite, Mozilla a annoncé en juillet qu'il n'activerait pas par défaut le support DoH pour les utilisateurs Firefox au Royaume-Uni.

Chrome a prévu une solution fallback au cas où les demandes DoH échoueraient

Si votre fournisseur de DNS ne figure pas sur la liste ci-dessus, cela signifie que vous ne participerez pas l'expérience DoH de Google pour la phase des premiers tests. Pour ceux qui sont inclus dans les tests, Google dit que si le commutateur tombe en panne ou si le résolveur DoH ne répond pas en temps voulu, Chrome reviendra automatiquement au service de résolution DNS classique. Voici ce qu’a déclaré M. Baheux à e propos :

« Les objectifs de cette expérience sont de valider notre mise en œuvre et d'évaluer l'impact sur la performance ». « Notre expérience s'exécutera sur toutes les plateformes supportées (à l'exception de Linux et iOS) pour une fraction des utilisateurs de Chrome. Sur Android 9 et au-dessus, si l'utilisateur a spécifié un fournisseur DNS-over-TLS dans les paramètres DNS privés, Chrome peut utiliser le fournisseur DoH associé, et reviendra au système DNS privé en cas d'erreur », a-t-il ajouté.

Le protocole DNS-over-TLS en question fonctionne en chiffrant le trafic DNS réel envoyé sur le port 853, plutôt que de le rediriger sur le port 443. Il s'agit d'un protocole considéré comme supérieur à celui du DoH.

Toutefois, les utilisateurs de Chrome ne sont pas obligés de participer à l’expérience Chrome DoH annoncée par Google. Pour ceux qui ne veulent pas être inclus dans l’expérience, Google dit qu’ils peuvent basculer chez un fournisseur DNS qui n'est pas sur sa liste – ce que la plupart des utilisateurs de Chrome font déjà – ou ils peuvent désactiver le support DoH en modifiant le drapeau chrome://flags/#dns-over-https. Par contre, s'ils veulent participer à l'expérience Chrome DoH, ils doivent configurer leur système d'exploitation pour utiliser les serveurs DNS des fournisseurs énumérés ci-dessus, d’après Google.

Aussi, si vous voulez activer DoH dès maintenant et ne voulez pas attendre jusqu'en fin octobre, Google dit que la seule façon d'utiliser DoH dans Chrome est de l'activer manuellement par un processus compliqué qui consiste à ajouter un argument de ligne de commande au raccourci exécutable Chrome.

L’une des plaintes des FAI à propos de l’ajout de DoH au navigateur est qu’ils ne peuvent plus jeter un coup d'œil dans le trafic DNS, ce qu’ils pouvaient faire avec les requêtes DNS en texte clair. Chrome n’échappera pas à cette discussion. Google prévoit un lancement à grande échelle pour plus tard si tout se déroule comme prévu.

Sources : Blog Chromium, Chromium

Et vous ?

Qu'en pensez-vous ?
Quels commentaires faites-vous de l’introduction du DoH par Google ?
Selon vous, pourquoi Google a attendu longtemps avant d’ajouter le DoH à Chrome ?

Lire aussi

Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump
Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées, en activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis, suite à une violation de données répertoriée
Firefox empêche désormais les sites Web et les annonceurs de vous suivre, et met fin au suivi de Facebook à partir des boutons "Partager" et "J'aime"
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS, qui s'appuie par défaut sur les serveurs Cloudfare

[mh-cbon]

d'un point de vu plus technique...

On note l'arrivé d'un nouveau type de média "application/dns-message"
https://tools.ietf.org/html/rfc8484#section-6

Le protocole autorise les requête GET via une variable d'URL définie par un template (la rfc présente un cas utilisant un service utilisant la variable dns section 4.1.1), ou des requêtes POST
utilisant le le corps du message pour transmettre la requête.
https://tools.ietf.org/html/rfc8484#section-4
Le contenu est une requête DNS (comme présenté ici https://tools.ietf.org/html/rfc1035)
encodé au base64url (cf particularités sur le padding).

Comme c'est du HTTP, c'est facile à mettre en cache.
Comme c'est du HTTP, y'a des codes d'erreurs de retours (différent de dns classique).
En bref on ré utilise toute l'architecture construite autour d'http pour faire du dns.

[Bruno]

Le Congrès US examine le projet de Google sur l’implémentation du chiffrement TLS,
après avoir été saisi par les principaux FAI américains

Récemment, Google a annoncé sur son blog qu'elle expérimenterait le chiffrement TLS pour les communications DNS transitant sur son navigateur Chrome. L'objectif était d'améliorer la sécurité et la confidentialité en ligne, notamment en empêchant l'espionnage et l'usurpation d'identité. TLS utilise la cryptographie à clé publique afin de faciliter l'échange des clés de session. De nombreuses applications utilisent TLS pour l'authentification et le chiffrement.

La tentative de Google de chiffrer les demandes de noms de domaine n'est pas du goût des principaux FAI aux États-Unis. Dans une lettre au Congrès datée du 19 septembre, Big Cable et d'autres groupes du secteur des télécommunications ont déclaré que le projet de Google poserait des problèmes de concurrence. Le Wall Street Journal a rapporté que le comité judiciaire de la Chambre prenait ces préoccupations au sérieux. Cela est illustré par exemple par le fait que dans une lettre datée du 13 septembre, ladite Commission a demandé à Google des informations détaillées sur ses projets DNS-over-HTTPS (DOH), notamment si Google envisageait d'utiliser les données collectées via le nouveau protocole à des fins commerciales.

Les grandes enseignes de l’industrie des télécommunications et de la câblodistribution ont averti que l’initiative DoH voulue par Google « pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ». D'autre part, dans le processus d'activation de DOH, Google basculera des millions d'utilisateurs sur ses propres serveurs DNS, ce qui entraînera une concentration des trafics vers les serveurs DNS de Google. Selon Google, ces accusations seraient infondées, car la société ne prévoit pas de basculer les utilisateurs de Chrome vers ses propres serveurs DNS.

Les principaux fournisseurs de services Internet qui ont interpellé le Congrès estiment que : « Étant donné que la majorité du trafic Internet transite par le navigateur Chrome ou le système d'exploitation Android, Google pourrait devenir le fournisseur prédominant de recherches DNS ». « Google aurait un meilleur contrôle sur les données des utilisateurs sur les réseaux et les appareils du monde entier. Cela pourrait empêcher la concurrence dans les secteurs de la publicité et bien d’autres ».

Cependant, Google n'est pas la seule organisation qui met sur pied ce chiffrement. Mozilla souhaite utiliser cette technique pour sécuriser le DNS dans Firefox. « Les FAI ne sont pas d’accord avec la norme simplement parce qu'ils veulent un accès continu aux données des utilisateurs », a déclaré Marshall Erwin, Senior Director of Trust and Security chez Mozilla. Un DNS non chiffré aide à cibler et à orienter les publicités sur le Web, a-t-il rappelé.

Source : The Wall Street Journal

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Rustls, une bibliothèque TLS écrite en Rust, surclasse les performances d'OpenSSL, selon son développeur

Gmail devient le premier fournisseur principal de messagerie à prendre en charge les rapports MTA-STS et TLS, pour améliorer sa sécurité

Arrêt des activités gouvernementales aux États-Unis : des certificats TLS n'ont pas été renouvelés, et plusieurs sites sont inaccessibles

[Christian Olivier]

Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS
Voici pourquoi ils s’opposent à la mise en place du protocole DoH sur Chrome

Lorsque vous visitez un nouveau site Web, votre ordinateur soumet probablement une demande au système de noms de domaine (DNS) pour traduire le nom de domaine (comme developpez.com) en une adresse IP. Actuellement, la plupart des requêtes DNS ne sont pas chiffrées, ce qui soulève des problèmes de confidentialité et de sécurité. Les entreprises Google et Mozilla voudraient répondre à ces préoccupations en implémentant la prise en charge dans leurs navigateurs de l’envoi de requêtes DNS via le protocole HTTPS crypté : c’est le protocole DNS-over-HTTPS (DoH).

Le protocole DNS-over-HTTPS et ses promesses

Le protocole DNS-over-HTTPS fonctionne en prenant un nom de domaine qu’un utilisateur a saisi sur son navigateur Web puis en envoyant une requête à un serveur DNS pour connaître l’adresse IP du serveur Web qui héberge ce site spécifique. Au cours de cette étape, la requête DNS est adressée à un serveur DNS compatible DoH (résolveur) via une connexion HTTPS chiffrée sur le port 443, plutôt qu’en texte clair sur le port 53. De cette façon, les requêtes DNS sont masquées à l’intérieur du trafic HTTPS régulier et le niveau de sécurité/confidentialité des séances de navigation est augmenté. Par ailleurs, chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des résolveurs par défaut du système d’exploitation (probablement DoH-non-compatible).

En théorie, ce système permet de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu. Il compromet également sérieusement la capacité de nombreux FAI à détecter et filtrer le trafic de leurs clients pour maintenir un historique de navigation et isoler les « sites malveillants » désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau.

L’avis des FAI aux États-Unis concernant ce projet

Mais c’était sans compter sur la réaction des principaux fournisseurs de services Internet qui n’ont pas caché leur scepticisme vis-à-vis de cette initiative. En juillet dernier, par exemple, l’association professionnelle des fournisseurs de services Internet (abrégé ISPA pour Internet Services Providers’ Association) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Donald Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».

Plus récemment, dans une lettre datant du 19 septembre adressée au Congrès américain, les géants de l’industrie des télécommunications et de la câblodistribution ont averti que l’initiative DoH voulue par Google « pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ». Comme leur homologue britannique de l’ISPA, les FAI des États-Unis assurent que l’adoption du protocole DoH va les empêcher de surveiller l’activité de leurs utilisateurs et qu’elle permettra à des acteurs tels que Google de transférer des millions d’utilisateurs vers leurs propres serveurs DNS, ce qui peut conduire à une concentration dangereuse du contrôle sur le DNS.

Dimanche dernier, le Wall Street Journal a rapporté que la Commission judiciaire de la Chambre des représentants prenait ces préoccupations des FAI au sérieux. Dans une lettre datée du 13 septembre, ladite Commission a demandé à la firme de Mountain View de fournir de plus amples détails sur ses plans concernant le DoH, notamment si Google prévoit d’utiliser à des fins commerciales les données recueillies dans le cadre du nouveau protocole.

Google expose sa vision du protocole DNS-over-HTTPS

Pour sa part, Google estime que ces préoccupations ne sont pas fondées et en dépit des insinuations avancées par les entreprises de télécommunications et leurs différents groupes de pression, la filiale d’Alphabet assure ne pas avoir pas l’intention de transférer les utilisateurs de son navigateur Chrome vers ses propres serveurs DNS ou de devenir un fournisseur de DNS chiffré qui concentrerait tous les pouvoirs. Il faut également préciser que, même si l’entreprise ne le dit pas, elle dispose de nombreux moyens de surveiller les habitudes de navigation des utilisateurs avec ou sans accès à leurs requêtes DNS.

À partir de la version 78, Chrome va commencer à expérimenter la nouvelle fonctionnalité DoH. Dans le cadre de cette expérience, le navigateur Web de Google « ​​vérifiera si le fournisseur DNS actuel de l’utilisateur fait partie d’une liste de fournisseurs compatibles DoH et procèdera à une mise à niveau vers le service DoH équivalent du même fournisseur », a indiqué Google. La firme de Mountain View a ajouté que « si le fournisseur DNS n’est pas dans la liste, Chrome continuera à fonctionner comme il le fait aujourd’hui ». En d’autres termes, si votre fournisseur DNS ne figure pas sur la liste évoquée plus haut, vous ne participerez pas à l’expérience DoH. Par ailleurs, Google a confié que dans le cadre de cette phase test, Chrome reviendra automatiquement au service de résolution DNS classique si le commutateur tombe en panne ou si le résolveur DoH ne répond pas en temps voulu.

Une des raisons possibles de la confusion sur ce point est que Mozilla envisage un déploiement plus agressif de cette technologie : l’éditeur de Firefox prévoit de transférer progressivement l’ensemble de ses utilisateurs vers le système DoH, que leur fournisseur de DNS existant supporte ou non cette fonctionnalité. Cette transition fera de Cloudflare le fournisseur DNS par défaut pour de nombreux utilisateurs de Firefox, quels que soient les paramètres DNS du système d’exploitation sous-jacent. Mozilla a plus de latitude pour agir de la sorte, car la plupart des enquêtes montrent que Firefox a une part de marché à un chiffre qui est significativement moins élevée que celle de Chrome. De plus, Firefox n’est pas un fournisseur DNS majeur, contrairement à Google. Il n’y aurait donc pas de base pour un examen antitrust si Mozilla transférait ses utilisateurs vers un nouveau fournisseur DNS.

En résumé

Il faut bien l’avouer, l’absence de DNS chiffré arrange bien les affaires des FAI qui trouvent parfois utile de surveiller le trafic Internet de leurs clients et à des fins plus controversées, comme le ciblage publicitaire ou le contrôle de leurs réseaux en cas de violation du droit d’auteur. Au final, avec la mise en place du protocole DoH, les FAI se retrouveraient avec une visibilité réduite sur les habitudes de navigation de leurs clients et une marge de manœuvre plus limitée que jamais. Ces dernières années, les sites Web ont adopté le cryptage SSL pour le contenu de leurs sites. Le chiffrement DNS semble être la prochaine étape naturelle vers un Internet plus sûr. Il peut nécessiter quelques ajustements douloureux pour les FAI, mais cela ne semble guère être une raison pour les décideurs politiques pour bloquer le changement.

Source : Lettre des FAI du 19 septembre adressée au Congrès (PDF), Parts de marché des navigateurs

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain

[Invité]

Qu’en pensez-vous ?

Vous n'utilisez pas les DNS de google ? c'est pas grave on va trouver une méthode pour vous y forcer.

Bien sur, il y aura le choix, il faudra désactiver l'option active par défaut dans un coin avec tout plein de terme technique pour perdre le lambda.

[bk417]

Sur le principe, Google a raison de pousser une techno qui protège les utilisateurs.
Tant qu'ils ne poussent pas leurs propres serveurs DNS, tout va bien.
Ne crions pas au loup trop tôt

[bilgetz]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Qu’en pensez-vous ?

Que le protocole HTTPS n'est pas crypté, mais chiffré et que le le cryptage SSL n'existe pas, mais le chiffrement SSL, oui.

Sinon pour le contenue de l'article:
Je suis pour le chiffrement des requêtes DNS, mais passer par du tunneling, c'est moyen.

Google commence à un peu trop abuser de sa position dominante avec chrome.

[Refuznik]

Je suis pour les dns chiffrés.

Sinon pour rassurer tous le monde avant de lire n'importe quoi (comme sur LinuxFR) l'option étant déja dispos sur Firefox.
C'est une option à cocher ou non donc vous n'êtes pas obligé de l'activer et de passer par Cloudfare.
Et vous avez aussi l'option pour utiliser vos propres dns chiffrés.

Bref ceux qui crie au scandale ce sont des gens qui ne veulent pas de chiffrement.

[walfrat]

Je suis pour les dns chiffrés.

Sinon pour rassurer tous le monde avant de lire n'importe quoi (comme sur LinuxFR) l'option étant déja dispos sur Firefox.
C'est une option à cocher ou non donc vous n'êtes pas obligé de l'activer et de passer par Cloudfare.
Et vous avez aussi l'option pour utiliser vos propres dns chiffrés.

Bref ceux qui crie au scandale ce sont des gens qui ne veulent pas de chiffrement.

Oui... et non. Car si on regarde sur le monde entier, il n'y a pas 5% de la population qui iront regarder ça, encore moins se faire son réglage vers un autre DNS chiffré. Donc au moment (si ce n'est pas déjà le cas) où Chrome activera cette option par défaut, ce sera tout pour Google (à quelque miettes bien négligeable pour lui), ce qui sera sans aucun doute vu comme de la concurrence déloyale.

De plus on parle aussi de l'écologie, le HTTPS partout ce n'est pas négligeable surtout par dessus des flux vidéos (best-of : Streaming genre Twitch).

Par ailleurs, je ne ferait pas de commentaire du type "les autres 95% devraient sans soucier". Faire la liste de tous les paramètres logiciels sur chaque application qu'on devrait se soucier parce que les options activer automatiquement ne sont pas toujours dans notre propre intérêt, ça mériterait presque d'être un sujet de thèse à renouveler tous les deux/trois ans.

[Paul TOTH]

Je suis pour les dns chiffrés.

Sinon pour rassurer tous le monde avant de lire n'importe quoi (comme sur LinuxFR) l'option étant déja dispos sur Firefox.
C'est une option à cocher ou non donc vous n'êtes pas obligé de l'activer et de passer par Cloudfare.
Et vous avez aussi l'option pour utiliser vos propres dns chiffrés.

Bref ceux qui crie au scandale ce sont des gens qui ne veulent pas de chiffrement.

tant que les DNS continuent d'offrir le même service...mais il suffirait qu'une partie du web ne soit plus accessible par DNS pour imposer une techno qui serait arrivée par la petite porte. On a déjà des warning sur le HTTP, on aurait également des warning sur la DNS.

je n'aime pas l'idée de chiffrer tout internet...le chiffrement des communications devrait être une encapsulation quand c'est nécessaire et non la norme, car le chiffrement (notamment de la résolution de de nom) ne nous protège pas de l'exploitation des données, cela permet simplement de concentrer l'information (ie les DNS Google pourront continuer à vous tracer à loisir)

[greg91]

La config du resolveur est une fonction de l'OS... Point final.

[Christian Olivier]

Mozilla assure que les FAI ont menti au Congrès US au sujet du chiffrement DNS
Pour semer la confusion

Les grands FAI aux États-Unis ne sont pas emballés par les projets de Google et Mozilla concernant le chiffrement DNS, deux entreprises d’Internet militant pour la mise en place du protocole DoH (DNS-over-HTTPS) sur leur navigateur respectif (Chrome et Firefox), et ils ne cachent pas leur scepticisme à l’égard de cette initiative.

En juillet dernier, l’association professionnelle des fournisseurs de services Internet (Internet Services Providers’ Association ou ISPA) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».

Plus tard, dans une lettre datant du 19 septembre adressée au Congrès US, les géants de l’industrie des télécommunications et de la câblodistribution ont averti que l’initiative DoH voulue par Google « pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ». Comme leur homologue britannique de l’ISPA, les FAI des États-Unis assurent que l’adoption du protocole DoH va les empêcher de surveiller l’activité de leurs utilisateurs et qu’elle permettra à des acteurs tels que Google de transférer des millions d’utilisateurs vers leurs propres serveurs DNS, ce qui peut conduire à une concentration dangereuse du contrôle sur le DNS.

Les activités de lobbying agressives des FAI américains auprès des législateurs américains ont poussé ces derniers à demander à la firme de Mountain View de fournir de plus amples détails sur ses plans concernant le protocole DoH. La filiale d’Alphabet doit notamment expliquer si elle prévoit d’utiliser à des fins commerciales les données recueillies dans le cadre du nouveau protocole et comment elle compte mettre en œuvre cette technologie sans violer les lois sur la concurrence, sachant qu’elle fait déjà l’objet de plusieurs enquêtes où elle est suspectée de s’adonner à des pratiques antitrust.

Mozilla est récemment monté aux créneaux pour dénoncer « la campagne de diabolisation » menée à l’encontre de l’initiative DoH (DNS-over-HTTPS) qui, au final, vise simplement l’amélioration de la protection de la vie privée des internautes. L’éditeur de Firefox exhorte notamment le Congrès US à ne pas se laisser abuser par les activités de lobbying des acteurs de l’industrie du haut débit dans ce dossier, tout en s’interrogeant sur les réelles motivations de ces derniers. L’entreprise affirme que la mise à niveau de confidentialité est devenue une nécessité pour protéger les utilisateurs au vu du grand nombre d’abus commis par les FAI vis-à-vis de la gestion des données personnelles de leurs clients, citant la vente illicite de ces données, la manipulation du DNS pour le ciblage publicitaire, la surveillance de l’activité des utilisateurs, la surfacturation pour bénéficier d’une confidentialité qui devrait faire partie du package minimum…

Dans la lettre qu’elle a adressée aux présidents et membres des trois commissions mandatées par la Chambre des représentants, Mozilla estime que l’attitude des FAI à l’égard d’une fonctionnalité qui met en avant la protection de la vie privée des internautes « soulève des questions sur la façon dont ils utilisent les données de navigation Web de leurs clients ». L’éditeur de Firefox soutient par ailleurs que les FAI ont donné des informations inexactes aux législateurs. Il les encourage même à examiner publiquement les politiques actuelles de collecte et d’utilisation des données des FAI, au motif que « plus d’informations sur les pratiques des FAI pourraient être utiles au Comité dans la poursuite de ses délibérations à ce sujet ».

Marshall Erwin, manager senior de la division Trust & Security chez Mozilla et signataire de la lettre, a expliqué : « Comme on pouvait s’y attendre, notre travail sur le DoH a été la cible d’une campagne qui vise à prévenir ces mesures de protection de la vie privée et de la sécurité, comme en témoigne la récente lettre adressée au Congrès par les principales associations de télécommunications. Cette lettre contenait un certain nombre d’inexactitudes factuelles ».

Il précise que les internautes sont suivis par Google, Facebook et d’autres sociétés de publicité, mais précise que les fournisseurs d’accès à Internet ont un « accès privilégié » à l’historique de navigation des utilisateurs. Selon lui, il existe déjà « un microciblage remarquablement sophistiqué sur le Web » et « c’est une erreur d’utiliser le DNS à ces fins ». En ce qui concerne les inquiétudes des FAI vis-à-vis de l’usage abusif que pourrait faire Google de l’exploitation du DoH, Erwin assure qu’il ne s’agit que d’un leurre : « l’effort de lobbying s’est concentré sur l’utilisation de Google comme croque-mitaine, au vu des préoccupations antitrust multiples qui existent aujourd’hui, pour susciter beaucoup d’incertitude sur les implications potentielles du DNS over HTTPS ».

Les ambitions de Mozilla avec le DoH

Pour rappel, la mise en œuvre à grande échelle du protocole DoH permettrait en théorie de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu. Il compromet également sérieusement la capacité de nombreux FAI à détecter et filtrer le trafic de leurs clients pour maintenir un historique de navigation et isoler les « sites malveillants » désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau.

Mozilla envisage un déploiement plus agressif de cette fonctionnalité dédiée à la protection de la vie privée en ligne. Il prévoit de transférer progressivement l’ensemble des utilisateurs de Firefox vers le système DoH, que leur fournisseur de DNS existant supporte ou non cette nouvelle fonctionnalité. Ce mouvement fera de Cloudflare le fournisseur DNS par défaut pour les utilisateurs du navigateur Web Firefox, quels que soient les paramètres DNS du système d’exploitation sous-jacent. Mozilla a plus de latitude pour agir de la sorte, car la plupart des enquêtes montrent que Firefox a une part de marché à un chiffre qui est significativement moins élevée que celle de Chrome. De plus, Firefox n’est pas un fournisseur DNS majeur, contrairement à Google. Il n’y aurait donc pas de base pour un examen antitrust si Mozilla transférait ses utilisateurs vers un nouveau fournisseur DNS.

Mozilla a établi des exigences spécifiques que les fournisseurs DNS doivent respecter pour obtenir une place dans son programme DoH. Par exemple, les résolveurs DNS doivent supprimer les données permettant d’identifier les utilisateurs dans un délai de 24 heures et ne les utiliser que « dans le but d’exploiter le service ». Par ailleurs, les fournisseurs « ne doivent pas conserver, vendre ou transférer à un tiers (sauf si la loi l’exige) des données personnelles, des adresses IP ou d’autres identificateurs d’utilisateurs ou des modèles de requêtes d’utilisateurs provenant des requêtes DNS envoyées par le navigateur Firefox ».

La politique de Mozilla interdit également de bloquer ou de filtrer le contenu sauf si les utilisateurs l’autorisent ou si la loi l’exige. Mozilla exige en outre un avis public de confidentialité qui détaille les pratiques de conservation des données du fournisseur de DNS ainsi que des rapports annuels de transparence qui documentent comment le fournisseur de DNS « traitera les demandes de données d’utilisateurs des services répressifs et qui documentera les types et le nombre de demandes reçues et auxquelles il aura répondu, sauf dans les cas où cette divulgation est interdite par la loi ».

La lettre de Mozilla au Congrès déplorait le fait que « les fournisseurs d’accès à Internet ne tiennent souvent pas d’avis de confidentialité pour leurs services DNS ». Résultat : « on ne sait pas exactement quelles données sont conservées, comment elles sont utilisées ou avec qui elles sont partagées » ! Parce qu’il y a si peu de réglementation sur les pratiques des fournisseurs de services à large bande en matière de protection de la vie privée, Mozilla estime que c’est aux éditeurs de navigateurs qu’il incombe de protéger les utilisateurs. L’entreprise précise toutefois que « pour vraiment protéger la vie privée, il faut mettre en place une combinaison de solutions techniques et réglementaires ».

Source : Lettre de Mozilla

Et vous ?

Que pensez-vous des arguments avancés par Mozilla dans cette affaire ?

Voir aussi

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain
Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS, voici pourquoi ils s'opposent à la mise en place du protocole DoH sur Chrome

[defZero]

Que pensez-vous des arguments avancés par Mozilla dans cette affaire ?

Qu'ils sont tout à fait valides et justifiés.

Je rajouterai même que pour moi, dans "ISP", le plus important et le cœur de métier est le côté "Provider".
Depuis quand c'est un rôle dévolu à l'ISP de fournir des services de résolution de nom ?
Si l'on déclare que c'est effectivement leurs rôles, alors je dit légiférons sur ce qu'ils ont le droits de faire ou pas.
Sinon, ils ne devraient pas avoir droit/voix au chapitre et laisser leurs clients choisir ce qui est le mieux pour eux, sans faire intervenir les politiques.
Pour la peine je serais tout à fait pour qu'ils est l'obligation légale de publié une liste des données récoltés chez leurs clients et des traitements qu'ils en font (tiens ça me rappel le RGPD, que pourtant je ne défend pas dans les grandes lignes).

[pcdwarf]

Bonjour,

Je suis opérateur (FAI) (un petit, pas un des 4 grands).

En tant qu'usager je ne trouve pas terrible d'utiliser un résolveur qui est centralisé dans un gros DC chez cloudflare ou google. Surtout que ces gens là ne se privent pas de faire du profilage avec les données de requêtes.
Le mieux, c'est quand même d'avoir son propre résolveur.

mais surtout je trouve anormal que le browser ait son propre système de résolution DNS indépendant de celui de la machine où il tourne.

si tu as un résolveur local ou si t'as mofifié ton fichier etc/hosts pour qui dire que chezmoi.fr c'est un serveur local en 192.168.0.X. ou même en 127.0.0.1, il y a certainement une raison et le browser ne devrait pas l'ignorer.

D'autre part, si il y a en effet des possibilités de censure et de mensonge, une bonne part des interceptions DNS ne sont pas malveillantes et visent au contraire à résoudre des problèmes.

Exemple : Il y a presque 2 ans, quand il y a eu un gros problème avec 8.8.8.8 qui était injoignable depuis pas mal d'endroits, qu'est-ce que j'ai fait ?
bah j'ai fait un NAT bien sale qui redirigeait temporairement les requêtes vers mon propre résolveur.
problème réglé en 2 minutes et clients contents.

Et bien demain quand le serveur DoH de cloudflare sera HS, (et il le sera parce que tôt ou tard parce qu'il va se prendre des DDoS monstrueux) Et bien ça ne sera pas mon problème...

"Sisi monsieur, vous avez le net. ça ping. C'est le serveur DNS de cloudflare qui est mort. démerdez vous."

Bref, je ne dis pas que DoH est à jeter mais que ça n'est pas sans poser d'autres problèmes potentiellement plus graves.

Donc, si je salue l'existence de ce nouveau protocole, je ne suis en revanche pas du tout enthousiaste à l'idée de sa généralisation là où ça n'est pas nécessaire.

[pcdwarf]

Depuis quand c'est un rôle dévolu à l'ISP de fournir des services de résolution de nom ?

L'ISP fournis un service de résolution de nom parce que l'usager n'est pas foutu de monter son propre resolveur.
Mais aucun ISP (sérieux) n’empêche ses client d'utiliser un autre resolveur que le sien.

Pour la peine je serais tout à fait pour qu'ils est l'obligation légale de publié une liste des données récoltés chez leurs clients et des traitements qu'ils en font

Je suis d'accord. Pour ma part, la déclaration est vite faite : Aucune collecte et donc aucun traitement

[Christian Olivier]

Le DNS-over-HTTPS finira probablement par être déployé sur tous les navigateurs, malgré l'opposition des FAI
Le support du DoH est déjà effectif sur Edge, Firefox, Opera, Vivaldi, Chrome et Brave

Au moins six éditeurs de navigateurs Web prévoient ou prennent déjà en charge le protocole DNS-over-HTTPS (DoH) - qui permet de chiffrer le trafic DNS et contribue à améliorer la confidentialité de l’utilisateur sur Internet - sur leurs produits. Le protocole DOH semblait initialement bénéficier du soutien exclusif de Google et de Mozilla parmi les éditeurs de navigateurs Web. Mais des sources proches du dossier suggèrent qu’en réalité, les principaux fournisseurs de navigateurs Web (notamment Microsoft, Apple, Google, et Mozilla) prévoient d’implémenter cette technologie au sein de leur navigateur Web, sous une forme ou sous une autre. Chrome, Firefox, Opera, Vivaldi, Safari, Edge et Brave sont concernés par cette annonce.

Pour rappel, le protocole DNS-over-HTTPS a été l’un des sujets d’actualité de l’année, car il donne la possibilité aux navigateurs Web de masquer les requêtes et les réponses DNS dans le trafic HTTPS d’apparence normale afin de rendre le trafic DNS d’un utilisateur invisible. Il compromet par la même occasion la capacité des observateurs tiers du réseau - tels que les FAI - à détecter et filtrer le trafic de leurs clients. En théorie, la mise en œuvre à grande échelle de cette technologie permettrait aussi de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.

Tandis que les défenseurs de la vie privée et les éditeurs de navigateurs dans leur grande majorité considèrent le DOH comme une aubaine pour les utilisateurs, les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau, plus sceptiques à l’égard de cette technologie, mettent en garde contre les dangers et abus qui découleraient de la mise en œuvre de ce projet. Aux USA par exemple, les géants de l’industrie des télécommunications et de la câblodistribution soutiennent que l’initiative DoH « pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ». Ils assurent par ailleurs que l’adoption de ce protocole va les empêcher de surveiller l’activité de leurs utilisateurs et qu’elle permettra à des acteurs tels que Google de transférer des millions d’utilisateurs vers leurs propres serveurs DNS, ce qui peut conduire à une concentration dangereuse du contrôle sur le DNS.

Firefox et le DoH

Mozilla est à l’origine de la création du DoH avec Cloudflare. L’éditeur de Firefox va progressivement transférer l’ensemble des utilisateurs de son navigateur Web vers son système DoH maison, que le fournisseur DNS existant de ces derniers supporte ou non la nouvelle fonctionnalité. Ce mouvement fera de Cloudflare le fournisseur DNS par défaut pour les utilisateurs de Firefox, quels que soient les paramètres DNS du système d’exploitation sous-jacent.

Mozilla a établi des exigences spécifiques que les fournisseurs DNS doivent respecter pour obtenir une place dans son programme DoH. Par exemple, les résolveurs DNS doivent supprimer les données permettant d’identifier les utilisateurs dans un délai de 24 heures et ne les utiliser que « dans le but d’exploiter le service ». Par ailleurs, les fournisseurs « ne doivent pas conserver, vendre ou transférer à un tiers (sauf si la loi l’exige) des données personnelles, des adresses IP ou d’autres identificateurs d’utilisateurs ou des modèles de requêtes d’utilisateurs provenant des requêtes DNS envoyées par le navigateur Firefox ».

La politique de Mozilla interdit également de bloquer ou de filtrer le contenu sauf si les utilisateurs l’autorisent ou si la loi l’exige. Mozilla exige en outre un avis public de confidentialité qui détaille les pratiques de conservation des données du fournisseur de DNS ainsi que des rapports annuels de transparence qui documentent comment le fournisseur de DNS « traitera les demandes de données d’utilisateurs des services répressifs et qui documentera les types et le nombre de demandes reçues et auxquelles il aura répondu, sauf dans les cas où cette divulgation est interdite par la loi ».

La prise en charge de DoH est déjà disponible dans les versions stables de Firefox. Vous pouvez l’activer dans la section Paramètres du navigateur, dans la section Réseau.

Chrome et le DoH

Google est la deuxième organisation, après Mozilla, à avoir ouvertement affiché son soutien à l'initiative. Google mène actuellement une expérience limitée avec un petit nombre d’utilisateurs pour voir comment DoH se comporte en situation réelle. Contrairement à Firefox, qui force tout le trafic DoH vers Cloudflare par défaut, le support DoH de Chrome est différent. Une fois la fonctionnalité DoH activée dans Chrome, ce dernier enverra les requêtes DNS aux mêmes serveurs DNS qu’auparavant. Si le serveur DNS cible possède une interface compatible DoH, Chrome chiffre le trafic DNS et l’envoie vers l’interface DoH du même serveur DNS. Dans le cas contraire, il continuera à opérer comme auparant. Par ailleurs, la société a précisé que dans le cadre de cette expérience, Chrome basculera automatiquement vers le service de résolution DNS classique si le commutateur tombe en panne ou si le résolveur DoH ne répond pas en temps voulu.

En raison de la façon dont Google a implémenté le support de DoH dans Chrome, les utilisateurs de ce navigateur risquent de ne jamais pouvoir utiliser cette fonctionnalité. C’est parce que le système d’exploitation d’un utilisateur obtient ses paramètres DNS d’une autorité centrale du réseau, qui est généralement le FAI. Si ce dernier ne veut pas utiliser un paramètre DNS compatible DoH, alors vous n’aurez jamais le DoH avec Chrome. Heureusement, des solutions permettant de contourner ce problème existent. Pour activer la fonctionnalité DoH sur Chrome, rendez-vous sur : chrome://flags/#dns-over-https.

Edge et le DoH

L’année prochaine, Microsoft prévoit de déployer une nouvelle version de son navigateur Web Edge architecturée autour de Chromium. La version Chromium de Edge supporte déjà DoH. Les utilisateurs peuvent l’activer en se rendant sur le site : edge://flags/#dns-over-https. Cette manœuvre activera la fonctionnalité DoH, mais cette dernière sera vraiment fonctionnelle que si votre ordinateur utilise un serveur DNS compatible DoH, ce n’est généralement pas le cas dans 99 % des cas.

Opera et le DoH

Opera a déjà déployé le support DoH. La fonction est désactivée par défaut pour tous les utilisateurs, mais elle peut être activée à tout moment dans la version stable. Opera à l’avantage de ne nécessiter aucune configuration supplémentaire de la part de l’utilisateur pour utiliser le DoH, car ce navigateur utilise un résolveur DoH par défaut, similaire à Firefox, qui échappe au contrôle des FAI, comme avec Chrome. Tout le trafic d’Opera DoH est actuellement acheminé vers le résolveur DoH de Cloudflare. Il est, cependant, obligatoire de désactiver le VPN intégré d’Opera pour que le DoH fonctionne. Pour activer DoH dans Opera, rendez-vous sur : opera://flags/opera-doh.

Safari et le DoH

Apple semble assez pointilleux concernant les fonctionnalités axées sur la protection de la vie privée des utilisateurs, de sorte qu’il y a de fortes chances pour que le DoH arrive sur Safari.

Vivaldi et le DoH

Un porte-parole de Vilvadi a déclaré que son soutien du DoH est étroitement lié à la mise en œuvre de Chrome. Les utilisateurs peuvent l’activer en se rendant sur le site : vivaldi://flags/#dns-over-https. Il faut cependant garder à l’esprit que l’implémentation du DoH sur Vivaldi est identique à celle qu’on retrouve sur Chrome. De ce fait, le support du DoH de Vivaldi pourrait changer à l’avenir, en fonction de la façon dont Google modifie le support DoH de Chromium.

Brave et le DoH

Même si l’éditeur de Brave - une solution basée sur Chromium - n’a pas encore d’échéancier précis pour le déploiement du DoH, Tom Lowenthal, chef de produit de la division Privacy & Security chez Brave, s’est voulu clair à ce propos : « Nous voulons absolument le mettre en œuvre ». Vous pouvez activer le DoH sur le navigateur Brave en visitant l’URL suivante : brave://flags/#dns-over-https.

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain

[bk417]

Evidemement puisqu'ils sont tous basés sur Chromium ils suivent leur maitre.

Firefox a initié le mouvement, il est le fer de lance de la protection de la vie privée.

Safari on sait pas. Vous dites "y a de fortes chances que" mais vous n'en savez rien.

Proposer l'option est une bonne chose, l'activer par défaut ne l'est pas à mon avis.

[Fleur en plastique]

Les arguments des uns et des autres se tiennent. Mais il y a forcément une bonne solution et une mauvaise.

Safari on sait pas. Vous dites "y a de fortes chances que" mais vous n'en savez rien.

En effet. On peut faire confiance à Apple pour faire le bon choix en ce qui concerne la vie privée et nous sortir de cette ridicule dispute.

Une fois qu'Apple aura choisi, on saura qui est le vrai mal : DNS-over-HTTPS ou juste DNS.

[ddoumeche]

Je dis que c'est très bien, une raison supplémentaire de ne plus utiliser Firefox, un navigateur qui ne veut plus jouer le jeu du partage des tâches.

[bk417]

Je dis que c'est très bien, une raison supplémentaire de ne plus utiliser Firefox, un navigateur qui ne veut plus jouer le jeu du partage des tâches.

Quelles sont les autres raisons ?
Quel est ce "jeu du partage des tâches" ?