3 pièce(s) jointe(s)
Trolldi :Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS
Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS,
aux côtés de l'article 13 et de Donald Trump
L'association professionnelle des fournisseurs de services Internet (ISPA - Internet Services Providers’ Association) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de cette année.
Dans un billet de blog, elle a déclaré :
« L’Association des fournisseurs de services Internet est heureuse d’annoncer les finalistes du Internet Hero and Villain 2019.
« À une époque où la technologie et Internet ont pris une place prépondérante et sont un moteur d'innovation et de croissance, les problèmes politiques posés par cette perturbation font désormais partie des plus grands problèmes auxquels sont confrontés les décideurs dans le monde.
« Les nominations Internet Hero cette année incluent les entités qui font campagne pour améliorer la confiance et la confidentialité en ligne; tirant vers le haut l’évolution du paysage haut débit au Royaume-Uni; et travaillant sur les questions de gouvernance mondiale de l'internet. Tandis que les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».
L’ISPA britannique a publié la liste ci-dessous « après des semaines de consultation et un grand nombre de candidatures reçues par le public via e-mail et Twitter » :
ISPA Internet Hero
- Sir Tim Berners-Lee : pour avoir lancé une Magna carta pour le Web visant à rétablir la confiance et à protéger la nature ouverte et libre d’Internet à l’occasion du trentième anniversaire du World Wide Web. Le contrat pour le Web est un effort visant à réunir les gouvernements, les entreprises, la société civile et les utilisateurs du Web afin de développer une feuille de route pour créer un Web au service de l’humanité et qui constitue un bien public pour tous, partout dans le monde.
L’objectif est de se servir du contrat pour que chaque partie soit tenue responsable de faire sa part afin de créer un Web ouvert et gratuit.
Ceux qui souscrivent aux principes contractuels auront l’occasion de définir un contrat complet dans le cadre d’un processus de collaboration avec les gouvernements, les entreprises et les internautes individuels, en négociant des actions spécifiques à entreprendre par chaque partie.
- Andrew Ferguson OBE, éditeur, Thinkbroadband : pour ses analyses indépendantes et ses précieuses données sur le marché du haut débit au Royaume-Uni depuis 2000
- Oscar Tapp-Scotting & Paul Blaker, équipe mondiale de la gouvernance de l’Internet, DCMS : pour avoir dirigé les efforts du gouvernement britannique pour assurer un programme équilibré et proportionné à la Conférence de l’Union internationale des télécommunications
ISPA Internet Villain
- Mozilla : pour son approche proposée visant à introduire DNS sur HTTPS de manière à contourner les obligations de filtrage et les contrôles parentaux du Royaume-Uni, sapant ainsi les normes de sécurité Internet au Royaume-Uni
- Article 13 de la directive sur le droit d'auteur : pour menacer la liberté d'expression en ligne en exigeant des « technologies de reconnaissance du contenu » sur toutes les plateformes
- Le président Donald Trump : pour avoir créé une énorme incertitude dans la chaîne logistique mondiale complexe de télécommunications dans le but de protéger la sécurité nationale.
Le cas de Mozilla
L’ISPA britannique a donc dans sa liste des Internet Villain Mozilla en raison des projets de la Fondation visant à prendre en charge le protocole DNS sur HTTPS (DoH) dans son navigateur Firefox.
Qu’est-ce que DoH et pourquoi cela n’enchante pas les FAI ?
Le protocole DNS sur HTTPS (IETF RFC8484) fonctionne en envoyant des demandes DNS via une connexion HTTPS chiffrée, plutôt qu'en utilisant une demande UDP en texte brut classique, comme le système DNS classique fonctionne.
L'autre différence est qu'en plus d'être chiffré, le protocole DoH fonctionne également au niveau de l'application, plutôt qu'au niveau du système d'exploitation.
Toutes les connexions DNS sur HTTPS ont lieu entre une application (telle qu'un navigateur ou une application mobile) et un serveur DNS sécurisé et compatible DoH (résolveur).
Tout le trafic DoH est fondamentalement juste HTTPS. Les requêtes de noms de domaine DoH sont chiffrées, puis cachées dans le trafic Web normal envoyé au résolveur DNS DoH, qui répond ensuite avec l'adresse IP d'un nom de domaine, également dans un HTTPS chiffré.
Comme effet secondaire de cette conception, cela signifie également que chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des serveurs DNS par défaut du système d'exploitation (qui sont probablement DoH-non-compatible).
Cette conception de protocole signifie que les demandes DNS d'un utilisateur sont invisibles pour les observateurs tiers, tels que les fournisseurs de services Internet; et toutes les requêtes et réponses DNS DoH cachées dans un nuage de connexions chiffrées, indiscernables de l’autre trafic HTTPS.
En théorie, le protocole est un rêve des défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d'appareils de sécurité réseau.
Le Royaume-Uni a peur que DoH soit un handicap pour son schéma national de blocage du Web
Au Royaume-Uni, les fournisseurs de services Internet sont légalement contraints de bloquer certains types de sites Web, tels que ceux qui hébergent des contenus portant atteinte aux droits d'auteur ou faisant l'objet d'une marque. Certains fournisseurs d'accès bloquent également d'autres sites à leur discrétion, tels que ceux qui affichent un contenu extrémiste, des images pour adultes et de la pornographie enfantine. Ces derniers blocages sont volontaires et ne sont pas les mêmes partout au Royaume-Uni, mais la plupart des fournisseurs de services Internet ont généralement tendance à bloquer le contenu sur la maltraitance des enfants.
Il ne faut pas oublier que, pour pallier le problème de la facilité de consommer du média pour adulte en ligne, le gouvernement britannique a mis en œuvre les dispositions du projet de loi sur l'économie numérique adopté par le Parlement britannique en 2017. En vertu de la loi, les sites pornographiques commerciaux seront tenus de vérifier qu'un utilisateur britannique a plus de 18 ans avant de lui permettre d'accéder à du matériel pornographique. Les censeurs britanniques auront également le pouvoir d'interdire la pornographie en ligne « extrême », qui comprend certains types de contenu sexuel violent ainsi que du contenu impliquant des actes sexuels avec des cadavres ou des animaux.
En prévoyant de prendre en charge DNS-over-HTTPS, Mozilla compromet la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour les « sites malveillants » mandatés par le gouvernement.
Certains FAI basés au Royaume-Uni, tels que British Telecom, ont manifesté leur soutien public au protocole DoH, mais pas la grande majorité.
Conclusion
L’attaque de l’ISPA britannique fait suite à une période de deux mois au cours de laquelle Google et Mozilla ont été critiqués au Royaume-Uni pour leur projet de prise en charge de DNS-over-HTTPS dans leurs navigateurs respectifs, Chrome et Firefox.
À la mi-mai, la baronne Thornton, députée du parti travailliste, a évoqué le protocole DoH et le soutien imminent des éditeurs de navigateurs lors d'une session de la Chambre des communes, qualifiant le projet de menace pour la sécurité en ligne du Royaume-Uni.
De même, le GCHQ, les services de renseignement britanniques, a également critiqué Google et Mozilla, affirmant que le nouveau protocole entraverait les enquêtes de la police et risquerait de saper les protections que le gouvernement dispose déjà contre les sites Web malveillants.
Quoiqu’il en soit, les gagnants des Heroes and Villains de cette année seront choisis par le Conseil ISPA et seront annoncés lors de la cérémonie de remise des prix ISPA le 11 juillet à Londres.
Source : ISPA
Et vous ?
:fleche: Que pensez-vous des différents nominés dans ces deux catégories ?
:fleche: Auriez-vous voté pour une ou plusieurs autres entités ? Lesquelles ?
:fleche: Que pensez-vous de la nomination de Mozilla ?
:fleche: Qui mérite selon vous d'être lauréat chez les Heroes et chez les Villain ?
Voir aussi :
:fleche: Parlement UK : EA préfère le terme "mécanique de surprise" à "loot box", assurant qu'il ne s'agit pas d'un jeu de hasard mais d'un système éthique
:fleche: Apple et Google condamnent la proposition UK visant à espionner les messages chiffrés, en ajoutant un participant "fantôme" aux discussions de groupe
:fleche: UK : dès le 15 juillet, les sites pornographiques seront obligés de procéder à une vérification de l'âge, sous peine d'être bloqués par les FAI
:fleche: UK : Facebook ne doit pas se considérer comme étant un « gangster numérique » qui est au-dessus des lois, les législateurs envisagent de le superviser
3 pièce(s) jointe(s)
Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla
Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla
À l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
L’association professionnelle des fournisseurs de services Internet (abrégé ISPA - Internet Services Providers’ Association) du Royaume-Uni a récemment désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Donald Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».
L’ISPA a retenu la fondation Mozilla à cause de son initiative DNS-over-HTTPS (DoH) visant à mettre en place sur son navigateur une spécification pour la résolution à distance du Domain Name System (DNS) via le protocole HTTPS. D’après la Fondation, la mise en œuvre du DoH devrait améliorer la confidentialité et la sécurité des internautes tout en empêchant l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.
Le protocole DoH fonctionne en prenant un nom de domaine qu'un utilisateur a tapé dans son navigateur puis en envoyant une requête à un serveur DNS pour connaître l'adresse IP numérique du serveur web qui héberge ce site spécifique. Mais il prend la requête DNS et l'envoie à un serveur DNS compatible DoH (résolveur) via une connexion HTTPS chiffrée sur le port 443, plutôt qu'en texte clair sur le port 53. De cette façon, il masque les requêtes DNS dans le trafic HTTPS régulier et augmente le niveau de sécurité / confidentialité des séances de navigation. Par ailleurs, chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des résolveurs par défaut du système d’exploitation (probablement DoH-non-compatible).
Le problème du point de vue de l’ISPA
En théorie, ce système compromet sérieusement la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour isoler les « sites malveillants » désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau. L’ISPA déplore le fait que cette initiative permettra aux internautes de contourner les obligations de filtrage, les contrôles parentaux et, plus largement, les normes de sécurité Internet en vigueur au Royaume-Uni. L’organisation estime que le DoH va nuire à l’obligation de filtrage et de régulation du contenu accessible en ligne instituée dans le pays et qui a été renforcée depuis l’adoption de la « Digital Economy Act 2017 ».
La réponse de Mozilla
« Nous sommes surpris et déçus qu’une association regroupant des FAI ait décidé de dénaturer une amélioration de l’infrastructure Internet vieille de plusieurs décennies », a déclaré un porte-parole de Mozilla en guise de réponse aux allégations de l’ISPA. Il assure en outre : « un DNS plus privé ne pourrait pas empêcher l’utilisation du filtrage de contenu ou des contrôles parentaux au Royaume-Uni. DNS-over-HTTPS offrirait de réels avantages en matière de sécurité aux citoyens britanniques ».
Mozilla insiste sur le fait que son objectif est de construire un Internet plus sûr et qu’elle milite pour une approche constructive sur les questions en rapport avec la sécurité lors des discussions avec les différentes « parties prenantes crédibles au Royaume-Uni », sans toutefois préciser si elle considérait l’ISPA comme tel.
L’éditeur de Firefox ne prévoit pas d’activer le DoH par défaut au Royaume-Uni. Cependant, son porte-parole a confié : « nous explorons actuellement des partenaires potentiels du DoH en Europe afin d’apporter cette importante fonctionnalité de sécurité à d’autres Européens de manière plus générale ».
Comment activer le DoH
Le guide ci-dessous montre aux utilisateurs de Firefox comment activer cette fonctionnalité. Les paramètres devraient s'appliquer immédiatement. Dans le cas contraire, redémarrer Firefox après la configuration.
Étape 1 : tapez about:config dans la barre d’adresse et appuyez sur Entrée pour accéder au panneau de configuration de Firefox. Ici, les utilisateurs devront activer et modifier trois paramètres.
Étape 2 : le premier réglage concerne le mode « network.trr.mode » qui active le support du DoH. Ce réglage prend en charge quatre valeurs :
- 0 - Valeur par défaut dans les installations Firefox standard
- 1 - DoH est activé, mais Firefox choisit s'il utilise DoH ou un DNS régulier basé sur lequel renvoie des réponses de requête plus rapides
- 2 - DoH est activé, et le DNS régulier fonctionne comme une sauvegarde
- 3 - DoH est activé, et le DNS régulier est désactivé
- 5 - Le DoH est désactivé
Étape 3 (facultative) : le deuxième paramètre qui doit être modifié est « network.trr.uri ». Il s'agit de l'adresse du serveur DNS DoH compatible où Firefox enverra des requêtes DNS DoH. Par défaut, Firefox utilise le service DoH de Cloudflare. Toutefois, les utilisateurs peuvent utiliser leur propre URL de serveur DoH.
Source : Forbes, Wiki Mozilla
Et vous ?
:fleche: Que pensez-vous de la réponse de Mozilla ?
:fleche: Quel serait votre classement du « top 3 des meilleurs vilains d’Internet » pour 2019 ?
Voir aussi
:fleche: DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
:fleche: Parlement UK : EA préfère le terme "mécanique de surprise" à "loot box", assurant qu'il ne s'agit pas d'un jeu de hasard mais d'un système éthique
:fleche: Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare