Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

DNS over HTTPS (DoH) : au-delà de Firefox, une « question de confiance »

Et d'implémentation
Internet 6 min
DNS over HTTPS (DoH) : au-delà de Firefox, une « question de confiance »

Apporter le chiffrement aux DNS est un besoin devenant essentiel. Si DNS over HTTPS participe à cet effort, il faut être attentif à la manière dont cette technologie est mise en œuvre. Un sujet complexe, surtout quand les éditeurs de navigateurs sont à la manœuvre. Même lorsqu'il s'agit de Mozilla.

Nous l'avons vu dans la première partie de ce dossier, le DNS est l'un des rares éléments techniques d'internet, que chacun d'entre nous utilise au quotidien, où la sécurité fait encore trop souvent défaut. Conçu il y a quarante ans, il n'a tout simplement pas été pensé pour bénéficier du chiffrement ou d'une signature de ses données.

Mais peu à peu les choses changent. Outre la mise en place (poussive) de DNSSEC, de nombreuses initiatives voient le jour et sont plus ou moins suivies par les différents acteurs. L'une d'elle est DNS over HTTPS (DoH) qui vise, comme son nom l'indique, à chiffrer les requêtes DNS en les encapsulant dans un flux HTTPS classique.

Une solution malaimée pour son aspect « HTTPisation du Net », mais qui a l'avantage d'être simple à appliquer, de se reposer sur des briques logicielles connues et maitrisées, ne pouvant être facilement bloquées en visant, par exemple, des ports spécifiques (contrairement à DNS over TLS, DoT). 

Utiliser un résolveur DoH : pas si simple

Dans notre précédent article, nous avons ainsi montré comment on pouvait effectuer une requête sur un résolveur DNS exploitant DoH à travers une simple ligne de commande. Mais voilà, l'utilisateur n'a que faire de telles solutions : il veut pouvoir profiter de la meilleure sécurité d'un tel résolveur par défaut, sans avoir à se casser la tête.

En l'état actuel des choses, ce n'est pas possible. Des travaux en ce sens sont en cours pour l'intégration aux interfaces des routeurs ou d'OS, notamment Windows 10, mais aucune date précise n'a encore été donnée. C'est pour cela qu'un autre type d'acteur s'est saisi du sujet ces dernières années : les navigateurs.

Car pour ce qui est de votre accès à internet, ils sont en première ligne. Une idée en apparence intéressante, séduisante, mais qui ajoute son lot de questions et de complexités.

Notre dossier sur DNS over HTTPS :

Une question de confiance

Car nous l'avons vu : DoH n'est pas un totem d'immunité. Tout d'abord parce qu'il n'est pas utilisé par les serveurs racine, de premier et de second niveau (TLD/SLD). Ainsi, il est impossible de se connecter à ces derniers de manière chiffrée et d'obtenir une réponse l'étant également. Le lien entre un résolveur DoH et eux n'est donc toujours pas sécurisé.

Autre problème : même si l'on s'y connecte à travers une requête HTTPS, un résolveur tiers reste un acteur en qui l'on doit avoir toute confiance. DoH vise à chiffrer le lien entre lui et nous, sécurisant l'échange, rien de plus. Le résolveur a toute connaissance des requêtes qu'un utilisateur effectue et DoH ne l'empêche pas de « mentir » dans ses réponses.

Elles peuvent être chiffrées, mais fausses. Il ne faut donc pas choisir son résolveur à la légère. Si l'on trouve par ici ou par là des listes de services compatibles DoH, il faut donc faire un peu de tri. En voici certains, situés en Europe (donc soumis au RGPD) et gérés par des organismes à but non lucratif :

  • https://doh.powerdns.org/
  • https://odvr.nic.cz/doh
  • https://ldn-fai.net/dns-query
  • https://doh.42l.fr/dns-query
  • https://dns.hostux.net/dns-query

DoH n'apporte pas de centralisation

Depuis quelques mois, lorsqu'il est question de DNS over HTTPS, les mêmes mots reviennent toujours, presque mécaniquement. Le reproche le plus courant est que cette technologie porte en elle le germe de la centralisation. 

C'est pourtant totalement faux : n'importe qui peut installer son propre résolveur DNS compatible DoH au sein de son réseau, l'utiliser pour lui-même, ses proches, le mettre à disposition des autres. C'est d'ailleurs ce qu'a fait Stéphane Bortzmeyer. Nombreux sont ceux qui existent déjà, à travers différents clients, démultipliant les possibilités. Ce, alors que le DNS est lui-même une solution technique qui a ses passages obligés : les serveurs racine, TLD/SLD.

Rappelons au passage qu'utiliser un résolveur DoH présent sur votre réseau local, pour vous-même, n'a que peu d'intérêt. Chiffrer un échange local n'apporte pas un grand bénéfice en matière de sécurité. Par contre, ce résolveur devra contacter lui-même les serveurs racine et TLD/SLD, de manière non chiffrée. Ils sauront alors directement qui est à l'origine de ces requêtes, ces échanges pouvant être observés par des tiers. On en revient au problème évoqué précédemment.

Il peut donc être opportun d'utiliser également un résolveur DoH tiers, ayant de nombreux utilisateurs. Lorsque votre résolveur DNS local ne sera pas suffisant, elle se tournera vers ce serveur externe, de manière sécurisée. C'est lui seul qui apparaîtra pour les serveurs racine et TLD/SLD, vos requêtes étant noyées dans la masse.

Utiliser DoH est donc une bonne chose, cette technologie ayant de nombreux intérêts. 

Le cas Firefox

Mais alors, pourquoi parle-t-on de centralisation du fait de DoH ? Cela vient en réalité de son implémentation. Car à défaut de pouvoir être activée dans une majorité de routeurs et d'OS, cette technologie a trouvé refuge dans les navigateurs.

Et en premier lieu Firefox, Mozilla ayant décidé de l'activer par défaut, pour l’instant aux États-Unis. Ailleurs, l'option est présente mais doit être activée manuellement. Autre choix effectué par défaut : utiliser Cloudflare comme résolveur DNS compatible DoH. Ce, alors que l'entreprise est déjà fortement critiquée pour être un SPoF (point de défaillance unique) du web actuel, tant il est utilisé par nombre de sites pour assurer leur sécurité en tant que firewall applicatif (WAF).

Mozilla a expliqué à plusieurs reprises chercher ce type de partenariat. L’éditeur a d'ailleurs créé une charte rassemblant tout un lot de règles sur lesquelles les partenaires doivent s’engager pour avoir le droit de figurer dans Firefox. Notamment, effacer quotidiennement les données accumulées et ne jamais les transmettre à des tiers.

Cette liste de prestataires devrait grandir avec le temps, mais Mozilla n’a pas donné de calendrier. Autre regret : cette solution ne protège pas tous les usages effectués hors du navigateur, et ils sont nombreux.

Firefox DoH
Pour accéder aux paramètres DoH de Firefox, rendez-vous dans l'onglet Général des options, puis dans les Paramètres réseau

Les utilisateurs ne modifient que très rarement les paramètres par défaut, certains craignent de voir CloudFlare devenir le résolveur DNS du plus grand nombre, un peu comme Google est utilisé comme moteur de recherche par défaut, notamment pour sa place centrale dans de nombreux systèmes et navigateurs (dont Firefox dans la plupart des pays).

Mozilla propose pourtant NextDNS comme alternative pour le moment, proposant même un mode personnalisé où vous pouvez indiquer l'URL du résolveur DNS compatible DoH de votre choix. Ajoutons que pour être certain de pouvoir faire son travail, Firefox utilise son propre résolveur, ainsi qu'un domaine à l'adresse use-application-dns.net.

On pourrait néanmoins imaginer que le navigateur n'impose aucun choix par défaut, propose à l'utilisateur de choisir après l'installation ou modifie régulièrement ce paramètre tant qu'aucun choix n'est fait par exemple. Ce n'est pour l'instant pas le cas. Il faudra d'ailleurs être attentif à l'attitude des navigateurs dérivés de Chromium sur le sujet.

Pour le moment au stade expérimental, le support DoH n'impose rien. Mais Google plaçant déjà ses propres DNS par défaut dans les routeurs Wi-Fi qu'il commercialise, on imagine qu'il sera tenté de faire de même dans Chrome. À suivre.

50 commentaires
Avatar de dyox Abonné
Avatar de dyoxdyox- 24/03/20 à 16:51:14

Quelqu'un a déjà testé Adguard Home ?
https://github.com/AdguardTeam/AdGuardHome

Apparemment, c'est du clé en main. Il fait DoH et DoT en tant que serveur et demandeur de requêtes.

Et pour ceux qui veulent tester avec unbound, j'ai trouvé ce post :https://www.reddit.com/r/Adguard/comments/dkhxsq/how_do_i_setup_unbound_on_adgua...

Il faudra un jour que j'essaie quand j'aurai du temps :fumer:

Avatar de JCDentonMale INpactien
Avatar de JCDentonMaleJCDentonMale- 24/03/20 à 16:51:54

"Mais Google plaçant déjà ses propres DNS par défaut dans les routeurs Wi-Fi qu'il commercialise, on imagine qu'il sera tenté de faire de même dans Chrome. À suivre."

 Google force déjà ses propres DNS dans ses Chromecast. Il est impossible de les modifier sauf au travers de très complexes manipulations visant à rooter la Chromecast.

Édité par JCDentonMale le 24/03/2020 à 16:52
Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/03/20 à 16:53:58

Oui après Chromecast est un outil plus spécifique, contrairement au routeur qui indique aux appareils du réseau quels résolveurs DNS utiliser, et donc à qui envoyer toutes les requêtes. Mais c'est également un problème qu'ils soient modifiés par défaut et non configurable, oui. Même si utiliser Chromecast sans vouloir que Google sache ce que l'on regarde, me paraît un brin étrange... :transpi:

Édité par David_L le 24/03/2020 à 16:56
Avatar de JCDentonMale INpactien
Avatar de JCDentonMaleJCDentonMale- 24/03/20 à 16:55:21

Perso à la maison c'est Pi-hole + unbound configurés pour faire du DoT, et installé sur un NAS qui est aussi mon serveur DHCP.
Pour le PC du boulot sous Windows j'ai DNSCrypt Client Proxy qui est pas mal et très configurable.

Avatar de JCDentonMale INpactien
Avatar de JCDentonMaleJCDentonMale- 24/03/20 à 16:57:06

C'est surtout que je pense que forcer les DNS de Google permet de faire du blocage géographique de contenu.

Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/03/20 à 16:57:37

dyox a écrit :

Apparemment, c'est du clé en main. Il fait DoH et DoT en tant que serveur et demandeur de requêtes.

Comme dit dans le papier, DoH sur un serveur local, j'ai du mal à saisir l'intérêt (pour un cas d'utilisateur personnel), vu que toutes les connexions externes vers les serveurs racine/TLD/SLD seront effectuées depuis la connexion de l'utilisateur, sans chiffrement.  

Édité par David_L le 24/03/2020 à 16:58
Avatar de JCDentonMale INpactien
Avatar de JCDentonMaleJCDentonMale- 24/03/20 à 17:03:25

Le chiffrement sur le réseau local, oui ça n'a pas grand intérêt, mais avoir un serveur dns sur son réseau local comme Pi-hole est tout de même utile. Le serveur DNS local peut utiliser DoH / DoT entre lui et les serveurs DNS upstream. Se pose donc la question de la confiance, mais toujours mieux que d'utiliser les DNS non chiffrés du FAI à mon avis.

Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/03/20 à 17:05:36

Oui le DNS local en lui-même a un intérêt, mais pour DoH & co il vaut mieux se reposer sur un serveur tiers (et du coup le résolveur local est un peu moins utile, mais c'est toujours ça de pris). Dans le cas de Pihole & co, il est surtout utilisé pour ses fonctionnalités "annexes" disons (et là le côté menteur ne gêne plus :p)

Avatar de dyox Abonné
Avatar de dyoxdyox- 24/03/20 à 17:16:39

David_L a écrit :

Mais justement, ces requêtes sont aussi chiffrées !
Encrypted DNS upstream servers (DNS-over-HTTPS, DNS-over-TLS, DNSCrypt)

Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/03/20 à 17:23:37

Oui, si tu passes par des résolveurs tiers en complément de ton résolveur local, comme dit plus haut. 

Il n'est plus possible de commenter cette actualité.
Page 1 / 5