DNS over HTTPS (DoH) : pour Stéphane Bortzmeyer, « le diable est dans les détails »

DNS over HTTPS se répand progressivement dans nos navigateurs. Une implémentation contestée de cette technologie prometteuse, assurant une meilleure sécurité des internautes. Choix par défaut menant à une centralisation, action partielle... nous nous sommes entretenus avec Stéphane Bortzmeyer, qui nous livre son point de vue.

Pour le spécialiste des réseaux (Cyberstructure : L'Internet, un espace politique chez C&F Éditions), au blog réputé pour son analyse fine des RFC qui définissent les standards qui font Internet, DNS over HTTPS « est une bonne idée dans l’absolu, parce que le DNS est le dernier gros morceau en clair sur Internet. Mais le diable se cache dans les détails ».

Quels détails ? « Il s’agit avant tout d’une question de confiance. C’est bien joli de chiffrer les requêtes, mais si le serveur ne fait pas ce qu’il dit, on se retrouve dans la même situation, même si la sécurité augmente. Un serveur DNS peut toujours mentir ». Il résume la situation : « DoH ne fait que sécuriser le canal de communication, pas la machine à l’autre bout ».

Mais c’est finalement une question inhérente à Internet, dès lors que l’on confie un traitement de données à un tiers. Le cas rappelle par exemple Do Not Track : on pouvait activer le réglage pour demander à ne pas être suivi, mais sa prise en charge et sa bonne application dépendaient du bon vouloir des sites.

Notre dossier sur DNS over HTTPS :

• Qu'est-ce que DNS over HTTPS (DoH), qu'est-ce que cela peut vous apporter ?
• DNS over HTTPS (DoH) : au-delà de Firefox, une « question de confiance »
• DNS over HTTPS : pour Stéphane Bortzmeyer, « le diable est dans les détails »
• Comment activer DNS over HTTPS (DoH) ? (à venir)

Ne pas voir DoH que par le prisme du choix de Cloudflare par Firefox

Il y a un autre problème : « Oui c’est une bonne idée que Firefox active DoH par défaut, mais on peut se poser des questions sur le choix du partenaire principal. Cloudflare est une société américaine. Ils pourront signer toutes les chartes et s’engager autant qu’ils veulent, la loi américaine sera toujours plus forte », ajoute Bortzmeyer, faisant référence au Cloud Act.

Se pose donc un problème de choix. Il implique que les internautes connaissent les tenants et aboutissants du problème, et qu’ils savent ce qu’est un DNS. Le spécialiste connait bien le problème : « Même ceux qui s’y connaissent un peu butent sur des questions simples, comme comment choisir son instance sur PeerTube. Alors imaginez pour le choix d’un serveur DNS ».

Il ne remet cependant pas l’existence de DoH en question, au contraire : « Il faut l’activer partout où c’est possible, pour créer une tension. Mais certains acteurs râleront ou ont déjà râlé, comme les fournisseurs d’accès au Royaume-Uni ».

Une question de pression

On se rappelle en effet que les FAI anglais avaient listé Mozilla dans leurs « grands méchants 2019 » pour son action en faveur de DoH. Le protocole était accusé de bien des maux, notamment de rendre plus complexe la lutte contre la criminalité (dont la pédopornographie) et inopérants les systèmes de contrôle parental. « Les arguments classiques », soupire Bortzmeyer.

Pourquoi une telle pression ? « Parce que gérer des serveurs DNS permet beaucoup de choses, dont le pouvoir de suivre n’importe qui dans ses habitudes de navigation. C’est vous qui déterminez alors ce que va voir quelqu’un en tapant une adresse. C’est en grande partie le territoire des fournisseurs d’accès. Et ils ne veulent pas être réduits à de simples relais, à ne faire que de la tuyauterie ».

Si vous n’avez jamais modifié ces réglages, le résolveur DNS est en effet automatiquement fourni par votre fournisseur d’accès, via la box. Plus le nombre de clients (applications, navigateurs, systèmes d’exploitation…) à utiliser des résolveurs tiers compatibles DoH sera élevé, plus la pression exercée sur les FAI augmentera. En France, aucun ne l’a encore mis en place. « Ils se posent un peu en rempart devant les GAFAM, mais ça reste une forme de contrôle des utilisateurs ».

Chez nous, les quatre fournisseurs majeurs (Bouygues Telecom, Free, Orange et SFR) ont en outre des DNS « menteurs », une obligation imposée par la loi. Trois acteurs peuvent en effet exiger de leur part des blocages : l'Arjel, le ministère de l'Intérieur et les tribunaux. Que ce soit pour des questions de lutte anti-terroriste ou suite à la condamnation d'un site pour partage d'œuvres protégées, un DNS menteur permet de renvoyer une page d'erreur quand on cherche à accéder à une ressource ou un site. Techniquement, ils existent toujours, mais deviennent introuvables ou renvoient ailleurs.

Une quatrième entité aura bientôt le pouvoir d'ordonner de tels blocages : l'Arcom, qui consacrera la fusion du CSA et de la Hadopi et devrait généraliser les requêtes de blocage à l'ensemble des acteurs cette fois. 

DNS over HTTPS ne fait pas tout

Et même si les FAI activaient tous demain DoH, cela ne règlerait qu’une partie du problème. Encore et toujours la question de la confiance : « Si les DNS mentent d’une manière ou d’une autre, ça revient à sécuriser des mensonges ».

Comment faire face à ce point délicat ? « Ce n’est pas très différent finalement de n’importe quel logiciel : ils prennent des tas de décisions pour nous tous les jours, et on ne peut pas y faire grand-chose. Mais on peut limiter les risques, par exemple en utilisant des logiciels libres, dont le code est connu », explique Stéphane Bortzmeyer.

Surtout, il insiste : « Il faut absolument qu’il y ait plus de navigateurs et de prestataires, il faut que la concurrence fasse son travail. Du côté des serveurs, on pourrait imaginer une armée de CHATONS », faisant référence à l’initiative de Framasoft pour des hébergeurs éthiques, libres et responsables.

• Conférence de présentation de DNS over HTTPS par Stéphane Bortzmeyer aux JDLL 2019