Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

DNS over HTTPS (DoH) : pour Stéphane Bortzmeyer, « le diable est dans les détails »

1.1.1.1 is not enough
Logiciel 5 min
DNS over HTTPS (DoH) : pour Stéphane Bortzmeyer, « le diable est dans les détails »

DNS over HTTPS se répand progressivement dans nos navigateurs. Une implémentation contestée de cette technologie prometteuse, assurant une meilleure sécurité des internautes. Choix par défaut menant à une centralisation, action partielle... nous nous sommes entretenus avec Stéphane Bortzmeyer, qui nous livre son point de vue.

Pour le spécialiste des réseaux (Cyberstructure : L'Internet, un espace politique chez C&F Éditions), au blog réputé pour son analyse fine des RFC qui définissent les standards qui font Internet, DNS over HTTPS « est une bonne idée dans l’absolu, parce que le DNS est le dernier gros morceau en clair sur Internet. Mais le diable se cache dans les détails ».

Quels détails ? « Il s’agit avant tout d’une question de confiance. C’est bien joli de chiffrer les requêtes, mais si le serveur ne fait pas ce qu’il dit, on se retrouve dans la même situation, même si la sécurité augmente. Un serveur DNS peut toujours mentir ». Il résume la situation : « DoH ne fait que sécuriser le canal de communication, pas la machine à l’autre bout ».

Mais c’est finalement une question inhérente à Internet, dès lors que l’on confie un traitement de données à un tiers. Le cas rappelle par exemple Do Not Track : on pouvait activer le réglage pour demander à ne pas être suivi, mais sa prise en charge et sa bonne application dépendaient du bon vouloir des sites.

Notre dossier sur DNS over HTTPS :

Ne pas voir DoH que par le prisme du choix de Cloudflare par Firefox

Il y a un autre problème : « Oui c’est une bonne idée que Firefox active DoH par défaut, mais on peut se poser des questions sur le choix du partenaire principal. Cloudflare est une société américaine. Ils pourront signer toutes les chartes et s’engager autant qu’ils veulent, la loi américaine sera toujours plus forte », ajoute Bortzmeyer, faisant référence au Cloud Act.

Se pose donc un problème de choix. Il implique que les internautes connaissent les tenants et aboutissants du problème, et qu’ils savent ce qu’est un DNS. Le spécialiste connait bien le problème : « Même ceux qui s’y connaissent un peu butent sur des questions simples, comme comment choisir son instance sur PeerTube. Alors imaginez pour le choix d’un serveur DNS ».

Il ne remet cependant pas l’existence de DoH en question, au contraire : « Il faut l’activer partout où c’est possible, pour créer une tension. Mais certains acteurs râleront ou ont déjà râlé, comme les fournisseurs d’accès au Royaume-Uni ».

Une question de pression

On se rappelle en effet que les FAI anglais avaient listé Mozilla dans leurs « grands méchants 2019 » pour son action en faveur de DoH. Le protocole était accusé de bien des maux, notamment de rendre plus complexe la lutte contre la criminalité (dont la pédopornographie) et inopérants les systèmes de contrôle parental. « Les arguments classiques », soupire Bortzmeyer.

Pourquoi une telle pression ? « Parce que gérer des serveurs DNS permet beaucoup de choses, dont le pouvoir de suivre n’importe qui dans ses habitudes de navigation. C’est vous qui déterminez alors ce que va voir quelqu’un en tapant une adresse. C’est en grande partie le territoire des fournisseurs d’accès. Et ils ne veulent pas être réduits à de simples relais, à ne faire que de la tuyauterie ».

Si vous n’avez jamais modifié ces réglages, le résolveur DNS est en effet automatiquement fourni par votre fournisseur d’accès, via la box. Plus le nombre de clients (applications, navigateurs, systèmes d’exploitation…) à utiliser des résolveurs tiers compatibles DoH sera élevé, plus la pression exercée sur les FAI augmentera. En France, aucun ne l’a encore mis en place. « Ils se posent un peu en rempart devant les GAFAM, mais ça reste une forme de contrôle des utilisateurs ».

Chez nous, les quatre fournisseurs majeurs (Bouygues Telecom, FreeOrange et SFR) ont en outre des DNS « menteurs », une obligation imposée par la loi. Trois acteurs peuvent en effet exiger de leur part des blocages : l'Arjel, le ministère de l'Intérieur et les tribunaux. Que ce soit pour des questions de lutte anti-terroriste ou suite à la condamnation d'un site pour partage d'œuvres protégées, un DNS menteur permet de renvoyer une page d'erreur quand on cherche à accéder à une ressource ou un site. Techniquement, ils existent toujours, mais deviennent introuvables ou renvoient ailleurs.

Une quatrième entité aura bientôt le pouvoir d'ordonner de tels blocages : l'Arcom, qui consacrera la fusion du CSA et de la Hadopi et devrait généraliser les requêtes de blocage à l'ensemble des acteurs cette fois. 

DNS over HTTPS ne fait pas tout

Et même si les FAI activaient tous demain DoH, cela ne règlerait qu’une partie du problème. Encore et toujours la question de la confiance : « Si les DNS mentent d’une manière ou d’une autre, ça revient à sécuriser des mensonges ».

Comment faire face à ce point délicat ? « Ce n’est pas très différent finalement de n’importe quel logiciel : ils prennent des tas de décisions pour nous tous les jours, et on ne peut pas y faire grand-chose. Mais on peut limiter les risques, par exemple en utilisant des logiciels libres, dont le code est connu », explique Stéphane Bortzmeyer.

Surtout, il insiste : « Il faut absolument qu’il y ait plus de navigateurs et de prestataires, il faut que la concurrence fasse son travail. Du côté des serveurs, on pourrait imaginer une armée de CHATONS », faisant référence à l’initiative de Framasoft pour des hébergeurs éthiques, libres et responsables.

38 commentaires
Avatar de Exagone313 Abonné
Avatar de Exagone313Exagone313- 26/03/20 à 09:58:44

J'aimerais bien pouvoir faire de la résolution DNS récursive tout en utilisant DoH. Ça permettrait de valider les signatures DNSSEC.

Avatar de Stéphane Bortzmeyer Abonné
Avatar de Stéphane BortzmeyerStéphane Bortzmeyer- 26/03/20 à 10:03:42

DoH permet tout à fait cela. Après, il faut trouver un client DoH validant avec DNSSEC et je ne crois pas qu'il en existe (mais plusieurs sont en cours de développement).

Avatar de zeldomar Abonné
Avatar de zeldomarzeldomar- 26/03/20 à 10:09:00

Article très intéressant.
 Malgré les limites de DoH, il est bon de rappeler qu'il faut "l’activer partout où c’est possible" 👍

Avatar de Exagone313 Abonné
Avatar de Exagone313Exagone313- 26/03/20 à 10:27:00

Oui, j'avais essayé de configurer mon unbound pour ça, mais ça n'avait pas l'air d'être encore possible.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 26/03/20 à 10:42:12

Si je comprends bien, une des meilleures solution envisageables aujourd'hui c'est DoH + un service non menteur (comme celu ide la FDN) ?

Concernant le dernier paragraphe, un CHATON pourrait vraiment tenir la charge du nombre de requêtes faites par x milliers d'utilisateurs ?

 

Avatar de eglyn Abonné
Avatar de eglyneglyn- 26/03/20 à 10:49:02

J'avoue que j'utilise DoH avec Cloudflare sur mon Pihole, mais bon, c'est toujours mieux que de ne pas utiliser DoH ^^,

Avatar de Xanatos Abonné
Avatar de XanatosXanatos- 26/03/20 à 11:02:52

Les Chatons répondent à une volonté de décentralisation, donc avec une armée sûrement

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 26/03/20 à 11:06:33

Ca ne répond pas à ma question. Les Chatons ce sont des serveurs personnels ou asosciatifs, donc ont-ils les ressources nécessaires pour encaisser une grosse charge ?

Avatar de Stéphane Bortzmeyer Abonné
Avatar de Stéphane BortzmeyerStéphane Bortzmeyer- 26/03/20 à 11:11:09

Jarodd a écrit :

Si je comprends bien, une des meilleures solution envisageables aujourd'hui c'est DoH + un service non menteur (comme celu ide la FDN) ?

 Ou DoT. DoH n'est utile que si on est coincé derrière un pare-feu fasciste. Autrement, DoT est très bien. La plupart des résolveurs sécurisés ont les deux. (PUB : c'est le cas de doh.bortzmeyer.fr / dot.bortzmeyer.fr)

Avatar de Stéphane Bortzmeyer Abonné
Avatar de Stéphane BortzmeyerStéphane Bortzmeyer- 26/03/20 à 11:12:14

Jarodd a écrit :

Ca ne répond pas à ma question. Les Chatons ce sont des serveurs personnels ou asosciatifs, donc ont-ils les ressources nécessaires pour encaisser une grosse charge ?

Si, cela répondait à votre question : l'idée n'est pas d'avoir un énorme résolveur tenant la charge de millions d'utilisateurs, mais des milliers (« une armée »), chacun ne gérant qu'une partie des utilisateurs.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4