Bonne nouvelle : Apple va à son tour permettre le chiffrement des échanges entre un appareil et un résolveur DNS. Il ne gère d'ailleurs pas un protocole mais deux, avec différentes implémentations selon les besoins. Et c'est peut être bien là que ça coince... car certaines risquent de créer plus de problèmes qu'elles n'en résolvent.
Le DNS est l'une des rares briques de l'internet à n'avoir pas encore fait l'objet d'un recours massif au chiffrement, mais cela change peu à peu. On l'a vu à travers les choix opérés par différents navigateurs, de Chrome à Firefox, mais aussi d'éditeurs comme Google qui a misé sur DNS over TLS (DoT) sur Android ou encore Microsoft qui se prépare à supporter DNS over HTTPS (DoH) dans la prochaine version de Windows 10.
Sur le sujet, on attendait la réaction d'Apple, silencieuse alors qu'elle n'est pas la dernière lorsqu'il s'agit de mettre en avant son intérêt pour la sécurité et le respect de la vie privée des utilisateurs. Profitant de sa WWDC 2020, elle sort de son mutisme : DoH et DoT seront supportés par ses systèmes d'exploitation.
Une intégration qui ne se fera pas vraiment de manière classique.
Notre dossier sur DNS over HTTPS :
- Qu'est-ce que DNS over HTTPS (DoH), qu'est-ce que cela peut vous apporter ?
- DNS over HTTPS (DoH) : au-delà de Firefox, une « question de confiance »
- DNS over HTTPS : pour Stéphane Bortzmeyer, « le diable est dans les détails »
- DNS over HTTPS (DoH) arrive dans Windows 10 : comment ça marche ?
- Apple va supporter DNS over HTTPS (DoH) et DNS over TLS (DoT)... à sa manière
- Comment activer DNS over HTTPS (DoH) ? (à venir)
Vers des applications de gestion des DNS
Après avoir rappelé les bases du DNS et en quoi un chiffrement des requêtes/réponses pouvait être important, l'ingénieur Tommy Pauly dévoile le choix de l'entreprise : là où certains ne misent que sur DoT ou DoH, ses systèmes gèreront les deux, à la convenance des développeurs, éditeurs de services et peut être des utilisateurs.
Il ne s'agira pas d'un simple paramètre réseau, tout du moins pas de manière aussi directe que l'on pourrait s'y attendre. Il y aura deux méthodes exploitables. La première s'appliquera à l'ensemble du système, donc de toutes les applications. Elle s'activera via un profil MDM (Mobile Device Management, pour la gestion de flotte en entreprise) ou une application désignée comme gestionnaire de DNS, comme c'est déjà le cas avec les VPN.
Un éditeur de service proposant des résolveurs DoT ou DoH pourra ainsi y donner accès à travers une application exploitant le framework NetworkExtension, qui permet de modifier plusieurs paramètres réseau. Il pourra préciser via des règles quand utiliser ou non le chiffrement des DNS : réseau mobile et/ou Wi-Fi, sur tel ou tel SSID, etc.
Apple précise que pour éviter tout souci, certaines exceptions sont appliquées automatiquement, comme la détection de portails captifs ou de VPN (dont le résolveur DNS sera utilisé plutôt que celui du système). Chaque règle pourra être appliquée globalement ou seulement pour certains domaines. La transparence des applications à ce sujet sera vitale.
En cas de blocage du chiffrement des DNS (notamment dans le cas de DoT) par le réseau, une alerte sera affichée.
Une gestion possible application par application
L'autre solution est celle redoutée par beaucoup, puisqu'elle permet à chaque développeur de préciser le résolveur DNS à utiliser pour son application, par défaut ou pour des requêtes bien spécifiques, via NWParameters.PrivacyContext.
On imagine dès lors les abus possibles, si Google venait à forcer ses propres serveurs dans Chrome par exemple, une banque les siens en prétextant une question de sécurité, une application malveillante des DNS menteurs, etc. Malheureusement, il ne semble pas prévu qu'une alerte vienne informer l'utilisateur d'un tel choix par une application.
Dans la démonstration effectuée par Pauly, on ne voit pas non plus de moyen de s'opposer à une telle mécanique. Espérons donc que d'ici la version finale des prochains OS d'Apple, ces soucis seront pris en compte.