Mozilla a présenté, dans un billet dédié publié aujourd’hui, une nouvelle technologie présente dans Firefox depuis la dernière version 118. L’Encrypted Client Hello, ou ECH, permet d’ajouter une couche supplémentaire de protection de la vie privée à la navigation. Pour autant, ECH n’est pas réservé à Firefox. Explications.
En 2020, dans une série d’articles sur DNS-over-HTTPS (DOH), nous avions interviewé Stéphane Bortzmeyer. Pour l’ingénieur, « gérer des serveurs DNS permet beaucoup de choses, dont le pouvoir de suivre n’importe qui dans ses habitudes de navigation. C’est vous qui déterminez alors ce que va voir quelqu’un en tapant une adresse. C’est en grande partie le territoire des fournisseurs d’accès ».
Depuis, DOH a continué à faire progressivement son chemin, au point que pratiquement tous les navigateurs et systèmes d’exploitation le gèrent aujourd’hui. Et si l’on en reparle, c’est parce que le billet de Mozilla présente un nouveau mécanisme de protection qui en tire parti.
Encrypted Client, hello !
« La plupart des données partagées sur les sites web, telles que les mots de passe, les numéros de carte de crédit et les cookies, sont protégées par des protocoles cryptographiques tels que Transport Layer Security (TLS). ECH est une nouvelle extension de TLS qui protège également l'identité des sites web que nous visitons, comblant ainsi la lacune en matière de protection de la vie privée dans notre infrastructure de sécurité en ligne existante », explique Mozilla.
Ce qui intéresse la fondation, c’est le premier « Hello » échangé, et plus généralement toutes les informations qui ne concernent pas directement les communications entre le navigateur et un site. En premier lieu, l’adresse visitée.
Dans une connexion classique, le site visé a maintenant toutes les chances d’être en HTTPS. Tout le trafic sera donc chiffré et, normalement, protégé contre les regards extérieurs. En revanche, l’adresse du site n’est pas protégée. On pourrait comparer (grossièrement) aux conversations WhatsApp : le contenu des conversations et appels est chiffré, mais le service peut savoir à qui vous parlez, quand et combien de temps.
C’est ce que propose de faire Encrypted Client Hello : chiffrer également cette information. La technologie est d’ailleurs décrite comme une extension de TLS, sachant récupérer une clé publique depuis le serveur DNS pour chiffrer le nom du site visité, information qui en temps normal apparait durant la « poignée de mains » initiale.
Pour les sites, pas de miracle : ils doivent être compatibles avec ECH. Toutefois, comme le met en avant Mozilla, il s’agit d’une norme ouverte que tout le monde peut déployer. Cloudflare a d’ailleurs annoncé sa prise en charge le 29 septembre.
Le retour de DOH
DNS-over-HTTPS a beau être pratiquement partout maintenant, il n’est pas forcément utilisé. L’activation est en effet manuelle et dépend des choix de l’utilisateur. Car pour pouvoir s’en servir, il faut obligatoirement sélectionner le prestataire. C’était l’un des problèmes pointés par Stéphane Bortzmeyer en 2020 : Firefox proposait par défaut Cloudflare, entreprise américaine donc soumise au Cloud Act.
Pour se servir d’ECH, DOH doit impérativement être activé, puisqu’il lui sert de fondation. Dans les options de Firefox, il faut se rendre dans la partie « Vie privée et sécurité » et choisir la Protection renforcée ou maximale. La différence entre les deux est le « fallback » de la Protection renforcée : si le DNS sécurisé ne fonctionne pas, le navigateur se rabattra sur le DNS classique. Par défaut, Cloudflare est toujours proposé, Firefox permettant de choisir NextDNS (également une société américaine) ou un serveur personnalisé.
Dès que DNS-over-HTTPS est activé par l’une des deux options, ECH entre en piste. Il n’y a rien à faire de particulier, son fonctionnement est automatique et vient se greffer sur DOH. Du moins quand ECH sera là, car le déploiement a commencé aujourd’hui. Mozilla ne donne d’ailleurs pas de calendrier.
ECH n’est pas réservé à Firefox
Le développement d’Encrypted Client Hello est bien une initiative de Mozilla, mais comme elle le dit elle-même, la fondation n’a pas travaillé seule : « Mozilla développe cette nouvelle technologie de protection de la vie privée sur internet depuis près d'une demi-décennie, en collaboration avec d'autres navigateurs, des fournisseurs d'infrastructure, des chercheurs universitaires et des organismes de normalisation tels que l'IETF (Internet Engineering Task Force) ».
Le meilleur exemple de cette ouverture est qu’ECH est pris en charge par la version 117 de Chromium, comme on peut le lire dans les notes de version de Chrome ou dans cette page de Chrome Platform Status.
Encrypted Client Hello est donc amené à se répandre rapidement, tout du moins du côté des clients. Quant à l’autre moitié de l’équation – les sites – il faudra attendre de voir si la sauce prend.
Commentaires (42)
#1
J’étais persuadé que NextDNS était suisse.
Je mélange sûrement avec Proton.
#1.1
Quad9 est Suisse. C’est d’ailleurs par eux que je passe, que ce soit en DoH ou “en clair”. D’ailleurs, pour ceux que ça intéresse, l’adresse à rentrer dans “other” dans Firefox est https://dns9.quad9.net/dns-query pour passer par eux en DoH.
#2
C’est pour cacher le SNI en gros si je comprends bien
#3
C’est donc une evolution de ESNI (Encrypted SNI) qui n’avait jamais été déployé (non?). Ca semble bienvenu, espérons que cela soit adopté massivement, si c’est simple a déployer et sans inconvénient.
#4
hâte de pouvoir deployer ça sur nginx. apparemment, y’a encore beaucoup de boulot côté librairies diverses et variés
#5
Si je comprends bien, ce n’est utile que si plusieurs site sont hébergés derrière la même adresse IP.
Ça permet d’éviter de savoir avec lequel on communique.
Si le site a une IP unique, alors je crois que ça n’a pas vraiment d’intérêt, si?
Edit: l’article de cloudflare indique que toutes les connexions apparaissent comme étant faites vers cloudflare-ech.com
#5.1
Toujours le même problème au final : à qui fait-on confiance :-/
#5.2
on est pas loin à ce qu’un internet parallèle animé par Cloudfare prenne le contrôle sur le reste.
Dans l’immédiat, ça n’est pas le pire, mais on ne peut guère préjuger sur le long terme.
#5.3
Le fait est que d’une façon générale, toi, le client, ne sait pas si le serveur héberge plusieurs sites :)
#6
Super intéressant ! Merci pour l’info.
#7
Quelqu’un connait DNS0.EU ?
C’est un dns européen ?
J’imagine que leur paroles “on ne stocke pas vos requêtes”, n’engage que ceux qui les croient.
#7.1
Il suffit de lire le bas de page : dns0.eu est une association française à but non lucratif fondée en 2022 par Romain Cointepas et Olivier Poitrey, co-fondateurs de NextDNS.
Ça à l’air plutôt sérieux. NextDNS propose ses services aux entreprises et à l’éducation.
Perso, j’utilise mon propre DNS pour bloquer les pubs et je forward le reste à FDN : https://www.fdn.fr/actions/dns/
#8
Pas d’ECH sur blog.cloudflare.com ou www.cloudflare.com pourtant !
Pour www.nextinpact.com, ECH avec le SNI cloudflare-ech.com (même si le serveur est chez Scaleway)
En revanche, api-v1.nextinpact.com, qui pointe pourtant vers la même IP, n’a pas de record HTTPS, donc pas l’ECH. L’extension est quand même visible dans une capture, elle doit être fausse (GREASE ECH).
#9
Bonjour,
Je n’ai pas compris ce qu’apportait ECH par rapport au DOH ?
Si quelqu’un peut m’expliquer….
#10
Bonjour Nxi,
Prévoyez-vous des articles pour expliquer :
Comment rendre son site compatible Encrypted Client Hello ?
Comment autoheberger son serveur doh ?
Une liste de serveur doh de confiance ? (car si j’ai bien compris, doh sécurise le tuyau mais si le serveur te donne pas la bonne info…)
#10.1
Tu peux utiliser DoT aussi, peut proposé je ne sais pas pourquoi, pourtant bien plus natif en évitant d’ajouter des couches et des couches. En itinérance je peux comprendre, mais en fixe chez toi pas trop.
Avec 2 Dockers tu peux avoir un serveur DoH ou DoT forward chez toi. Avec gestion des DNS privé en sup et filtrage pub :
https://www.monlinux.net/2022/04/securiser-ses-dns-avec-pihole-et-dot-dns-over-tls/
#11
Oui je trouve aussi cela très étrange, y compris le DoH avec cloufare comme quasi unique choix, j’ai du mal à voir la plus-value côté sécurité : avant les requêtes naviguaient (en clair certes) vers une multitude de serveurs DNS éparpillés dans le monde, après les requêtes sont toutes centralisées à un endroit unique (mais ne circulent plus en clair).
En gros on a un énorme SPOF : il suffit que Cloudflare soit surveillé / hacké pour pouvoir écouter tout le web d’un coup, on est exactement au même niveau que le grand proxy chinois… Non seulement ils gèrent les requètes DNS mais en plus ils servent le contenu CDN de 3⁄4 du web, donc en gros cloufare connait précisément ce que tu consultes :
#11.1
On en est quand même loin…
Comme précisé, DOH est très peu utilisé, d’ici à ce qu’il le soit, il y aura d’autres choix.
DOH n’est pas activé par défaut, Je pense pas que Mr et Mme tout le monde aillent activer une option qui parle de retour DNS ou demande un fournisseur.
Le public averti qui va l’activer sera assez grand pour changer le fournisseur et s’il est soucieux de sa vie privée, il prendre surement un autre que Cloudflare.
C’est comme changer ton DSN aujourd’hui directement sur laptop, la plupart des gens ne le font pas. Il y a encore de la route avant d’arriver a une solution activée automatiquement avec Cloudflare (qui poserait de vrais problèmes en entreprise).
Je pense que d’autres vont suivre, comme pour DOH, Quad9 est arrivé après mais ils proposent bien le service maintenant.
#12
j’imagine que si tu passe pas par cloudflare, tu peut te débrouiller pour avoir n’importe quoi en reverse dns, tu peut aussi ajuster la configuration des applications pour refuser l’accès si le nom de domaine est incorrect, de la sorte, impossible de trop en savoir. après il existe sûrement des bases de données qui stocke les associations ip-ndd et donc si tu as 3 ou 4 services seulement tu peut faire des hypothèses.
#13
Oui c’est complètement ça, tu sécurises la requête vers le serveur (ton FAI et l’hébergeur ne voient rien) mais le resolver DNS doit être également de confiance.
#14
Ces choses là vont très vite. Un jour, sous couvert de meilleure sécurité contre le tracking, le DoH sera activé par défaut sur Firefox, sur iOS, sur Android il me semble que par défaut ça ignore déjà ta config DHCP pour utiliser 8.8.8.8
Microsoft vu comme ils sont en roues libres en ce moment je suis extrêmement étonné qu’ils nous aient pas encore pondu BingDNS avec la petite update Windows qui va bien pour te le « proposer » par défaut.
Et une fois que ce sera le cas, comme tu le dis, personne n’ira le changer. Bref, on n’est vraiment pas loin du tout de rendre caduques les DNS des FAI mais pas forcément pour le mieux en fait.
La très grosse tendance du futur c’est que ton appareil ne t’appartient plus à toi mais aux logiciels/OS qui tournent dessus donc à mon avis la fin du résolveur custom c’est en gros pour cette décennie.
#14.1
Sauf que comme je le dis, reste un gros problème à résoudre : les entreprises.
Donc non, ils ne pourront pas passer en force si facilement.
#14.2
Les OS pourraient carrément intégrer unbound, comme ça plus de question à se poser, plus de forwarder, on demande directement à la racine.
#15
Petite anecdote très très récente… Mardi matin, plus d’internet, résolution Dsn HS
Il a fallut que ma femme tente d’aller sur le net avec son PC pour que je comprenne que Free me bloquait les appels DNS autre que le sien pour m’imposer une page me disant que je devais passer à la fibre. Forcément sur mes machines je suis avec d’autres Dns d’où l’impossibilité pour moi de voir cette page 
Heureusement, en suivant les liens on peut tout ré-activer… Mais je trouve cela borderline
Donc les fournisseurs peuvent facilement bloquer les appels Dns, j’avoue par contre ne pas avoir essayé en DOH
#15.1
En gros, ce que tu es en train de dire, c’est que free à mis en place une sorte de portail de connexion (comme ceux qu’on peut trouver sur les Wifi public d’hotel ou autre) pour te forcer à voir leurs offres fibre ?
Après, certaines communes ont déjà coupé leur réseau ADSL. Peut-être te trouves-tu dans une commune dont le réseau va bientôt être coupé (et dans ce cas, te proposer la fibre me parait des plus pertinent) ? Mais si ce n’est pas le cas, c’est effectivement très limite.
#15.2
Ici il y a encore un peu de marge avant l’arrêt du cuivre. Je savais bien que je devrais y passer mais j’attendais le plus possible dans l’espoir que l’utilisation des sagouins (“installateurs”) aurait été réduite.
D’ailleurs, l’armoire fibre en face a été ouverte au pied de biche il y a peu
du coup comme elle ne ferme plus, je l’ai scotché pour éviter les intempéries et prévenue qui de droit… Etonnamment, plus aucun intervenant depuis alors qu’ils passaient tous les jours 
#15.3
Bizarre, j’ai hébergé un dns a domicile pendant plus de 15 ans chez free via ADSL (et maintenant via la fibre). Tu es sur une ip partagée ?
#16
Oh passer en force non, ca prendra un certain temps ça (et encore faut voir combien de temps encore les entreprises vont en avoir quelque chose à faire de leur réseau LAN à l’époque où la suite bureautique officielle de la boîte c’est Google Docs et où tous les logiciels métiers sont dans le cloud.
Mais configurer par défaut, rien ne l’empêche. Et ce faisant, 95% de la population passera par le DNS choisi par le constructeur / le logiciel.
#16.1
Tu me dis que ces choses vont très vite et ensuite, que ça prendra un certain temps, il faut savoir
Pour moi dans 10 ans ça ne sera toujours pas possible encore de forcer du DOH, à moins de trouver des solutions alternatives ou de faire gronder les entreprises. Sur Smartphone à la limite pourquoi pas..
On est loin du Full Cloud en entreprise, des applis on-premise spécifiques il y en a des pelletés et tu penses peut être qu’on migre vers le Cloud en France, OK petit à petit, mais à l’étranger ? Surement bien moins vite dans certains pays, il faut une vision plus générale.
Les entreprises ont encore besoin de gérer leurs devices, donc souvent de passer par des serveurs DNS d’entreprise. Tout le monde n’est pas dans une petite startup qui à juste besoin d’un compte G-Workspace ou O365 et une appli SAAS pour bosser. Quand tu vois que des éditeurs comme Sage ne sont toujours pas foutu de proposer une version Full SAAS de leurs suites de compta (plus que très rependue en entreprise) identique à la version on-premise en 2023, je me dis qu’on part de loin dans certains secteurs.
On ne parle pas des logiciels comme les WMS qui sont très peu en SAAS, des ERP bien spécifiques, genre dans l’alimentaire, etc…
Des admins qui ne se font pas chi avec des certificats internes sur des DNS internes, ca ne doit pas courir les rues quand même à mon avis. Et de mémoire, je peux me tromper, sur du Windows serveur, on ne peut pas monter son propre DoH et pas non plus utiliser DoH comme redirecteur d’un serveur DNS actuellement.
On y viendra surement, mais DoH aura surement évolué (voir disparu) d’ici là, et Firefox sera surement en mesure d’améliorer aussi le choix des serveurs.
#17
Mais du coup, vous avez une suggestion de service à mettre pour le DoH ?
#17.1
Perso, je passe par quad9 (https://dns9.quad9.net/dns-query). C’est basé en Suisse et semble fiable pour le moment.
#17.2
Je fais confiance à FDN pour le DNS (non menteur), et si je devais passer en DOH je continuerais
https://www.fdn.fr/ouverture-des-services-dot-doh/
#18
Donc actuellement, mon patron (qui m’impose proxy + VPN) peut savoir quels sites je visite. Avec ECH, il ne pourrait plus avoir cette info, à la condition que le site soit compatible ?
#18.1
Avec un proxy, dans tous les cas, il voit tout ECH ou pas, par contre son proxy ne fera pas ECH probablement, vu que c’est dans firefox.
#19
Drôle de méthode en effet, ils pourraient se contenter de spammer ta boite mail.
#20
Yes
#21
Si c’est un PC corpo, il a peut-être aussi forcé l’installation de certificats intermédiaires afin de déchiffrer tout ton traffic. Certains antivirus le font pour te “protéger” du contenu de sites https malveillants. Et si tu n’as pas la main dessus (pc corpo verrouillé de partout) du peux utiliser firefox, chrome, etc, ça ne changera rien.
Il faut garder à l’esprit que rien n’est privé sur un pc corpo. Le mieux que tu puisses faire c’est avoir un dossier “privé”, que ton employeur n’aura pas le droit (légalement) de consulter. Mais d’un point de vue purement technique, c’est open bar pour lui.
#22
Le Cloud est comme son nom l’indique, un nuage, un mirage. Les entreprises qui y placent toutes leurs billes maintenant s’en mordront les doigts dans 20 ans. Mais bon c’est bien trop loin pour y penser, c’est pas comme si diriger c’était prévoir…
#22.1
Ca reste ton avis subjectif, soit tu es voyant, soit tu n’en sait rien, comme tout le monde.
Le cloud en entreprise, c’est juste un joli nom que l’on donne a une architecture externalisée. Ca existait bien avant que le mot “Cloud” soit mis à toutes les sauces. Sauf qu’on l’utilise pour tout et rien, et qu’on fait des raccourcis souvent bien trop rapide.
#23
Mettre tout ses oeufs dans le cloud, c’est se soumettre…
À des variations de tarifs imprévues comme au bon vieux temps des licences Oracles & co
À des variations de charge imprévues de par des pics de charge non anticipés mettant à mal le budget planifié exploitant un modèle d’exploitation particulier.
À une absence de contrôle sur l’accessibilité et la pérennité des données (pas que ce soit intrinsèque à l’approche remarque, c’est juste que généralement “c’est dans le cloud c’est bon on s’en tape” puis ça chouine le jour où des serveurs flambent ou un incident technique quelconque coupe le flux).
À un espionnage industriel (0 confiance dans les solutions américaines, il y a au moins l’espionnage étatique. Et vu le chemin que prend la France j’aurai bientôt plus confiance non plus dans OVH and co selon qui passe en 2027 xd).
Au bon vouloir de l’éditeur sur le rythme et la qualité des maintenances évolutives.
Et le clou sur le cercueil, quand le monde s’embrasera, le premier truc facile à faire pour les ennemis d’un pays qui aura un énorme impact sera… Couper l’accès aux réseaux.
On a vu récemment à quel point il était quasi-impossible de réellement sécuriser les câbles qui relient les continents.
Mettre en place une politique de sauvegarde qui exploite un prestataire externe, ce n’est pas du Cloud pour moi au passage. Parce que ça reste un usage accessoire.
En revanche exploiter à fond des solutions type Microsoft 365 ou Zoho “parce que ça marche c’est intégré”, c’est juste irresponsable à moyen/long terme.
#24
Bonjour, merci pour cet article très intéressant.
Par contre, si je comprends bien, j’utilise déjà un VPN de confiance quasiment 100 % de mon temps de navigation (Proton VPN en l’occurrence), je n’ai donc pas besoin d’activer la fonctionnalité DNS-over-HTTPS pour masquer les adresses que je visite à mon FAI ?
De ce que je comprends, tout ce que ça ferait c’est ajouter un nouveau tiers auquel je dois accorder ma confiance (par exemple Cloudflare, Quad9 ou le DNS de Mullvad), en plus de mon fournisseur de VPN ?
#24.1
Oui si tu prends un VPN qui route tout ton trafic, il route aussi les requêtes DNS. Si tu l’activer H24.
Tu auras juste la requêtes DNS vers ton fournisseur VPN qui passe en clair à mon sens