Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Android se prépare à supporter le DNS over TLSCrédits : juniorbeep/iStock

Une requête DNS permet d’associer un nom de domaine à une adresse IP (utile pour joindre le serveur de NXi lorsque vous saisissez nextinpact.com par exemple).

Traditionnellement, les requêtes circulent en clair sur les réseaux, permettant à tout un chacun de les intercepter (et de les modifier le cas échéant). Une solution existe pour limiter les risques en chiffrant les demandes : DNS over TLS (lire ce billet de Stéphane Bortzmeyer pour les détails techniques).

Comme le rapporte XDA Developers, cette fonctionnalité est en train d’être ajoutée à Android, c’est du moins ce que laissent penser certains commits sur AOSP (Android Open Source Project).

Bien évidemment, pour que la requête soit chiffrée il faut également que le serveur DNS supporte TLS, ce qui n’est pas toujours le cas.

12 commentaires
Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 24/10/17 à 09:27:55

Une requête DNS permet entre autre d’associer un nom de domaine à une adresse IP

:cap:

Avatar de TheMyst INpactien
Avatar de TheMystTheMyst- 24/10/17 à 10:23:56

Ce genre de possibilité est possible sous Windows ? (7 ?)

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 24/10/17 à 11:18:54

John Shaft a écrit :

Une requête DNS permet entre autreS d’associer un nom de domaine à une adresse IP

:cap:
:cap:

Avatar de Ricard INpactien
Avatar de RicardRicard- 24/10/17 à 11:19:12

TheMyst a écrit :

Ce genre de possibilité est possible sous Windows ? (7 ?)

C'est totalement indépendant de la plateforme que tu utilises. Ca dépend du serveur.:chinois:

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 24/10/17 à 12:41:31

Ricard a écrit :

C'est totalement indépendant de la plateforme que tu utilises. Ca dépend du serveur.:chinois:

Oui et non. DNS sur TLS chiffre le trafic entre un client DNS ("stub resolver", résolveur minimum en français) et un résolveur complet. Typiquement entre ton Windows/Mac/Linux et le résolveur de ton FAI.

Il faut donc que le stub resolver soit capable de chiffrer le trafic, ce qui n'est pas le cas à ma connaissance aujourd'hui. Il en existe un libre, Stubby, en cours de dév. Mais ceux intégrés avec les OS ne sont pas encore compatibles (j'en aurais entendu parler - j'espère :D - sinon)

En attendant, la seule solution pour avoir du DNS sur TLS est d'installer un résolveur sur ta machine ou ton réseau local (Unbound ou Knot Resolver sont très bien), le configurer pour être un résolveur minimum et non des résolveurs complets et leur dire de se transmettre via le port 853 (dédié à DNS sur TLS) les requêtes qu'ils reçoivent à un résolveur capable de chiffrer le trafic.

J'espère ne pas être trop brouillon dans la réponse :)

Pub éhontée : j'ai fait une conférence DNS et Vie Privée à PSES (les slaïdes en PDF)

Édité par John Shaft le 24/10/2017 à 12:43
Avatar de Ricard INpactien
Avatar de RicardRicard- 24/10/17 à 13:32:58

John Shaft a écrit :

Oui et non. DNS sur TLS chiffre le trafic entre un client DNS ("stub resolver", résolveur minimum en français) et un résolveur complet. Typiquement entre ton Windows/Mac/Linux et le résolveur de ton FAI.

Il faut donc que le stub resolver soit capable de chiffrer le trafic, ce qui n'est pas le cas à ma connaissance aujourd'hui. Il en existe un libre, Stubby, en cours de dév. Mais ceux intégrés avec les OS ne sont pas encore compatibles (j'en aurais entendu parler - j'espère :D - sinon)

En attendant, la seule solution pour avoir du DNS sur TLS est d'installer un résolveur sur ta machine ou ton réseau local (Unbound ou Knot Resolver sont très bien), le configurer pour être un résolveur minimum et non des résolveurs complets et leur dire de se transmettre via le port 853 (dédié à DNS sur TLS) les requêtes qu'ils reçoivent à un résolveur capable de chiffrer le trafic.

J'espère ne pas être trop brouillon dans la réponse :)

Pub éhontée : j'ai fait une conférence DNS et Vie Privée à PSES (les slaïdes en PDF)

Ben oui. Mais ça ne contredit pas ce que j'ai dit.:yes:
La possibilité de la chose ne veut pas dire que c'est déjà implanté.:chinois:
Je connaissais pas Stubby en tout cas. Perso j'utilise DNSCrypt avec Unbound, je me suis pas (encore) penché sur DNS Over TLS.

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 24/10/17 à 13:40:09

Ricard a écrit :

Ben oui. Mais ça ne contredit pas ce que j'ai dit.:yes:

Je faisais double réponse avec la question sous Windows :)

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 24/10/17 à 14:59:17

John Shaft a écrit :

Pub éhontée : j'ai fait une conférence DNS et Vie Privée à PSES (les slaïdes en PDF)

oups le lien

Refused to apply inline style because it violates the following Content Security Policy directive: "style-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256-1kQs8h/ra9YlH+s6eZbKdSD/cn6Ljcz2Rv60pJnk/eY='), or a nonce ('nonce-...') is required to enable inline execution.

Refused to load plugin data from &#39https://www.shaftinc.fr/misc/DNS-vie-privee-pses-maj.pdf' because it violates the following Content Security Policy directive: "default-src 'none'". Note that 'object-src' was not explicitly set, so 'default-src' is used as a fallback.

C'est chiant le Content Security Policy directive :eeek2:

Ceci dit, c'est quand même bien que ça bouge sur ce point, car des attaque sur les flux DNS doit y en avoir en veux tu en voilà :ouioui:

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 24/10/17 à 15:43:13

boogieplayer a écrit :

C'est chiant le Content Security Policy directive :eeek2:

Wow Oo

C'est quel navigateur qui te bloque comme ça ? FF et Chrome ne n'embête pas (et pas d'alertes particulières dans la console de FF)

EDIT : Ah si ça bloque dans Chrome. :/

Je corrige ça dans la soirée. wget est ton ami :)

Édité par John Shaft le 24/10/2017 à 15:45
Il n'est plus possible de commenter cette actualité.
Page 1 / 2