Firefox : premières activations du protocole DNS-over-HTTPS dans le mois

Mozilla teste ce protocole depuis 2017 et en a introduit le support dans Firefox 60, il y a plus d’un an. Désormais, l’éditeur est prêt à passer à la phase suivante.

DNS-over-HTTPS (DoH) est pour rappel une méthode de protection pour la résolution DNS qui, par défaut, n’est pas chiffrée ou protégée des regards. DoH ne chiffre pas les requêtes, mais les cache en les déguisant en trafic HTTPS classique. Ces requêtes peuvent être chiffrées, mais c’est le travail d’un autre protocole, DNS-over-TLS (DoT).

Mozilla va donc activer le protocole chez un petit nombre d’utilisateurs aux États-Unis dans le courant du mois. Si le test se passe bien, le déploiement continuera, très progressivement. L’utilisation du DoH n’est pas en effet sans poser problème.

Les serveurs DNS doivent en effet être compatibles, et Mozilla a décidé de passer par les résolveurs de Cloudflare pour s’occuper de ces opérations. Il s’agit de la configuration par défaut, mais l’utilisateur est libre de modifier ce paramètre.

De fait, la gestion du DNS est transférée du système d’exploitation au navigateur, créant une problématique inédite : les services de sécurité basés sur l’analyse DNS ne peuvent plus fonctionner. Inédite parce que la conséquence n’est plus le fruit de l’installation volontaire d’un produit spécifique comme un VPN, mais d’une configuration par défaut dans un logiciel grand public.

De nombreux produits deviennent inopérants avec DoH : les filtres DNS en entreprise, les outils de contrôle parental, une partie des fonctions des antivirus, les pare-feux et ainsi de suite.

La bascule fait tellement peur qu’elle avait poussé en juillet l’Internet Services Providers Association (ISPAUK) au Royaume-Uni à ranger Mozilla dans la catégorie des « méchants d’Internet ». Raison principale invoquée : l’impossibilité de lutter contre la pédopornographie.

En juillet également, le monde découvrait le premier malware à se servir de DoH pour ses propres sales besognes, cachant d’autant mieux son activité.

Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Mozilla propose également aux fournisseurs d'accès qui le souhaiteraient d'ajouter son domaine « canary » à leur liste de blocage. DoH serait alors coupé en cas de détection d'un blocage du domaine.

Mais même si Firefox s’est attiré en premier les foudres d’un certain nombre d’acteurs, le phénomène n'est pas prêt de disparaître : Chrome va faire de même avec sa version 78 le mois prochain, là encore pour un très petit nombre d’utilisateurs. Les compromis ne font que commencer.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !