Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Firefox : premières activations du protocole DNS-over-HTTPS dans le mois

Mozilla teste ce protocole depuis 2017 et en a introduit le support dans Firefox 60, il y a plus d’un an. Désormais, l’éditeur est prêt à passer à la phase suivante.

DNS-over-HTTPS (DoH) est pour rappel une méthode de protection pour la résolution DNS qui, par défaut, n’est pas chiffrée ou protégée des regards. DoH ne chiffre pas les requêtes, mais les cache en les déguisant en trafic HTTPS classique. Ces requêtes peuvent être chiffrées, mais c’est le travail d’un autre protocole, DNS-over-TLS (DoT).

Mozilla va donc activer le protocole chez un petit nombre d’utilisateurs aux États-Unis dans le courant du mois. Si le test se passe bien, le déploiement continuera, très progressivement. L’utilisation du DoH n’est pas en effet sans poser problème.

Les serveurs DNS doivent en effet être compatibles, et Mozilla a décidé de passer par les résolveurs de Cloudflare pour s’occuper de ces opérations. Il s’agit de la configuration par défaut, mais l’utilisateur est libre de modifier ce paramètre.

De fait, la gestion du DNS est transférée du système d’exploitation au navigateur, créant une problématique inédite : les services de sécurité basés sur l’analyse DNS ne peuvent plus fonctionner. Inédite parce que la conséquence n’est plus le fruit de l’installation volontaire d’un produit spécifique comme un VPN, mais d’une configuration par défaut dans un logiciel grand public.

De nombreux produits deviennent inopérants avec DoH : les filtres DNS en entreprise, les outils de contrôle parental, une partie des fonctions des antivirus, les pare-feux et ainsi de suite.

La bascule fait tellement peur qu’elle avait poussé en juillet l’Internet Services Providers Association (ISPAUK) au Royaume-Uni à ranger Mozilla dans la catégorie des « méchants d’Internet ». Raison principale invoquée : l’impossibilité de lutter contre la pédopornographie.

En juillet également, le monde découvrait le premier malware à se servir de DoH pour ses propres sales besognes, cachant d’autant mieux son activité.

Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Mozilla propose également aux fournisseurs d'accès qui le souhaiteraient d'ajouter son domaine « canary » à leur liste de blocage. DoH serait alors coupé en cas de détection d'un blocage du domaine.

Mais même si Firefox s’est attiré en premier les foudres d’un certain nombre d’acteurs, le phénomène n'est pas prêt de disparaître : Chrome va faire de même avec sa version 78 le mois prochain, là encore pour un très petit nombre d’utilisateurs. Les compromis ne font que commencer.

59 commentaires
Avatar de Vekin Abonné
Avatar de VekinVekin- 12/09/19 à 09:01:54

Cette dépendance de Firefox envers Cloudflare m'inquiète de plus en plus : d'abord ça, puis le VPN intégré... Mozilla s'érige en chantre de la protection de la vie privée mais utilise un service américain propriétaire et décrié comme étant un SPoF trop présent sur Internet ? :fou:

Avatar de PtiDidi Abonné
Avatar de PtiDidiPtiDidi- 12/09/19 à 09:04:21

DNS-over-HTTPS (DoH) est pour rappel une méthode de protection pour la résolution DNS qui, par défaut, n’est pas chiffrée ou protégée des regards. DoH ne chiffre pas les requêtes, mais les cache en les déguisant en trafic HTTPS classique. Ces requêtes peuvent être chiffrées, mais c’est le travail d’un autre protocole, DNS-over-TLS (DoT).

Heu.. DNS-over-HTTPS c'est du DNS encapsulé dans du HTTPS, donc c'est chiffré.
Non?

Requêtes et réponses, au lieu de voyager directement sur UDP ou TCP sont encapsulées dans HTTP, plus exactement HTTPS

Avatar de marba Abonné
Avatar de marbamarba- 12/09/19 à 09:04:32

Pour une liste de serveurs autre que américains :https://github.com/curl/curl/wiki/DNS-over-HTTPS

Mozilla laisse toujours l'option de mettre un autre serveur c'est déjà ça. Peut être qu'ils vont ajouter une option dans le futur.

Avatar de Perfect Slayer Abonné
Avatar de Perfect SlayerPerfect Slayer- 12/09/19 à 09:10:43

HTTPS ne signifie pas obligatoirement qu'un chiffrement est appliqué mais donne une preuve de l'identité du serveur avec lequel le client échange. Le chiffrement est en option mais appliqué dans la majorité des cas.

Avatar de Vekin Abonné
Avatar de VekinVekin- 12/09/19 à 09:11:26

Merci pour le lien !

Même si c'est configurable, il n'empêche que la majorité des utilisateurs lambda ne feront jamais ce changement, donc les problématiques de vie privée et de fiabilité se posent tout de même à mon sens.

Avatar de Perfect Slayer Abonné
Avatar de Perfect SlayerPerfect Slayer- 12/09/19 à 09:12:45

> Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection

Pardon ? Bonjour la neutralité… :(
Entre ça et les questions de "faut-il inclure" tel ou tel certificat racine, Mozilla marche sur des œufs récemment.

Avatar de Zedoki Abonné
Avatar de ZedokiZedoki- 12/09/19 à 09:32:16

Effectivement, cet article découvert via hackernews parle de cette centralisation : https://ungleich.ch/en-us/cms/blog/2019/09/11/turn-off-doh-firefox/

Édité par Zedoki le 12/09/2019 à 09:34
Avatar de Arkeen Abonné
Avatar de ArkeenArkeen- 12/09/19 à 09:43:21

Perso j'utilise les DoH dans Firefox depuis quelques mois (ceux de Quad9), aucun problème à déplorer jusque-là.

Avatar de alex.d. Abonné
Avatar de alex.d.alex.d.- 12/09/19 à 09:45:33

Ils by-passent entièrement le /etc/resolv.conf ? Ça revient à se tirer une balle dans le pied pour tout usage en entreprise, puisque ça désactive le VPN et ça ne peut pas accéder aux applications web sur les serveurs privés.
Ça sent le rétropédalage très prochainement.

Avatar de KP2 Abonné
Avatar de KP2KP2- 12/09/19 à 09:45:34

Je suis *très* dubitatif sur cette fonctionnalité... Autant je vois l’intérêt du protocole pour la vie privée mais autant son implémentation actuelle et les effets de bords qu'il apporte me paraissent donner un ratio bénéfice/risque très peu favorable.

Je pense que je le désactiverai au départ tout du moins...

Il n'est plus possible de commenter cette actualité.
Page 1 / 6