Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Microsoft activera DNS-Over-HTTPS par défaut dans Windows 10

Une annonce importante pour la sécurité, puisque le protocole DNS-Over-HTTPS (DoH) permet le chiffrement des requêtes DNS en se servant de HTTPS. L’éditeur indique que DNS over TLS (DoT) est également toujours une piste envisagée.

Les testeurs du programme Insider recevront « bientôt » une modification transparente, mais cruciale : Windows 10 chiffrera par défaut les requêtes DNS si les serveurs utilisés sont détectés comme compatibles.

Il n’y aura donc pas de changement dans les adresses elles-mêmes. Microsoft insiste d’ailleurs sur ce point : « Modifier silencieusement les serveurs DNS de confiance pour réaliser les résolutions dans Windows pourrait par mégarde contourner ces contrôles et frustrer nos utilisateurs. Nous estimons que les administrateurs ont le droit de contrôler où va leur trafic DNS ».

L’éditeur se dit conscient que de nombreux utilisateurs changent les paramètres par défaut des DNS. Il s’agit souvent de contourner une limite, s’adapter à une situation particulière ou même bloquer par défaut des publicités pendant la navigation.

Plusieurs avantages à cette méthode selon Microsoft. D’une part, un changement transparent donc. D’autre part, la possibilité pour les applications d’en tirer parti sans avoir à changer quoi que ce soit. Enfin, préparer le terrain à de prochaines étapes.

Parmi ces dernières, Microsoft cite la mise en place de serveurs DoH explicites. Plus tard, il s’agira surtout de déterminer à quel moment il faudra considérer qu’il est préférable de ne pas effectuer une résolution DNS plutôt que de la faire sans chiffrement. Il est probable que cette bascule ne soit pas envisageable avant des années.

25 commentaires
Avatar de Origami Abonné
Avatar de OrigamiOrigami- 20/11/19 à 09:57:23

Celà signe la fin de piHole ?

Avatar de zethoun Abonné
Avatar de zethounzethoun- 20/11/19 à 10:12:16

je dirais que non
"Windows 10 chiffrera par défaut les requêtes DNS si les serveurs utilisés sont détectés comme compatibles"
piHole sera détectés comme non compatible (le temps qu'ils mettent à jour) et la requête sera standard.

Avatar de 33A20158-2813-4F0D-9D4A-FD05E2C42E48 INpactien

Origami a écrit :

Celà signe la fin de piHole ?

PiHole est condamné à plus ou moins brève échéance. Toute méthode qui consiste à utiliser un autre DNS que l'officiel peut être contournée par les *mm*rd*urs publicitaires: au lieu d'inclure un lien avec un nom de domaine dans l'URL, ils feront la résolution sur le serveur et mettront l'adresse IP directement dans le script. C'est difficile en environnement IPV4 où plusieurs serveurs mutualisés ont la même IPV4 et un reverse proxy fait le dispatching, mais en IPV6 ce sera les doigts dans le nez.

Avatar de TexMex Abonné
Avatar de TexMexTexMex- 20/11/19 à 10:58:04

Ca empechera pas les opérateurs de juguler le trafic vers les destinations qui leur semble indésirables...
 

Avatar de Ailothaen Abonné
Avatar de AilothaenAilothaen- 20/11/19 à 11:00:34

Autant DNS-over-TLS est la suite logique de DNS (tous les protocoles ont commencé avec une version non chiffrée pour ensuite avoir une version chiffrée), autant je trouve que DoH est un truc assez sale.

Tout passer sur le port 443 juste parce que "mais souvent les ports sont bloqués" ... 

Avatar de fred42 INpactien
Avatar de fred42fred42- 20/11/19 à 11:52:40

Quel rapport ?

On parle ici de protéger le trafic DNS.

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 20/11/19 à 12:01:46

DoH est "sale" mais si y a que ça, on est a peu près sûr que ça passe. D'ailleurs, on peut parier que nombreux gros résolveurs DoH/DoT vont être bloqué par certains opérateurs facétieux et certains États (Google Public DNS est déjà bloqué en Chine, on peut parier que ceux de CloudFlare aussi 🤔)

À noter que MS annonce vouloir implémenter DoT, mais plus tard. (Je suppose qu'ils font DoH en premier parce que c'est le truc à la mode en ce moment et qu'ils n'avaient pas du voir passer le RFC 7858 publié il y a 3 ans tout de même 🤔)

Avatar de Methio INpactien
Avatar de MethioMethio- 20/11/19 à 12:50:29

Bientôt on fera du DNS sur HTTPS en VPN encapsulé sur IPv4 Naté chez l'opérateur

ça fait mal à mon modèle TCP IP

Avatar de sarbian Abonné
Avatar de sarbiansarbian- 20/11/19 à 12:55:49

33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :

PiHole est condamné à plus ou moins brève échéance. Toute méthode qui consiste à utiliser un autre DNS que l'officiel peut être contournée par les *mm*rd*urs publicitaires: au lieu d'inclure un lien avec un nom de domaine dans l'URL, ils feront la résolution sur le serveur et mettront l'adresse IP directement dans le script. C'est difficile en environnement IPV4 où plusieurs serveurs mutualisés ont la même IPV4 et un reverse proxy fait le dispatching, mais en IPV6 ce sera les doigts dans le nez.

Utiliser des IP fixe ne marche pas dans tout les reseaux d'entreprise derriere un proxy bien foutu, dont entre autre les grosse boites qui tiennent ces sites.

Et PiHole marche très bien avec du DoH.

Avatar de 33A20158-2813-4F0D-9D4A-FD05E2C42E48 INpactien

sarbian a écrit :

Utiliser des IP fixe ne marche pas dans tout les reseaux d'entreprise derriere un proxy bien foutu, dont entre autre les grosse boites qui tiennent ces sites.

On a dû mal se comprendre... Si je suis un publicitaire, au lieu de fourguer au navigateur la balise iframe qui va chercher son contenu sur "www.publicitaire-bien-chiant.com" (résolu par un "vrai" DNS comme "123.56.43.23"), je peux fourguer directement "123.56.43.23" dans le script. Quand le navigateur de la victime affichera le iframe, il n'aura pas besoin de résoudre le nom puisqu'il a déjà l'adresse IP. Pour l'Internet tout entier, c'est totalement transparent, aucun proxy, aucun routeur ne pourra déterminer que la requête vers "123.56.43.23" a été hardcodée dans une page et n'a pas été retrouvée par une résolution de nom.

En clair, ton navigateur ira piocher l'écran de pub sans que ton PiHole ait eu l'opportunité de résoudre "publicitaire-bien-chiant" en 127.0.0.1...

Il n'est plus possible de commenter cette actualité.
Page 1 / 3