Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Firefox active par défaut DNS over HTTPS aux États-Unis

Chose promise, chose due. La fonction est en cours d’activation aux États-Unis. Le top départ a été donné hier soir, et le processus se poursuivra sur plusieurs semaines.

DoH permet pour rappel de chiffrer les données échangées entre l’appareil et le serveur DNS. Une opération permettant de limiter certains types d’attaques, comme les écoutes sur la connexion ou l’homme du milieu

Pour Mozilla, cette activation est une simple question de bon sens : l’architecture DNS est l’une des plus anciennes briques d’Internet et n’a jamais été pensée pour relever les défis de sécurité du monde actuel.

Si l’utilisateur ne touche à rien, le trafic DNS est orienté vers Cloudflare, défini comme partenaire par défaut. Un autre est disponible : NextDNS. Tous deux ont signé une charte les engageant à respecter des consignes strictes édictées par Mozilla. On peut bien sûr choisir son propre serveur, ou couper tout simplement la fonction.

Le mouvement a toutefois ses détracteurs. D’abord parce qu’il oriente les échanges DNS vers un acteur unique par défaut, avec les risques de SPOF (single point of failure) que l’on peut imaginer. Ensuite parce que DoH peut provoquer des problèmes.

Il s’était attiré les foudres d’experts en sécurité, entreprises et représentants nationaux, notamment parce qu’il empêche les solutions de contrôle parental de fonctionner, peut provoquer la pagaille dans les réseaux professionnels, n’empêche pas vraiment les fournisseurs d’accès de traquer la navigation et… peut aider les criminels. Un point courant dès que l’on parle de chiffrement.

Mozilla avait en partie préparé le terrain en annonçant que DoH serait automatiquement désactivé en cas de détection d’une solution de contrôle parental ou dans une configuration d’entreprise.

Rien pour l’instant n’a été annoncé pour le reste du monde, mais tout le monde peut aller activer manuellement la fonction dans les paramètres, car le support de DoH est présent depuis l’année dernière.

30 commentaires
Avatar de Trit’ Abonné
Avatar de Trit’Trit’- 26/02/20 à 09:34:27

Sauf que notre expert national ès DNS, Stéphane Bortzmeyer, a levé un drôle de lièvre, hier : il a révélé que les FAI (au moins aux États-Unis, donc ; mais les autres pourront en « bénéficier » aussi) avaient fait pression pour que Mozilla fasse en sorte que cette fonctionnalité DoH se désactive d’elle-même si… le domaine que Firefox va contacter pour vérifier que la fonctionnalité est bien active est déclaré par les résolveurs DNS des FAI comme n’existant pas (alors qu’il existe bien, en réalité). Bref, il suffirait que les FAI emploient des résolveurs menteurs réglés exprès pour bloquer l’accès à ce domaine de test pour que la fonctionnalité soit désactivée, et en tout cas rendue inopérante.

Vous le voyez venir, qu’ils vont tous le faire ? Après tout, pourquoi auraient-ils fait pression pour que Mozilla rende son système aussi vulnérable ?

Avatar de OB Abonné
Avatar de OBOB- 26/02/20 à 09:49:36

Trit’ a écrit :

Sauf que notre expert national ès DNS, Stéphane Bortzmeyer, a levé un drôle de lièvre, hier : il a révélé que les FAI (au moins aux États-Unis, donc ; mais les autres pourront en « bénéficier » aussi) avaient fait pression pour que Mozilla fasse en sorte que cette fonctionnalité DoH se désactive d’elle-même si… le domaine que Firefox va contacter pour vérifier que la fonctionnalité est bien active est déclaré par les résolveurs DNS des FAI comme n’existant pas (alors qu’il existe bien, en réalité). Bref, il suffirait que les FAI emploient des résolveurs menteurs réglés exprès pour bloquer l’accès à ce domaine de test pour que la fonctionnalité soit désactivée, et en tout cas rendue inopérante.

Vous le voyez venir, qu’ils vont tous le faire ? Après tout, pourquoi auraient-ils fait pression pour que Mozilla rende son système aussi vulnérable ?

Pour moi ça ressemble plus à un manque de logique sur la détection (*).

Ce sera assez facile pour les experts déjà de voir que DoH est désactivé  (et ils lèveront l'alerte), ou de a son tour mentir (via un pihole ou un resolveur local).

Ce qui me gêne c'est que les gens vont arrêter d'utiliser les DNS de leurs FAI (c'est déjà le cas) mais pour se concentrer sur quelques DNS "connus" - 1.1.1.1 , 9.9.9.9 , 8.8.8.8 , ....
Mozilla pousse aussi cela en mettant les DNS de cloudflare en doh / défaut.

Ca risque fort de recentraliser le DNS et on risque de voir des pressions gouvernementales sur ces prestataires (censure, tracking) , et à terme (comme le mail) avoir des domaines qui ne sont connu QUE par google, cloudflare et IBM mais pas par les autres , ou des fonctionnalités en dehors des RFC.
On commence a voir ça avec le mail de google,

(*) On a parfois la même chose avec des applis qui font une résolution DNS pour savoir si ya du net, et il suffi d'un portail captif ou autre pour que ça déconne.

Avatar de seboquoi Abonné
Avatar de seboquoiseboquoi- 26/02/20 à 09:53:13

Du coup c'est bien ou pas ?

Avatar de Vekin Abonné
Avatar de VekinVekin- 26/02/20 à 09:54:42

Comment détecteront-ils "une configuration d’entreprise" ? Parce que je vois le problème venir gros comme une maison avec les noms locaux, uniquement valides en interne... Va-t-il falloir le désactiver à la main chez chaque collaborateur ?

Avatar de TexMex Abonné
Avatar de TexMexTexMex- 26/02/20 à 10:01:51

Mais heu... chaque FAI a ses DNS et a ses petites modifications qui fait que certains domaines ne sont pas connus alors que techniquement cela devrait être le cas.

Soit par demande du gouvernement et des lois correspondantes : révisionnisme, scam et j'en passe.
Soit par intérêt mutuel pour économiser la BP : site de P2P etc.

 Donc de la censure y'en a déjà.

 

Avatar de Trit’ Abonné
Avatar de Trit’Trit’- 26/02/20 à 10:04:20

Vekin a écrit :

Comment détecteront-ils "une configuration d’entreprise" ? Parce que je vois le problème venir gros comme une maison avec les noms locaux, uniquement valides en interne... Va-t-il falloir le désactiver à la main chez chaque collaborateur ?

« Salarié » ou « employé », mais pas « collaborateur » : point de lien avec le sens vichyste qu’il a fini par acquérir, mais ce terme présuppose une égalité hiérarchique entre le patron et ses employé, alors que n’est pas du tout le cas : le patron étant par définition le supérieur ultime, il n’a pas de collaborateurs, mais uniquement des subordonnés, ou des partenaires.

Avatar de Vekin Abonné
Avatar de VekinVekin- 26/02/20 à 10:06:09

Sauf que je ne suis pas le patron, donc ce sont bien mes collaborateurs, au sens "moderne" du terme :D

Avatar de Ricard INpactien
Avatar de RicardRicard- 26/02/20 à 10:10:34

Trit’ a écrit :

Sauf que notre expert national ès DNS, Stéphane Bortzmeyer, a levé un drôle de lièvre, hier : il a révélé que les FAI (au moins aux États-Unis, donc ; mais les autres pourront en « bénéficier » aussi) avaient fait pression pour que Mozilla fasse en sorte que cette fonctionnalité DoH se désactive d’elle-même si… le domaine que Firefox va contacter pour vérifier que la fonctionnalité est bien active est déclaré par les résolveurs DNS des FAI comme n’existant pas (alors qu’il existe bien, en réalité). Bref, il suffirait que les FAI emploient des résolveurs menteurs réglés exprès pour bloquer l’accès à ce domaine de test pour que la fonctionnalité soit désactivée, et en tout cas rendue inopérante.

Vous le voyez venir, qu’ils vont tous le faire ? Après tout, pourquoi auraient-ils fait pression pour que Mozilla rende son système aussi vulnérable ?

Ben faut jamais utiliser les DNS du FAI.:francais:

Avatar de OB Abonné
Avatar de OBOB- 26/02/20 à 10:14:55

TexMex a écrit :

Mais heu... chaque FAI a ses DNS et a ses petites modifications qui fait que certains domaines ne sont pas connus alors que techniquement cela devrait être le cas.

 
Tu parles des domaines techniques style mafreebox.free.fr ?
Pour moi , ça , ça porte pas à conséquence - à titre perso j'ai aussi chez moi des domaines perso.
 
Le problème est quand tu modifie le domaine des autres sans qu'ils l'approuvent : TBP, légaux, ...
(La censure DNS pour économiser de la BP , il me semble que c'est un peu fini aujourdhui)

C'est à mon avis pourquoi il est important de garder le choix du DNS qu'on va utiliser.

 Une personne très légaliste peux parfaitement décider de respecter la loi et imposer le DNS de son FAI afin d'être volontairement soumis aux décisions légales de son pays (et , demain, aux restrictions lié au porn qui vont probablement arriver rapidement).

L'important à mon avis c'est que les gens qui , en toute conscience ne VEULENT PAS être soumis à ces restrictions (et en endossent la responsabilité - en dégageant celle de leur FAI) puisse le faire volontairement.

C'est ce qui me gêne un peu dans le comportement de mozilla, ils imposent le 2nd choix sans réellement laisser l'utilisateur décider. Ca se comprends dans le contexte US où les FAI utilisent le DNS pour espionner, tracker, et modifier les réponses (car la FCC de trump les y a incité) mais ça reste à mon sens imposer un changement fonctionnel qui mériterais d'être éclairé.
 
 

Avatar de Ricard INpactien
Avatar de RicardRicard- 26/02/20 à 10:17:09

Vekin a écrit :

Sauf que je ne suis pas le patron, donc ce sont bien mes collaborateurs, au sens "moderne" du terme :D

Donc, ça ne concerne pas les machines de tes supérieurs ? :D

Plus sérieusement, si ton résolveur (local) ne supporte pas DoH, ben le navigateur ne l'active pas. C'est totalement transparent pour l'utilisateur.:chinois:

Il n'est plus possible de commenter cette actualité.
Page 1 / 3