DNS over HTTPS (DoH) : au-delà de Firefox, une « question de confiance »

Et d'implémentation 50
image dediée
Securité
David Legrand

Apporter le chiffrement aux DNS est un besoin devenant essentiel. Si DNS over HTTPS participe à cet effort, il faut être attentif à la manière dont cette technologie est mise en œuvre. Un sujet complexe, surtout quand les éditeurs de navigateurs sont à la manœuvre. Même lorsqu'il s'agit de Mozilla.

Nous l'avons vu dans la première partie de ce dossier, le DNS est l'un des rares éléments techniques d'internet, que chacun d'entre nous utilise au quotidien, où la sécurité fait encore trop souvent défaut. Conçu il y a quarante ans, il n'a tout simplement pas été pensé pour bénéficier du chiffrement ou d'une signature de ses données.

Mais peu à peu les choses changent. Outre la mise en place (poussive) de DNSSEC, de nombreuses initiatives voient le jour et sont plus ou moins suivies par les différents acteurs. L'une d'elle est DNS over HTTPS (DoH) qui vise, comme son nom l'indique, à chiffrer les requêtes DNS en les encapsulant dans un flux HTTPS classique.

Une solution malaimée pour son aspect « HTTPisation du Net », mais qui a l'avantage d'être simple à appliquer, de se reposer sur des briques logicielles connues et maitrisées, ne pouvant être facilement bloquées en visant, par exemple, des ports spécifiques (contrairement à DNS over TLS, DoT). 

Utiliser un résolveur DoH : pas si simple

Dans notre précédent article, nous avons ainsi montré comment on pouvait effectuer une requête sur un résolveur DNS exploitant DoH à travers une simple ligne de commande. Mais voilà, l'utilisateur n'a que faire de telles solutions : il veut pouvoir profiter de la meilleure sécurité d'un tel résolveur par défaut, sans avoir à se casser la tête.

En l'état actuel des choses, ce n'est pas possible. Des travaux en ce sens sont en cours pour l'intégration aux interfaces des routeurs ou d'OS, notamment Windows 10, mais aucune date précise n'a encore été donnée. C'est pour cela qu'un autre type d'acteur s'est saisi du sujet ces dernières années : les navigateurs.

Car pour ce qui est de votre accès à internet, ils sont en première ligne. Une idée en apparence intéressante, séduisante, mais qui ajoute son lot de questions et de complexités.

Notre dossier sur DNS over HTTPS :

Une question de confiance

Lisez la suite : 69 % de ce contenu reste à découvrir

Seuls nos abonnés peuvent lire l'intégralité de cet article.


chargement
Chargement des commentaires...