Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.01.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Lorsque vous faites une requête pour accéder à un site Web ou un service Web, directement ou sur une proposition d'un moteur de recherche, la première chose qui se passe est la demande, à un serveur DNS, de quelle est l'adresse IP du site dont on a le nom. Le serveur DNS répond à un solveur DNS. À partir de là, et quasi universellement depuis 2021, c'est la protection des données transmises : le contenu demandé est chiffré (crypté) avant de circuler sur le Web

Les protocoles de communication (sécurisés ou non) :

  • https au lieu de http

  • ftps au lieu de ftp

  • smtps au lieu de smtp

  • imaps au lieu de imap

  • pops au lieu de pop pop1 pop2 (pop3s au lieu de pop3)

  • nfsv4 et suivants (NFSv4.1, NFSv4.2) avec Kerberos5 au lieu de nfs

  • Etc.

Mais ce qui se passe avant, la demande au serveur DNS et sa réponse sont en clair, ce qui pose un grave problème de confidentialité.

Si le trafic réseau est passé entièrement, ou peu s'en faut en 2021, en HTTPS, quelque chose qui précède et termine le trafic, les requêtes DNS, se fait encore en clair. La Fondation Mozilla, pionnière en matière de protection de la vie privée, développe et teste DNS over HTTPS (DoH) afin de crypter également les requêtes DNS. Google y participe.

DNS sur HTTPS (DoH) est un protocole permettant d'effectuer une résolution à distance du système de noms de domaine (DNS) via le protocole HTTPS. L'un des objectifs de la méthode est d'augmenter la confidentialité et la sécurité des utilisateurs en empêchant l'écoute et la manipulation des données DNS par des attaques de type Homme du milieu en utilisant le protocole HTTPS pour crypter les données entre le client DoH et le DoH-based Résolveur DNS. Dès mars 2018, la Fondation Mozilla avait commencé à tester des versions de DNS sur HTTPS avec la participation de Google. En février 2020, le navigateur Firefox est passé par défaut au DNS sur HTTPS pour les utilisateurs aux États-Unis.

Une alternative à DoH est le protocole DNS sur TLS (DsT) [DNS on TLS (DoT)], une norme similaire pour le cryptage des requêtes DNS, ne différant que par les méthodes utilisées pour le cryptage et la livraison.

Sur la base de la confidentialité et de la sécurité, l'existence ou non d'un protocole supérieur entre les deux est un sujet de débat controversé, tandis que d'autres soutiennent que les mérites de l'un dépendent du cas d'utilisation spécifique.

Des institutions s'y opposent :

  • Les gouvernements qui mettent en place des DNS menteurs afin de censurer certains sites (ne plus résoudre certaines requêtes DNS, mais encore faut-il les reconnaître, ce qui n'est plus possible s'il y a chiffrement).

  • Les fournisseurs d'accès Internet (FAI) qui expriment un besoin de limiter les accès en fonction des abonnements de leurs clients.

d'autres utilisateurs tentent de s'y opposer : les pirates informatiques qui utilisent des routeurs infectés pour rediriger le trafic des internautes vers l'endroit qu'ils veulent (leurs propres sites marchands de produits contrefaits, etc.) en fonction de la requête DNS observée en clair.




DoH est une proposition de norme, publiée sous le nom de RFC 8484 (octobre 2018) par l'IETF. Il utilise HTTP/2 et HTTPS et prend en charge les données de réponse DNS au format filaire, telles qu'elles sont renvoyées dans les réponses UDP existantes, dans une charge utile HTTPS avec le type MIME application/dns-message. Si HTTP/2 est utilisé, le serveur peut également utiliser le push du serveur HTTP/2 pour envoyer des valeurs qu'il anticipe et que le client peut trouver utiles à l'avance.

DoH est un travail en cours (2021). Même si l'IETF a publié la RFC 8484 en tant que proposition de norme et que les entreprises l'expérimentent, l'IETF n'a pas encore déterminé la meilleure façon de la mettre en œuvre. L'IETF évalue un certain nombre d'approches sur la meilleure façon de déployer DoH et cherche à mettre en place un groupe de travail, Adaptive DNS Discovery (ADD), pour faire ce travail et développer un consensus. En outre, d'autres groupes de travail de l'industrie, tels que l'Encrypted DNS Deployment Initiative, ont été formés pour « définir et adopter les technologies de cryptage DNS d'une manière qui garantit la haute performance continue, la résilience, la stabilité et la sécurité des services critiques d'espace de noms et de résolution de noms d'Internet, ainsi que d'assurer la fonctionnalité continue et intacte des protections de sécurité, des contrôles parentaux et d'autres services qui dépendent du DNS ».

Étant donné que DoH ne peut pas être utilisé dans certaines circonstances, comme les portails captifs, les navigateurs Web comme Firefox peuvent être configurés pour se replier sur un DNS non sécurisé.

Source : Wikipédia.




Oblivious DoH est un brouillon Internet proposant une extension du protocole pour s'assurer qu'aucun serveur DoH ne connaît à la fois l'adresse IP du client et le contenu de ses messages. Toutes les demandes sont transmises via un proxy, cachant les adresses des clients du résolveur lui-même, et sont cryptées pour masquer leur contenu du proxy.

Source : Wikipédia.




DoH est utilisé pour la résolution DNS récursive par les résolveurs DNS. Les résolveurs (clients DoH) doivent avoir accès à un serveur DoH hébergeant un point de terminaison de requête.

Trois scénarios d'utilisation sont courants :

  1. Utiliser une implémentation DoH au sein d'une application : certains navigateurs ont une implémentation DoH intégrée et peuvent ainsi effectuer des requêtes en contournant la fonctionnalité DNS du système d'exploitation. Un inconvénient est qu'une application peut ne pas informer l'utilisateur si elle ignore la requête DoH, soit par mauvaise configuration, soit par manque de prise en charge de DoH.

  2. Installation d'un proxyDoH sur le serveur de noms du réseau local : dans ce scénario, les systèmes clients continuent d'utiliser le DNS traditionnel (port 53 ou 853) pour interroger le serveur de noms du réseau local, qui recueillera ensuite les réponses nécessaires via DoH en atteignant DoH-serveurs sur Internet. Cette méthode est transparente pour l'utilisateur final.

  3. Installation d'un proxyDoH sur un système local : dans ce scénario, les systèmes d'exploitation sont configurés pour interroger un proxyDoH exécuté localement. Contrairement à la méthode mentionnée précédemment, le proxy doit être installé sur chaque système souhaitant utiliser DoH, ce qui peut nécessiter beaucoup d'efforts dans des environnements plus vastes.

Source : Wikipédia.




Systèmes d'exploitation

  • Apple
    iOS 14 et macOS 11 d'Apple sortis fin 2020 prennent en charge les protocoles DoH (DNS over HTTPS) et DoT (DNS over TLS).

  • Windows
    En novembre 2019, Microsoft a annoncé son intention de mettre en œuvre la prise en charge des protocoles DNS cryptés dans Microsoft Windows, à commencer par DoH (DNS over HTTPS). En mai 2020, Microsoft a publié Windows 10 Insider Preview Build 19628 qui comprenait la prise en charge initiale de DoH (DNS over HTTPS) ainsi que des instructions sur la façon de l'activer via le registre Windows et l'interface de ligne de commande. Windows 10 Insider Preview Build 20185 a ajouté une interface utilisateur graphique pour spécifier un résolveur DoH (DNS over HTTPS). La prise en charge de DoH n'est pas prévue pour Windows 10 21H2 (annonce du 17.07.2021).

    Les versions de Windows 11 Insider Preview incluent la prise en charge de DoH (DNS over HTTPS).

Résolveurs DNS récursifs

  • BIND
    BIND 9, un résolveur DNS open source d'Internet Systems Consortium a ajouté la prise en charge native de DoH (DNS over HTTPS) dans la version 9.17.10 (17.02.2021).

  • PowerDNS
    DNSdist, de PowerDNS, un proxy DNS/équilibreur de charge open source, a ajouté la prise en charge native de DoH (DNS over HTTPS) dans la version 1.4.0 en avril 2019.

  • Unbound
    Unbound, un résolveur DNS open source créé par NLnet Labs, prend en charge DoH (DNS over HTTPS) depuis la version 1.12.0, publiée en octobre 2020. Il a d'abord mis en œuvre la prise en charge du cryptage DNS à l'aide du protocole alternatif DoT (DNS over TLS) bien plus tôt, à partir de la version 1.4.14, publiée en décembre 2011. Unbound fonctionne sur la plupart des systèmes d'exploitation, y compris les distributions de Linux, macOS et Windows.

Navigateurs Web

  • Google Chrome
    DoH (DNS over HTTPS) est disponible dans Google Chrome 83 pour Windows et macOS, configurable via la page des paramètres. Lorsqu'il est activé et que le système d'exploitation est configuré avec un serveur DNS pris en charge, Chrome met à niveau les requêtes DNS à chiffrer. Il est également possible de spécifier manuellement un serveur DoH (DNS over HTTPS) prédéfini ou personnalisé à utiliser dans l'interface utilisateur.

    En septembre 2020, Google Chrome pour Android a commencé le déploiement par étapes du DoH (DNS over HTTPS). Les utilisateurs peuvent configurer un résolveur personnalisé ou désactiver DoH dans les paramètres.

  • Microsoft Edge
    Microsoft Edge prend en charge DoH (DNS over HTTPS), configurable via la page des paramètres. Lorsqu'il est activé et que le système d'exploitation est configuré avec un serveur DNS pris en charge, Edge met à niveau les requêtes DNS à chiffrer. Il est également possible de spécifier manuellement un serveur DoH prédéfini ou personnalisé à utiliser dans l'interface utilisateur.

  • Mozilla Firefox
    En 2018, Mozilla s'est associé à Cloudflare pour fournir DoH (DNS over HTTPS) aux utilisateurs de Firefox qui l'activent (connu sous le nom de Trusted Recursive Resolver). Firefox 73 a ajouté un autre résolveur dans les options, NextDNS. Le 25 février 2020, Firefox a commencé à activer DoH (DNS over HTTPS) pour tous les utilisateurs basés aux États-Unis, en s'appuyant par défaut sur le résolveur de Cloudflare. Le 3 juin 2020, Firefox 77.0.1 a désactivé NextDNS par défaut, car la charge élevée provoquée sur les serveurs NextDNS par les utilisateurs de Firefox correspondait « effectivement à une attaque en DDoS sur les serveurs NextDNS ». En juin 2020, Mozilla a annoncé son intention d'ajouter Comcast à la liste des résolveurs DoH (DNS over HTTPS) de confiance.

  • Opéra
    Opéra prend en charge DoH (DNS over HTTPS), configurable via la page des paramètres du navigateur. Par défaut, les requêtes DNS sont envoyées aux serveurs Cloudflare.

Serveurs DNS publics

Lire, sur Wikipedia : serveur de noms récursif public (anglais)

Les implémentations de serveur DoH (DNS over HTTPS) sont déjà disponibles gratuitement chez certains fournisseurs DNS publics.

Source : Wikipédia.